I- Démarche et outils de l’audit informatique :

1. La notion d’audit informatique :

Un audit informatique consiste en une intervention réalisée par une personne indépendante et
extérieure au service audité, qui permet d’analyser tout ou une partie d’une organisation informatique,
d’établir un constat des points forts et des points faibles et dégager ainsi les recommandations
d’amélioration.

L’audit informatique est une mission, qui ne demande pas de simples auditeurs, puisque ces
derniers doivent avoir de fortes connaissances en informatique, car des notions, ainsi que des techniques
sont à cerner pour comprendre et savoir gérer un processus d’informatisation.

2. La démarche générale d’audit informatique :

Face à la complexité des systèmes informatiques, les cabinets d’audit internationaux ont
développé des méthodologies propres et des équipes spécialisées dans l’audit informatique. Nous
présenterons dans ce présent travail une méthodologie d’audit informatique dans le cadre d’une mission
d’audit comptable et financier.

Les quatre phases de la démarche d’audit informatique se présentent comme suit :

 Cadrage de la mission ;
 Compréhension de l’environnement informatique ;
 Identification et évaluation des risques et des contrôles afférents aux
systèmes ;
 Tests des contrôles.

2-1- Cadrage de la mission :

Les objectifs du cadrage de la mission se présentent comme suit :

Une délimitation du périmètre d’intervention de l’équipe d’audit informatique. Cela peut être
matérialisé par une lettre de mission, une note interne, une réunion préalable organisée entre les équipes

d’audit financier et d’audit informatique ;

 Une structure d’approche d’audit et organisation des travaux entre
les deux équipes ;
 Une définition du planning d’intervention ;
 Une définition des modes de fonctionnement et de communication.

Lors de cette phase, l’auditeur informatique prendra connaissance du dossier de l’équipe de

l’audit financier (stratégie d’audit, rapports d’audit interne, points d’audit soulevés au cours des
précédents audits).

2-2- Compréhension de l’environnement informatique :

Elle a pour but de comprendre les risques et les contrôles liés aux systèmes informatiques. Elle
peut se faire sur la base notamment, de la compréhension de l’organisation de la fonction informatique,
des caractéristiques des systèmes informatiques et de la cartographie des applications. Elle doit permettre
de déterminer comment les systèmes clés contribuent à la production de l’information financière.

A- L’organisation de la fonction informatique :

A ce stade, l’auditeur devra saisir les éléments suivants :

- La stratégie informatique de l’entreprise : il s’agit bien d’un examen du plan informatique, du comité
directeur informatique, des tableaux de bords etc.

- Le mode de gestion et d’organisation de la fonction informatique : il s’agit notamment de comprendre

dans quelle mesure la structure organisationnelle de la fonction informatique est adaptée aux objectifs de
l’entreprise. En outre, il faudrait apprécier si la fonction informatique est sous contrôle du management.
A cet effet, il faudrait examiner les aspects suivants :

L’organigramme de la fonction informatique (son adéquation par rapport aux objectifs assignés
à la fonction, la pertinence du rattachement hiérarchique de la fonction, le respect des principes
du
contrôle interne) ;
 La qualité des ressources humaines (compétence, expérience,
gestion des ressources, formation) ;
 Les outils de gestion et de contrôle (tableaux de bord, reporting,
contrôles de pilotage) ;
 Les procédures mises en place (leur formalisation, leur respect des principes de contrôle interne,
leur communication au personnel).

B- Caractéristiques des systèmes informatiques :

L’auditeur devra se focaliser sur les systèmes clés de façon à identifier les risques et les contrôles
y afférents. Ainsi, il faudrait documenter l’architecture du matériel et du réseau en précisant :

 Les caractéristiques des systèmes hardware utilisés (leur

architecture, leur procédure de maintenance, les procédures de leur monitoring).
 Les caractéristiques des systèmes software (systèmes d’exploitation, systèmes de communication,
systèmes de gestion des réseaux, de la base des données et de la sécurité, utilitaires).
 C- La cartographie des applications :

La documentation des applications clés devrait être effectuée de préférence, conjointement par
l’équipe de l’audit financier et celle de l’audit informatique. Les auditeurs financiers identifient les
comptes significatifs compte tenu du seuil de matérialité de la mission.

Les deux équipes recensent les processus qui alimentent ces comptes. Il reviendra par la suite, à
l’équipe d’audit informatique d’inventorier les applications informatiques utilisées dans ces processus
ainsi que leurs caractéristiques (langage de développement, année de développement, bases de données
et serveurs utilisés).

2-3- Identification et évaluation des risques et des contrôles afférents aux systèmes :

Il y a lieu d’identifier les risques liés aux systèmes informatiques et au contrôle dans un environnement
informatisé. Ils concernent aussi bien les risques liés aux contrôles généraux informatiques que ceux
liés aux applications.

Se focaliser sur les risques ayant un impact direct ou indirect sur la fiabilité des états financiers
demeure indispensable.

Les risques liés à la fonction informatique sont relatifs à l’organisation de la fonction

informatique, au développement et mise en service des applications, à la gestion de l’exploitation et à
la gestion de la sécurité.

Une fois ces risques recensés, l’auditeur devra évaluer les contrôles mis en place par l’entreprise
pour gérer ces risques.

2-4- Tests des contrôles :

Les tests des contrôles informatiques peuvent être effectués en utilisant aussi bien des
techniques spécifiques aux environnements informatisés (contrôles assistés par ordinateurs, revue des
codes, jeux de tests) que des techniques classiques (examen des pièces et documents).

3. Outils d’audit informatique :

On présentera dans cette partie les outils d’audit informatique les plus répandus, tout en
insistant sur leurs avantages et leurs limites respectives.

3-1- La programmation classique3 :

Elle est basée sur la manipulation d’un langage qui peut être différent suivant le matériel et le
site.

A- Formation à la programmation :

Une formation de base à l’informatique est évidemment nécessaire pour comprendre et

assimiler un langage de programmation.

La formation à l’apprentissage d’un langage nécessite :

 Une formation initiale, dont la durée est au minimum de deux à trois

semaines ;
 L’acquisition de l’expérience, ce qui implique que l’auditeur réalise régulièrement des
programmes.

La mise en œuvre d’un langage de programmation nécessite également l’apprentissage du

langage d’ordres de contrôle pour soumettre les travaux à l’ordinateur.

B- Contraintes :

La conception, l’écriture et le test d’un programme sont des opérations longues, même lorsqu’il
s’agit de programmes simples. Si l’auditeur ne pratique pas régulièrement le langage, son temps de «
réadaptation » est un élément supplémentaire dans l’estimation du coût du test.

 L’utilisation d’un langage de programmation permet de résoudre théoriquement tous les tests
d’audit nécessitant une informatisation. L’investissement en programmation est par contre
important mais amortissable dans le cas de la reconduction des tests que les autres
exercices audités.
 La difficulté la plus importante concerne la nécessité d’une formation adéquate des auditeurs
si l’équipe d’audit ne dispose pas d’un informaticien.

3-2- La programmation classique à l’aide de progiciels d’audit4 :

Les progiciels d’audit sont des ensembles de programmes permettant une programmation
simplifiée. Ils peuvent fournir une collection des modules standardisés pour lesquels seul un
paramétrage est nécessaire.

Le marché des progiciels propose des produits de conception et d’utilisation très différentes,
mais ayant tous pour objectif de limiter le temps d’élaboration de la programmation.

A- Caractéristiques des progiciels d’audit :

Les progiciels d’audit peuvent appartenir à deux grandes familles : générateurs de langages,
nécessitant une compilation avant exécution et programmes immédiatement exécutables après
interprétation.

Les fonctionnalités prévues dans les progiciels d’audit peuvent être regroupées en plusieurs
catégories :

 Générateur d’états, traitant plus ou moins automatiquement :

- La lecture des fichiers, avec fusion ou rapprochement entre fichiers. Ces derniers pouvant
être sous forme traditionnelle ou de
base de données ;
- La reconnaissance des enregistrements ;
- L’application des critères de sélection : opérateurs SI, ET, OU,
NON, EGAL, INFERIEUR, SUPERIEUR ;
- L’exécution d’opérations arithmétiques : addition, soustraction,
exponentielle, fonctions trigonométriques… ;
- La totalisation automatique des zones numériques ;
- Le tri des informations, soit avant traitement, soit après
sélection ;
- Edition et mise en page.
 Contrôle sur les données :
- Contrôles de valeur par rapport à des fourchettes ;
- Contrôles spécifiques : Validité des dates, séquences, doublons.
 Méthode de stratification et d’échantillonnage basées sur des
approches statistiques.

 Outils liés à certaines techniques d’audit : comparaison de

programmes, analyse de fichiers créés par le système d’exploitation.

B- Le choix d’un progiciel d’audit :

Les critères de choix sont nombreux, ils portent en particulier sur :

 La « transportabilité » du produit, c'est-à-dire la possibilité de l’utiliser sur n’importe quel site.

 La facilité d’utilisation, liée à la conception du progiciel et à son
 mode de paramétrage.
 La possibilité d’accéder aux bases de données.
 La performance, surtout utile en cas d’utilisation systématique et répétitive.

C- Formation5 :

Bien que d’emploi plus simple qu’un langage de programmation, le progiciel d’audit demande une formation
approfondie, et pouvant être estimée d’une à deux semaines suivant les spécifications du produit. Une
formation à l’utilisation des ordres de contrôle est également indispensable.

D- Contraintes :

Le danger principal dans l’utilisation des progiciels est leur facilité d’emploi : Le programme fonctionne
pratiquement sans problème, mais peut traiter incorrectement les données, suite à un mauvais paramétrage.
Les résultats obtenus peuvent alors être totalement faux sous des apparences tout à fait justes. L’auditeur doit
donc être particulièrement prudent et mettre en place des contrôles pour tester la validité de ses travaux.

L’utilisation d’un progiciel est actuellement un moyen efficace et plus économique pour pratiquer des tests
informatisés. Conditionné à la fois par les types de matériels sur lesquels il doit être implanté et par les
fonctionnalités attendues, le choix du progiciel doit permettre la résolution du maximum de problèmes
envisageables, sans attendre toutefois à ce qu’il soit l’outil universel.

3-3- Micro-informatique6 :
A- Champ d’application :

Le développement actuel des logiciels sur micro-ordinateur et le coût de moins en moins significatif du matériel
conduisent tout naturellement l’auditeur à se préoccuper du phénomène et à envisager l’utilisation de la
micro-informatique.

B- Productivité et micro-ordinateur :

L’utilisation du micro-ordinateur a été développée par certains cabinets d’audit dans le cadre d’une amélioration
de la « productivité », en faisant le plus souvent appel au traitement de textes et aux tableurs.

Les applications significatives dans ce domaine recouvrent :

 La gestion du planning prévisionnel et le suivi des temps,

permettant des synthèses par collaborateur et par dossier ;
 Le développement de feuilles de travail spécialisées pour : calculs,
répétitifs ou non, comparaisons de données financières entre plusieurs
exercices, calcul de pourcentage, etc. ;
 Le développement de plans de missions, qui peuvent, via des
modifications mineures, être reconduits d’un exercice à l’autre ; ces plans sont alors conservés sur des fichiers de
traitement de textes ;
 L’utilisation du traitement de textes pour l’élaboration des rapports ;
le micro-ordinateur pouvant, le cas échéant, être relié à un système de traitement de textes ;
 L’utilisation des possibilités graphiques facilitant la compréhension et l’analyse de certaines données.

3-4- Langages de 4ème génération7 :

A- Définition :

Sous ce vocable sont regroupés des logiciels dont les concepts de base comprennent :

 Un gestionnaire de données ;
 Un extracteur éditeur généralisé ;
 Un outil de prototypage d’application ;
 Des outils d’aide à la décision : tableur, graphisme ;
 Des macros de langages.
 Leur développement va prendre une importance croissante dans les années à venir. L’auditeur doit donc
rapidement prendre en compte ce nouveau phénomène.

 B- Approche de l’auditeur :
 Si ces langages de 4ème génération sont utilisés dans tout l’éventail de leurs possibilités, l’auditeur va disposer
d’un outil très complet d’investigation.

 L’approche des systèmes par l’auditeur est facilitée par la présence de dictionnaires de données généralisés
et par des outils de documentation automatique qui auront l’avantage d’être constamment tenus à jour.

 Ce nouvel environnement implique, de la part de l’auditeur, une connaissance des outils avant de commencer
ses travaux. En particulier, l’apprentissage de l’utilisation des extracteurs/éditeurs généralisés est
indispensable pour qu’ils puissent pratiquer des analyses de fichiers, les autres outils n’étant alors plus
applicables.

 Les langages de 4ème génération vont sûrement bouleverser l’approche de l’auditeur, qui doit redéfinir sa
méthodologie de travail. En revanche, ces langages lui apportent une souplesse et une efficacité accrue dans
ses interventions.

 Face aux besoins de contrôle des systèmes automatisés, l’auditeur

 dispose d’une « boite à outils » riche, et extensible en fonction de l’évolution très rapide des moyens
informatiques.
 Les systèmes automatisés devant une règle générale plutôt qu’une exception, il est nécessaire que les
techniques deviennent accessibles aux non-spécialistes. Les développements actuels répondent aux besoins
d’accès rapides, faciles et indépendants pour les utilisateurs des systèmes d’information ; ils correspondent
également aux besoins de l’auditeur et lui apportent, ou apporteront, une aide précieuse dans le déroulement
et l’exécution des travaux d’audit.