Scribd Logo

Langue

Importer

Bienvenue sur Scribd !

5385a67563a52 PDF

Transféré par

Sofia Maurizai
101 vues25 pages

Titre original

5385a67563a52.pdf

Copyright

© © All Rights Reserved

Formats disponibles

PDF, TXT ou lisez en ligne sur Scribd

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Signaler ce document

Droits d'auteur :

© All Rights Reserved
Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
Signaler comme contenu inapproprié
101 vues25 pages

5385a67563a52 PDF

Transféré par

Sofia Maurizai

Droits d'auteur :

© All Rights Reserved
Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
Signaler comme contenu inapproprié
sur 25

Université Mohammed V –

Agdal
Faculté des Sciences
Juridiques,
Economiques et Sociales
Rabat

Département Sciences et Techniques


de Gestion

L’audit Informatique Option : Finance

Sous la direction de : Préparé par :


Mme LEHADIRI Anissa AHAMRI Imane

BENABDELALI Aniss

ROUMANI Soukayna

QAROUACH Abdelwadoud

0 | Page
Année Universitaire 2011 - 2012
Introduction :
L’évolution des systèmes d’information a été développée suite au
processus de globalisation et d’internationalisation des marchés, cette
évolution ne pouvait qu’aider à la croissance des entreprises. Le
développement technologique a également marqué l’économie mondiale,
et a mis les systèmes d’information au centre des organisations, ceux-ci
sont devenu des facteurs stratégiques de la réalisation des performances
et de la pérennité.

On assistait alors, au positionnement des systèmes d’information au


sein d’une fonction réservée spécialement au traitement et au
développement des taches automatisées : la fonction informatique. Il
s’agit d’une fonction qui a été découverte avec l’invasion des ordinateurs,
elle a passé vers une fonction de contrôle, pour être ensuite une fonction
de gestion des données. Arrivée à sa maturité, la fonction informatique
aujourd’hui utilise un système d’information qui représente une aide à la
décision, un système harmonisé avec l’organisation et adapté aux
orientations de l’entreprise.

L’évolution exponentielle de l’environnement interne et externe de


l’entreprise requiert de celle-ci une réactivité rapide, en plus d’une claire
visibilité sur les actions futures, leurs atouts et leurs enjeux. Alors, le
système d’information se trouve confronté a un certain nombre de
difficultés de correspondance aux besoins de l’entreprise d’une part, ainsi
que d’autres difficultés de certification du point de vue des référentiels et
des normes en matière informatique d’autre part.

Cette certification de la correspondance les processus informatiques


et les normes relève des missions de l’audit informatique. Il représente
l’examen officiel de la fonction informatique de l’entreprise en conformité
avec les normes et les référentiels d’audit propres au système
informatique.

1 | Page
Pour une bonne assimilation de ce type d’audit, sa démarche et son
importance au sein d’une structure organisationnelle, il parait convenable
de commencer par une section introductive qui va nous permettre la
compréhension de l’entité auditée, la fonction informatique. Alors qu’est-
ce que la fonction informatique et quelle est son importance ?

Ensuite, on passera à la précision de la signification de l’audit


informatique, et la présentation de sa méthodologie. Alors, qu’est-ce que
l’audit informatique, quelle est sa démarche et quels sont ses outils ?

Pour enfin finir avec la présentation des normes et des référentiels


auxquels le fonctionnement de la fonction informatique doit correspondre.
Alors, qu’est-ce que le Maroc a apporté en terme normalisation des
processus informatiques ?

I- La fonction informatique :
Comme toutes les autres fonctions de l’entreprise, le rôle de la
fonction informatique est conséquent. La fonction informatique s’occupe
de l’architecture des systèmes mis en place au sein de l’entreprise. En
effet, il s’agit du système de sécurité, ainsi que des systèmes
d’information.

Dans cette section nous allons traiter l’importance de la fonction


informatique ainsi que son organisation pour passer ensuite à présentation
des systèmes d’information « SI » et la détermination des caractéristiques
d’un système d’information efficace.

1. Importance de la fonction informatique :


La gestion des systèmes d’information prend une dimension
stratégique au sein de l’entreprise, puisqu’elle l’accompagne dans le
montage des perspectives stratégiques ainsi que celles opérationnelles.
Dans ce sens, la fonction informatique joue un rôle central, le pilotage de
la gestion des systèmes d’information est placé au centre des
préoccupations de cette fonction.

2 | Page
La fonction informatique est organisée dépendamment de la taille
ainsi que le degré de maturité de l’organisation informatique. Par exemple,
dans une structure de taille importante, la direction informatique
représente le guide d’activité, elle permet de doter celle-ci d’une vision
claire sur le déroulement de différentes taches.

Figure 1 : Les principales fonctions d’une direction informatique

Source : http://bit.ly/xPtvUl

Le schéma ci-dessus illustre l’importance de la fonction informatique


dans la structure organisationnelle d’une grande entreprise disposant d’un
système informatique sophistiqué. La direction informatique est attachée à
la direction générale exactement comme les autres directions, ceci
implique que les dirigeants s’appuient sur cette fonction afin de mieux
réussir leurs missions.

Ceci peut ne pas être le cas pour d’autres entreprises de petite taille,
mais avec la complexité de l’environnement de l’entreprise la fonction
informatique requiert une attention particulière, une prise de connaissance
de l’informatique dans l’entreprise devient incontournable.

La maturité de l’organisation informatique est un aspect


organisationnel, fonctionnel et technologique fortement pris en
considération par les auditeurs et les cabinets de conseil ainsi que par les
experts comptables.

La dimension organisationnelle de cette maturité dépend de la


relation qui existe entre l’informatique et ses utilisateurs, il s’agit d’un

3 | Page
«contrat de services1» d’une part, et de la reconnaissance du rôle des
directions des systèmes d’informatiques d’autre part. La dimension
fonctionnelle et technologique représente le degré d’intégration et
d’ouverture des systèmes d’information, ceci dépend de l’utilisation des
nouvelles technologies par les partenaires.

En effet, les missions de ceux-ci ne peuvent être effectuées sans une


évaluation de la maturité du système informatique, qui leur permet
l’appréciation de sa place au sein de l’entreprise. L’objectif étant de
l’orienter vers une meilleure adaptation de l’informatique avec le contexte
de leur mission.

2. Organisation de la fonction informatique :


La fonction informatique est une fonction intégrante de
l’organisation de l’entreprise, sa stratégie par conséquence représente
une part de la politique globale de l’entreprise. Il faut souligner que la
gestion de la fonction informatique suit la même logique managerielle des
autres fonctions.

En effet, les responsables de la fonction informatique doivent déterminer


premièrement les objectifs de cette fonction, puis ils doivent procéder à la
planification et l’élaboration des stratégies, ensuite les responsables
doivent se doter du personnel convenable qui va leur permettre de mieux
mener leur mission pour la réalisation des objectifs fixés.

La mise en place des moyens se concrétise par la sélection du


personnel ainsi que de sa formation, également l’engagement de
superviseurs dont le rôle principal est le suivi de la réalisation des
procédures élaborées dans un premier temps, et la motivation du
personnel choisi pour la mission informatique.

Enfin, la description des fonctions est mise à la disposition du


personnel engagé dans le plan d’action stratégique ou opérationnel pour

1 On parle du « Services Level Agreement » SLA : le contrat ou la partie de


contrat contenant l’ensemble des engagements du prestataire relativement aux
niveaux de services à fournir au client.

4 | Page
un meilleur accompagnement. Les objectifs réalisés sont comparés à ceux
fixés au départ pour une meilleure visibilité sur l’accomplissement de la
mission informatique.

L’élaboration de la stratégie du système d’information doit suivre un


cycle qui permet à l’entreprise de fonder une stratégie et de s’améliorer
continuellement. Ceci est illustré dans le schéma ci-après :

Figure 2 : Représentation schématique de la stratégie des systèmes d’information

Source : Advisory, le conseil durable (2009), Efficacité et maitrise du système d’information, PWC,
http://pwc.to/z0SjmD

L’organisation de la fonction informatique doit être prise au sérieux


puisqu’elle conditionne l’efficacité et la fiabilité des systèmes
d’information internes ou externes. D’ailleurs la stratégie de la fonction
informatique se base sur les systèmes d’informations. Cette stratégie
s’intéresse à l’organisation des systèmes d’informations, à leurs
performances ainsi qu’aux enjeux stratégiques et à l’architecture des
systèmes d’informations.

5 | Page
3. Le système d’information dans la fonction
informatique :
Le système d’information est d’une grande utilité au sein de
l’entreprise, puisqu’il sert d’aide à la décision, il permet en plus d’agir de
manière optimale, de faire des prévisions qui vont orienter les stratégies
élaborés. En adition il sert à contrôler et superviser les différentes activités
de l’entreprise.

Avec la complexité de l’environnement de l’entreprise, les dirigeants


comptent sur un système d’information efficace et fiable pour la création
de la valeur et la réalisation d’un avantage comparatif. Le système
d’information représente l’ensemble de moyens, de ressources,
d’éléments organisés permettant de collecter, saisir, traiter, stocker et
diffuser l’information2.

L’objectif de la mise en place des systèmes d’information se résume dans


leur rôle d’aide à la conception de la stratégie de l’entreprise, ainsi que
celui de la supervision de sa réalisation.

D’ailleurs, la mise en place d’un système d’information permet


d’assurer la continuité de l’activité, de se garantir une information fiable et
efficace à la gestion, et également se permettre d’effectuer des
ajustements au niveau des orientations stratégiques avec grande
souplesse.

2 TOURY A. (2006), Proposition d'une méthodologie pour la conduite des


missions d'audit informatique, mémoire présenté pour l’obtention du diplôme
national d’expert-comptable, ISCAE, p. 10, http://bit.ly/xFoxoB

6 | Page
Figure 3 : Place du système d’information

Source : SEMOUD A. et LAYMY A. (2006), Système d'information, Mémoire de Licence en Sciences


Economiques, Université Hassan II Mohammedia, http://bit.ly/A6HhvY

4. Les caractéristiques d’un système d’information :


Assurer la rentabilité et la pérennité de l’entreprise ainsi que sa
capacité d’évolution fait que les systèmes d’information doivent remplir
des conditions. Un système d’information efficace est un système à la fois
global, ouvert, orienté, et fiable.

Un système d’information global dans le sens où il permet d’avoir


une large couverture fonctionnelle, qui lui permet de centraliser
l’ensemble des flux d’information. Un système d’information global doit
être en adéquation avec l’ensemble des activités de l’entreprise.

Un système d’information doit être aussi ouvert sur les autres


systèmes afin de favoriser l’échange des données informatisées entre les
partenaires, et faciliter les transactions entre les différentes interfaces.

Un système d’information doit également être orienté de manière à


avoir une visibilité claire sur l’ensemble des informations disponibles.
Enfin, il doit être fiable et doté d’un système de sécurité qui va permettre
la protection des données.

7 | Page
II- Démarche et outils de l’audit informatique :
1. La notion d’audit informatique :
Un audit informatique consiste en une intervention réalisée par une
personne indépendante et extérieure au service audité, qui permet
d’analyser tout ou une partie d’une organisation informatique, d’établir un
constat des points forts et des points faibles et dégager ainsi les
recommandations d’amélioration.

L’audit informatique est une mission, qui ne demande pas de


simples auditeurs, puisque ces derniers doivent avoir de fortes
connaissances en informatique, car des notions, ainsi que des techniques
sont à cerner pour comprendre et savoir gérer un processus
d’informatisation.

2. La démarche générale d’audit informatique :


Face à la complexité des systèmes informatiques, les cabinets
d’audit internationaux ont développé des méthodologies propres et des
équipes spécialisées dans l’audit informatique. Nous présenterons dans ce
présent travail une méthodologie d’audit informatique dans le cadre d’une
mission d’audit comptable et financier.

Les quatre phases de la démarche d’audit informatique se


présentent comme suit :

 Cadrage de la mission ;
 Compréhension de l’environnement informatique ;
 Identification et évaluation des risques et des contrôles afférents aux
systèmes ;
 Tests des contrôles.

2-1- Cadrage de la mission :


Les objectifs du cadrage de la mission se présentent comme suit :

8 | Page
 Une délimitation du périmètre d’intervention de l’équipe d’audit
informatique. Cela peut être matérialisé par une lettre de mission,
une note interne, une réunion préalable organisée entre les équipes
d’audit financier et d’audit informatique ;
 Une structure d’approche d’audit et organisation des travaux entre
les deux équipes ;
 Une définition du planning d’intervention ;
 Une définition des modes de fonctionnement et de communication.

Lors de cette phase, l’auditeur informatique prendra connaissance


du dossier de l’équipe de l’audit financier (stratégie d’audit, rapports
d’audit interne, points d’audit soulevés au cours des précédents audits).

2-2- Compréhension de l’environnement informatique :


Elle a pour but de comprendre les risques et les contrôles liés aux
systèmes informatiques. Elle peut se faire sur la base notamment, de la
compréhension de l’organisation de la fonction informatique, des
caractéristiques des systèmes informatiques et de la cartographie des
applications. Elle doit permettre de déterminer comment les systèmes clés
contribuent à la production de l’information financière.

A- L’organisation de la fonction informatique :


A ce stade, l’auditeur devra saisir les éléments suivants :

- La stratégie informatique de l’entreprise : il s’agit bien d’un examen du


plan informatique, du comité directeur informatique, des tableaux de
bords etc.

- Le mode de gestion et d’organisation de la fonction informatique : il


s’agit notamment de comprendre dans quelle mesure la structure
organisationnelle de la fonction informatique est adaptée aux objectifs de
l’entreprise. En outre, il faudrait apprécier si la fonction informatique est
sous contrôle du management. A cet effet, il faudrait examiner les aspects
suivants :

 L’organigramme de la fonction informatique (son adéquation par


rapport aux objectifs assignés à la fonction, la pertinence du

9 | Page
rattachement hiérarchique de la fonction, le respect des principes du
contrôle interne) ;
 La qualité des ressources humaines (compétence, expérience,
gestion des ressources, formation) ;
 Les outils de gestion et de contrôle (tableaux de bord, reporting,
contrôles de pilotage) ;
 Les procédures mises en place (leur formalisation, leur respect des
principes de contrôle interne, leur communication au personnel).

B- Caractéristiques des systèmes informatiques :


L’auditeur devra se focaliser sur les systèmes clés de façon à
identifier les risques et les contrôles y afférents. Ainsi, il faudrait
documenter l’architecture du matériel et du réseau en précisant :

 Les caractéristiques des systèmes hardware utilisés (leur


architecture, leur procédure de maintenance, les procédures de leur
monitoring).
 Les caractéristiques des systèmes software (systèmes d’exploitation,
systèmes de communication, systèmes de gestion des réseaux, de
la base des données et de la sécurité, utilitaires).

C- La cartographie des applications :


La documentation des applications clés devrait être effectuée de
préférence, conjointement par l’équipe de l’audit financier et celle de
l’audit informatique. Les auditeurs financiers identifient les comptes
significatifs compte tenu du seuil de matérialité de la mission.

Les deux équipes recensent les processus qui alimentent ces


comptes. Il reviendra par la suite, à l’équipe d’audit informatique
d’inventorier les applications informatiques utilisées dans ces processus
ainsi que leurs caractéristiques (langage de développement, année de
développement, bases de données et serveurs utilisés).

2-3- Identification et évaluation des risques et des contrôles


afférents aux systèmes :
Il y a lieu d’identifier les risques liés aux systèmes informatiques et
au contrôle dans un environnement informatisé. Ils concernent aussi bien

10 | P a g e
les risques liés aux contrôles généraux informatiques que ceux liés aux
applications.

Se focaliser sur les risques ayant un impact direct ou indirect sur la


fiabilité des états financiers demeure indispensable.

Les risques liés à la fonction informatique sont relatifs à


l’organisation de la fonction informatique, au développement et mise en
service des applications, à la gestion de l’exploitation et à la gestion de la
sécurité.

Une fois ces risques recensés, l’auditeur devra évaluer les contrôles
mis en place par l’entreprise pour gérer ces risques.

2-4- Tests des contrôles :


Les tests des contrôles informatiques peuvent être effectués en
utilisant aussi bien des techniques spécifiques aux environnements
informatisés (contrôles assistés par ordinateurs, revue des codes, jeux de
tests) que des techniques classiques (examen des pièces et documents).

3. Outils d’audit informatique :


On présentera dans cette partie les outils d’audit informatique les
plus répandus, tout en insistant sur leurs avantages et leurs limites
respectives.

3-1- La programmation classique3 :


Elle est basée sur la manipulation d’un langage qui peut être
différent suivant le matériel et le site.

A- Formation à la programmation :
Une formation de base à l’informatique est évidemment nécessaire
pour comprendre et assimiler un langage de programmation.

La formation à l’apprentissage d’un langage nécessite :

3 PETIT G., JOLY D. et MICHEL J. (1985), Audit et informatique : Guide pour


l'audit financier des entreprises informatisées, Volume 1, Ed. Paris : CLET, p. 229.

11 | P a g e
 Une formation initiale, dont la durée est au minimum de deux à trois
semaines ;
 L’acquisition de l’expérience, ce qui implique que l’auditeur réalise
régulièrement des programmes.

La mise en œuvre d’un langage de programmation nécessite


également l’apprentissage du langage d’ordres de contrôle pour soumettre
les travaux à l’ordinateur.

B- Contraintes :
La conception, l’écriture et le test d’un programme sont des
opérations longues, même lorsqu’il s’agit de programmes simples. Si
l’auditeur ne pratique pas régulièrement le langage, son temps de «
réadaptation » est un élément supplémentaire dans l’estimation du coût
du test.

 L’utilisation d’un langage de programmation permet de résoudre


théoriquement tous les tests d’audit nécessitant une informatisation.
L’investissement en programmation est par contre important mais
amortissable dans le cas de la reconduction des tests que les autres
exercices audités.
 La difficulté la plus importante concerne la nécessité d’une
formation adéquate des auditeurs si l’équipe d’audit ne dispose pas
d’un informaticien.

3-2- La programmation classique à l’aide de progiciels d’audit 4 :


Les progiciels d’audit sont des ensembles de programmes
permettant une programmation simplifiée. Ils peuvent fournir une
collection des modules standardisés pour lesquels seul un paramétrage
est nécessaire.

4 PETIT G., JOLY D. et MICHEL J. (1985), Audit et informatique : Guide pour


l'audit financier des entreprises informatisées, Volume 1, Ed. Paris : CLET, p. 230.

12 | P a g e
Le marché des progiciels propose des produits de conception et
d’utilisation très différentes, mais ayant tous pour objectif de limiter le
temps d’élaboration de la programmation.

A- Caractéristiques des progiciels d’audit :


Les progiciels d’audit peuvent appartenir à deux grandes familles :
générateurs de langages, nécessitant une compilation avant exécution et
programmes immédiatement exécutables après interprétation.

Les fonctionnalités prévues dans les progiciels d’audit peuvent être


regroupées en plusieurs catégories :

 Générateur d’états, traitant plus ou moins automatiquement :


- La lecture des fichiers, avec fusion ou rapprochement entre
fichiers. Ces derniers pouvant être sous forme traditionnelle ou de
base de données ;
- La reconnaissance des enregistrements ;
- L’application des critères de sélection : opérateurs SI, ET, OU,
NON, EGAL, INFERIEUR, SUPERIEUR ;
- L’exécution d’opérations arithmétiques : addition, soustraction,
exponentielle, fonctions trigonométriques… ;
- La totalisation automatique des zones numériques ;
- Le tri des informations, soit avant traitement, soit après
sélection ;
- Edition et mise en page.
 Contrôle sur les données :
- Contrôles de valeur par rapport à des fourchettes ;
- Contrôles spécifiques : Validité des dates, séquences, doublons.
 Méthode de stratification et d’échantillonnage basées sur des
approches statistiques.
 Outils liés à certaines techniques d’audit : comparaison de
programmes, analyse de fichiers créés par le système d’exploitation.

B- Le choix d’un progiciel d’audit :


Les critères de choix sont nombreux, ils portent en particulier sur :

 La « transportabilité » du produit, c'est-à-dire la possibilité de


l’utiliser sur n’importe quel site.
 La facilité d’utilisation, liée à la conception du progiciel et à son
mode de paramétrage.
 La possibilité d’accéder aux bases de données.
13 | P a g e
 La performance, surtout utile en cas d’utilisation systématique et
répétitive.

C- Formation5 :
Bien que d’emploi plus simple qu’un langage de programmation, le
progiciel d’audit demande une formation approfondie, et pouvant être
estimée d’une à deux semaines suivant les spécifications du produit. Une
formation à l’utilisation des ordres de contrôle est également
indispensable.

D- Contraintes :
Le danger principal dans l’utilisation des progiciels est leur facilité
d’emploi : Le programme fonctionne pratiquement sans problème, mais
peut traiter incorrectement les données, suite à un mauvais paramétrage.
Les résultats obtenus peuvent alors être totalement faux sous des
apparences tout à fait justes. L’auditeur doit donc être particulièrement
prudent et mettre en place des contrôles pour tester la validité de ses
travaux.

L’utilisation d’un progiciel est actuellement un moyen efficace et


plus économique pour pratiquer des tests informatisés. Conditionné à la
fois par les types de matériels sur lesquels il doit être implanté et par les
fonctionnalités attendues, le choix du progiciel doit permettre la résolution
du maximum de problèmes envisageables, sans attendre toutefois à ce
qu’il soit l’outil universel.

3-3- Micro-informatique6 :
A- Champ d’application :
Le développement actuel des logiciels sur micro-ordinateur et le coût
de moins en moins significatif du matériel conduisent tout naturellement

5 PETIT G., JOLY D. et MICHEL J. (1985), Audit et informatique : Guide pour


l'audit financier des entreprises informatisées, Volume 1, Ed. Paris : CLET, p. 231.

6 PETIT G., JOLY D. et MICHEL J. (1985), Audit et informatique : Guide pour


l'audit financier des entreprises informatisées, Volume 1, Ed. Paris : CLET, p. 232.

14 | P a g e
l’auditeur à se préoccuper du phénomène et à envisager l’utilisation de la
micro-informatique.

B- Productivité et micro-ordinateur :
L’utilisation du micro-ordinateur a été développée par certains
cabinets d’audit dans le cadre d’une amélioration de la « productivité », en
faisant le plus souvent appel au traitement de textes et aux tableurs.

Les applications significatives dans ce domaine recouvrent :

 La gestion du planning prévisionnel et le suivi des temps,


permettant des synthèses par collaborateur et par dossier ;
 Le développement de feuilles de travail spécialisées pour : calculs,
répétitifs ou non, comparaisons de données financières entre
plusieurs exercices, calcul de pourcentage, etc. ;
 Le développement de plans de missions, qui peuvent, via des
modifications mineures, être reconduits d’un exercice à l’autre ; ces
plans sont alors conservés sur des fichiers de traitement de textes ;
 L’utilisation du traitement de textes pour l’élaboration des rapports ;
le micro-ordinateur pouvant, le cas échéant, être relié à un système
de traitement de textes ;
 L’utilisation des possibilités graphiques facilitant la compréhension
et l’analyse de certaines données.

3-4- Langages de 4ème génération7 :


A- Définition :
Sous ce vocable sont regroupés des logiciels dont les concepts de
base comprennent :

 Un gestionnaire de données ;
 Un extracteur éditeur généralisé ;
 Un outil de prototypage d’application ;
 Des outils d’aide à la décision : tableur, graphisme ;
 Des macros de langages.

7 PETIT G., JOLY D. et MICHEL J. (1985), Audit et informatique : Guide pour


l'audit financier des entreprises informatisées, Volume 1, Ed. Paris : CLET, p. 234.

15 | P a g e
Leur développement va prendre une importance croissante dans les
années à venir. L’auditeur doit donc rapidement prendre en compte ce
nouveau phénomène.

B- Approche de l’auditeur :
Si ces langages de 4ème génération sont utilisés dans tout l’éventail
de leurs possibilités, l’auditeur va disposer d’un outil très complet
d’investigation.

L’approche des systèmes par l’auditeur est facilitée par la présence


de dictionnaires de données généralisés et par des outils de
documentation automatique qui auront l’avantage d’être constamment
tenus à jour.

Ce nouvel environnement implique, de la part de l’auditeur, une


connaissance des outils avant de commencer ses travaux. En particulier,
l’apprentissage de l’utilisation des extracteurs/éditeurs généralisés est
indispensable pour qu’ils puissent pratiquer des analyses de fichiers, les
autres outils n’étant alors plus applicables.

Les langages de 4ème génération vont sûrement bouleverser


l’approche de l’auditeur, qui doit redéfinir sa méthodologie de travail. En
revanche, ces langages lui apportent une souplesse et une efficacité
accrue dans ses interventions.

 Face aux besoins de contrôle des systèmes automatisés, l’auditeur


dispose d’une « boite à outils » riche, et extensible en fonction de
l’évolution très rapide des moyens informatiques.
 Les systèmes automatisés devant une règle générale plutôt qu’une
exception, il est nécessaire que les techniques deviennent
accessibles aux non-spécialistes. Les développements actuels
répondent aux besoins d’accès rapides, faciles et indépendants pour
les utilisateurs des systèmes d’information ; ils correspondent
également aux besoins de l’auditeur et lui apportent, ou
apporteront, une aide précieuse dans le déroulement et l’exécution
des travaux d’audit.

16 | P a g e
III- Normes professionnelles et référentiels de l’audit
informatique :
1. Les normes et référentiels marocains :
L’arsenal législatif marocain en matière d’audit informatique reste maigre
comparé à ce qui se fait à l’étranger. Voyons voir quelques exemples tirés
du code général de la normalisation comptable (CGNC), le code général
des impôts (CGI) et du manuel des normes de l’ordre des experts
comptables marocains (OEC).

Le CGNC par exemple, stipule que l’organisation du traitement


informatique doit obéir aux principes suivants8 :

 La chronologie des enregistrements écarte toute insertion


intercalaire ;
 L’irréversibilité des traitements effectués exclut toute suppression
ou addition ultérieure d'enregistrement ;
 La durabilité des données enregistrées offre des conditions de
garantie et de conservation prescrites par la loi ;
 Garantir toutes les possibilités d'un contrôle et donner droit d'accès
à la documentation relative à l’analyse, à la programmation et aux
procédures de traitement.

Par ailleurs, la réglementation en matière fiscale fait référence à la


vérification de la comptabilité par l’administration des impôts. En effet, le
code général des impôts stipule que « si la comptabilité est tenue par des
moyens informatiques ou si les documents sont conservés sous forme de
microfiches, le contrôle porte sur l’ensemble des informations, données et
traitements informatiques qui concourent directement ou indirectement à
la formation des résultats comptables ou fiscaux et à l’élaboration des
déclarations fiscales, ainsi que sur la documentation relative à l’analyse, à
la programmation et à l’exécution des traitements »9.

8 Cabinet Seddik, Le code général de normalisation comptable (CGNC), p. 30,


http://bit.ly/xzNMpd

9 Code Général des Impôts 2011, Article 212 du Livre II des procédures
fiscales, p. 217.

17 | P a g e
Enfin, la norme 2102 du manuel des normes d’audit légal et
contractuel de l’ordre des experts comptables marocain 10, et qui porte sur
l’évaluation du contrôle interne. Celle-ci stipule que l'évaluation du
contrôle interne de la « fonction informatique » (c'est-à-dire, l’ensemble
formé par le service informatique et par les utilisateurs dans leurs
relations avec le service) vise à garantir :

 La fiabilité des informations produites ;


 La protection du patrimoine ;
 La sécurité et la continuité des travaux.

Ainsi, on remarque que les référentiels en matière de normes


comptables et de droit fiscal ne suivent pas de près l’évolution
technologique et appliquent des généralités à l’audit informatique.

2. Les normes internationales :


2-1- La Fédération internationale des comptables (IFAC) :
La fédération internationale des comptables ou International Federation of
Accountants (IFAC) est « une organisation internationale dont l’objectif
principal est de promouvoir les normes internationales d’audit : ISAs
applicables pour l’audit des états financiers… Parmi ces normes, on trouve
la norme ISA 401 et qui traite de l’audit réalisé dans un environnement
informatique »11.

En effet, la norme 401 stipule qu’un ordinateur est utilisé en règle


générale pour le traitement, le stockage et la communication des
informations financières. Elle fait aussi référence à un certain nombre de
risques, notamment ceux relatifs à l’absence ou l’insuffisance de
séparation des fonctions, d’absence de documentation des applications et

10 Ordre des experts comptables marocains, Manuel des normes, section


000, p. 52, http://bit.ly/za1yro

11 SEKKAT O. (2002), Le rôle de l’expert-comptable face aux risques de


sécurité micro-informatique dans les PME – Proposition d’une démarche d’audit,
mémoire présenté pour l’obtention du diplôme national d’expert-comptable,
ISCAE, p. 63, http://bit.ly/xZFJgX

18 | P a g e
aux erreurs dans le développement et la maintenance des applications et
la possibilité d’accès non autorisés induits par l’utilisation d’un ordinateur.

Ainsi, les ordinateurs peuvent être utilisés par plusieurs personnes et


la mise en place d’un certain nombre de systèmes de protection devient
nécessaire. Ainsi la directive 1001 approuvée en 2001, et qui s’ajoute à la
norme ISA 401 préconise la mise en place d’un certain nombre de mesures
de sécurité telles que12 :

 La protection de l’ordinateur et des supports de stockage contre les


risques de vol ou d’accès non autorisés ;
 La protection des données et programmes contre les risques
d’altération ou d’utilisation de logiciels sans licence ;
 La continuité des opérations.

Enfin, la directive 1002 adoptée durant la même année a permis


d’intégrer de nouvelles mesures relatives aux ordinateurs interconnectés
en réseaux et sur internet. Celle-ci vise :

 A assurer l’intégrité des informations produite et l’absence


d’infection de l’entreprise par des virus ;
 La mise en place de mots de passes pour l’accès aux logiciels
d’application ;
 La mise en place de verrouillages du terminal en cas d’inactivité au-
delà d’un certain temps ;
 La tenue d’un journal de suivi des transactions ;
 Et un pare-feu au cas où l’entreprise est connectée à internet.

2-2- Objectifs de contrôle de l'Information et des Technologies


Associées (COBIT) :
COBIT (Control Objectives for Information and Related Technology)
est le résultat des travaux collectifs réalisés par les principaux acteurs de
la profession, auditeurs internes ou externes, fédérés au sein de l’ISACA 13.

12 Op. Cit., p. 64.

13 Association des professionnels de la vérification et du contrôle des systèmes


d'information, basée aux États-Unis est déployée dans les plus grandes villes du
monde.

19 | P a g e
Développé en 1996, il a fait l’objet de plusieurs améliorations par la
suite.14

Il s’agit d’un modèle de contrôle permettant de satisfaire les besoins


de gouvernance en matière des technologies de l’information et d’assurer
l’intégrité de ces derniers et des informations qu’ils contiennent.

En effet, les informations doivent répondre à un certain nombre de


critères préconisés par COBIT, et qui se présentent comme suit15 :

 Efficacité : réalisation des objectifs fixés ;


 Efficience : réalisation des processus aux meilleurs coûts ;
 Confidentialité : l’information est protégée des accès non
autorisés ;
 Intégrité : l’information correspond à la réalité de la situation ;
 Disponibilité : l’information est disponible pour les destinataires en
temps voulu ;
 Conformité : les processus sont en conformité avec les lois, les
règlements et les contrats ;
 Fiabilité : l’information de pilotage est pertinente.

Par ailleurs, COBIT s’articule autour de cinq axes stratégiques 16,


destinés à trois publics différents 17 (le management, les utilisateurs et les
auditeurs). Ces axes se présentent comme suit :

 L’alignement stratégique : la capacité à fournir les services


souhaités en temps et en heure avec le niveau de qualité requis. Il

14 MOISAND D., GARNIER DE LABAREYRE F. (2009), CobiT : pour une


meilleure gouvernance des systèmes d'information, Ed. Paris : Eyrolles, p. 3.

15 Op. Cit., p. 31.

16 MOISAND D., GARNIER DE LABAREYRE F. (2009), CobiT : pour une


meilleure gouvernance des systèmes d'information, Ed. Paris : Eyrolles, p. 7.

17 SEKKAT O. (2002), Le rôle de l’expert-comptable face aux risques de


sécurité micro-informatique dans les PME – Proposition d’une démarche d’audit,
mémoire présenté pour l’obtention du diplôme national d’expert-comptable,
ISCAE, p. 70, http://bit.ly/xZFJgX

20 | P a g e
s’agit à ce niveau-là de synchroniser les différents départements de
l’entreprise ;
 L’apport de valeur : la maîtrise des processus de fonctionnement
en termes d’efficacité et d’efficience ;
 La gestion des ressources : les ressources pour mesurer l’activité
informatique doivent être optimales pour répondre aux exigences
des métiers ;
 La gestion des risques : dans certains secteurs, l’activité cœur de
métier de l’entreprise peut être mise en péril en cas d’arrêt ou de
dysfonctionnement de ses systèmes informatiques ;
 La mesure de la performance : répondre aux exigences de
transparence et de compréhension des coûts, des bénéfices, des
stratégies, des politiques et des niveaux de services informatiques
offerts conformément aux attentes de la gouvernance des systèmes
d’information.

Enfin, COBIT comprend une synthèse qui correspond à une


présentation et définition des concepts et principes, un cadre de référence
qui décrit de façon détaillée 34 processus de management de
l’informatique et 302 objectifs de contrôle détaillés relatifs à ces derniers,
et enfin un guide d’audit qui comprend les points d’audit suggérés pour
chacun des 34 processus afin de faciliter le travail des auditeurs
informatiques.

Ainsi, l’utilisation de COBIT dans les missions d’audit est quasi


immédiate grâce à sa structure de base, aux nombreuses publications qui
viennent détailler encore les objectifs de contrôle et aux outils proposés
sur le marché pour automatiser les contrôles.

Conclusion :
Il paraît évident, à partir de l’ensemble des éléments qu’on a traité
tout au long de ce travail, que l’évolution des systèmes informatiques et
leur intégration inéluctable, à la comptabilité entre-autres, a poussé les
normes d’audit à s’adapter et à introduire des nouveautés.

21 | P a g e
En effet, parmi ces dernières on trouve l’intégration de nouvelles
règles telles que la protection des systèmes informatiques et des réseaux
et l’évaluation de nouveaux risques inhérents à ces systèmes mais aussi
des risques de vols et de piratage des données.

Toutefois, au Maroc les normes et référentiels d’audit informatique


demeurent inadaptés à un domaine en constante évolution, et ce bien que
le législateur marocain s’est forcé à introduire quelques règles en
comptabilité et en matière fiscale. Enfin, contrairement au cas du Maroc,
les pratiques à l’international ont fait l’objet de plusieurs mises-à-niveau,
notamment aux Etats-Unis et en France, afin de suivre l’évolution de
l’informatique.

Bibliographie :

Ouvrages :

22 | P a g e
MOISAND D., GARNIER DE LABAREYRE F. (2009), CobiT : pour une
meilleure gouvernance des systèmes d'information, Ed. Paris : Eyrolles,
274 pages.

PETIT G., JOLY D. et MICHEL J. (1985), Audit et informatique : Guide


pour l'audit financier des entreprises informatisées, Volume 1, Ed. Paris :
CLET, 268 pages.

Thèses :

SEKKAT O. (2002), Le rôle de l’expert-comptable face aux risques de


sécurité micro-informatique dans les PME – Proposition d’une démarche
d’audit, mémoire présenté pour l’obtention du diplôme national d’expert-
comptable, ISCAE, 200 pages, http://bit.ly/xZFJgX

TOURY A. (2006), Proposition d'une méthodologie pour la conduite des


missions d'audit informatique, mémoire présenté pour l’obtention du
diplôme national d’expert-comptable, ISCAE, 174 pages,
http://bit.ly/xFoxoB

SEMOUD A. et LAYMY A. (2006), Système d'information, Mémoire de


Licence en Sciences Economiques, Université Hassan II Mohammedia,
http://bit.ly/A6HhvY

Textes législatifs :
Le code général de la normalisation comptable (CGNC).

Le code général des impôts (CGI) 2011.

Le manuel des normes de l’ordre des experts comptables marocains


(OEC).

Webographie :
Advisory, le conseil durable (2009), Efficacité et maitrise du système
d’information, PWC, http://pwc.to/z0SjmD

23 | P a g e
http://bit.ly/xPtvUl

Table des matières

24 | P a g e

Vous aimerez peut-être aussi