Vous êtes sur la page 1sur 8

03/11/2020

Cours d’Audit des systèmes d’information


Introduction
Audit Contrôle

Chapitre I : Introduction à
l’a
l’audit
udit des SI
Pr. Wadi TAHRI

Semestre 9

© Toute reproduction est interdite sans accord explicite de l’auteur – Pr. Wadi TAHRI © Copyright 2020 – Pr. Wadi TAHRI

Introduction Qu’est ce que le contrôle interne ?


Le contrôle interne est une traduction littéraire de l’anglais du
- L’importance de l’audit des SI n’est plus à verbe « to control » qui signifie : conserver la maitrise de la
démontrer (scandales financiers, beug situation, alors qu’en français le mot « contrôle » est
informatique,…) davantage compris comme le fait d’exercer une action de
surveillance sur quelque chose pour l’évaluer (Bernard et al,.
- L’informatique et les télécommunications sont 2013).
devenues le premier secteur économique mondial
- 4500 milliards de dollars de dépenses annuels Le contrôle interne d’une entreprise est un système de
contrôle établi par les dirigeants pour conduire l’activité de
- L’approche processus au cœur de l’audit des SI l’entreprise d’une manière ordonnée, pour assurer le
maintien de l’activité et l’intégrité des actifs, et fiabiliser les
flux d’information (Grand et Verdalle, 2002; pigé, 2001).

© Copyright 2020 – Pr. Wadi TAHRI © Copyright 2020 – Pr. Wadi TAHRI

1
03/11/2020

Le COSO Définition de l’audit


« Une procédure consistant à s'assurer du caractère
complet, sincère et régulier des comptes d'une entreprise, à
s'en porter garant auprès des divers partenaires intéressés
de la firme et, plus généralement, à porter un jugement sur
la qualité et la rigueur de sa gestion », Dictionnaire Larousse.

Selon l’IFACI, l’audit interne est : « une activité de contrôle et


de conseil qui permet d'améliorer le fonctionnement et la
Source : www.coso.org
performance d'une organisation ».
© Copyright 2020 – Pr. Wadi TAHRI © Copyright 2020 – Pr. Wadi TAHRI

Types d’audit Principes de l’auditeur

Audit interne Déontologie

Audit externe Impartialité

Audit de certification Conscience professionnelle

Indépendance

© Copyright 2020 – Pr. Wadi TAHRI © Copyright 2020 – Pr. Wadi TAHRI

2
03/11/2020

Exemple
Le champ d’application • Libellé du processus à auditer : Processus de production des engrais : processus de transformation du
soufre solide
• Organisme audité ; Groupe OCP Périmètre de l’audit: Maroc Phosphore JORF LASFAR
• Service audité : Production des engrais Champ de l’audit: procédé de transformation du soufre solide
• Nombre de jours: 2jours
• Le champ d’application d’une mission d’audit •

Dates de l’audit : du 20/11/15 au 21/11/15
Déroulement de la mission d’audit
peut varier de façon significative en fonction 20/11/12: Réunion d’ouverture
20/11/12: planification et gestion technique

de deux éléments : l’objet et la fonction.


20/11/12: service production
21/11/12: service matériel
21/11/12: service étude et amélioration technique
21/11/12: Réunion de clôture
• Equipe d’audit :
Commanditaire : Mr Wadi TAHRI
• La durée : « Quelle est la durée d’une mission Auditeurs : Mlle FAMA DIAGNE
Mr Driss Salhi
d’audit ? » • Personnes auditées :
Mr FIZAZI Ahmed, directeur du département production
Mr Faycal Ahmadi, responsable Service Planification et Gestion Technique
Mme Asma Nait, responsable service production
M. Hassan Bourit, responsable service matériel
M. Ali BOUFOUS, responsable service étude et amélioration technique.

© Copyright 2020 – Pr. Wadi TAHRI © Copyright 2020 – Pr. Wadi TAHRI

Les phases de l’audit L’audit des SI

• Il y a 3 phases : • L’audit des systèmes d’information est un audit


indépendant, objective,
Phase de préparation (ou d’étude), • Guide l'organisation dans ses opérations pour la
Phase de réalisation (ou de vérification), création de valeur ajoutée,
• Aide l'entreprise à atteindre ses objectifs
Phase de conclusion stratégiques et opérationnels par l'intégration des
TIC,
• Permet d’évaluer et améliorer l’efficacité du
contrôle des systèmes d’information des
organisations.

© Copyright 2020 – Pr. Wadi TAHRI © Copyright 2020 – Pr. Wadi TAHRI

3
03/11/2020

Comment ? Audit des SI & approche processus


• Permet de repérer tous les contrôles qui • Pour faire l’audit des SI (ensemble), on s’appui
régissent les systèmes d’information et sur les processus :
d’évaluer leur efficacité.
• L’approche processus est une méthode
• L’auditeur doit connaitre les objectifs fondamental dans l’audit des SI afin de :
stratégiques, la structure organisationnelle, – De comprendre, d’évaluer et répondre aux objectifs
les procédures manuelles, les applications et – De considérer les processus en termes de VA
aussi les activités d’exploitations, – De mesurer la performance et l’efficacité
d’infrastructure technologique et le réseau – D’améliorer en permanence les SI sur la base de
de télécommunication et bien sûre les outils mesures/objectives
de l’audit.
© Copyright 2020 – Pr. Wadi TAHRI © Copyright 2020 – Pr. Wadi TAHRI

Définitions d’un processus (rappel) Qu’est ce que l’approche processus ?


• « Un Processus est un enchaînement ordonné de
faits ou de phénomènes répondant à un certain
schéma et aboutissant à un résultat déterminé ». • C’est une méthode d’analyse ou de modélisation
• « Un Processus est une suite continue d’opérations qui consiste à décrire de façon méthodique une
constituant la manière de faire quelque chose ». organisation ou une activité, généralement dans
• Un processus est un ensemble d’opérations et le but d’agir dessus.
d’activités transformant des éléments d’entrées
(informations, matières premières,…) en éléments
de sorties. Ces activités impliquent l'attribution de
ressources, notamment personnel et matériels.

© Copyright 2020 – Pr. Wadi TAHRI © Copyright 2020 – Pr. Wadi TAHRI

4
03/11/2020

Exemple

© Copyright 2020 – Pr. Wadi TAHRI © Copyright 2020 – Pr. Wadi TAHRI

Représentation des processus dans une


entreprise Management de processus par les SI

© Copyright 2020 – Pr. Wadi TAHRI 19 © Copyright 2020 – Pr. Wadi TAHRI

5
03/11/2020

Flowchart Flowchart
Symboles Descriptions
Symboles Descriptions
Début / fin d’un processus
Document

Décision ou question qui nécessite


une décision humaine
Base de données

sous processus
Opération manuelle

Processus entièrement manuelle

Personne

Arrêt d’une étape qui demande un


contrôle et une décision humaine

Lien entre deux étapes

© Copyright 2020 – Pr. Wadi TAHRI © Copyright 2020 – Pr. Wadi TAHRI

Exemple de cartographie
Service achats Service réception des Service financier
Solutions logiciels
marchandises

Bon de Fournisseur
commande

Marchandises

Réception, contrôle, Facture


stockage

Bon de
livraison
Cohérence entre
N les 3 documents ?

O
Règlement du
montant de la facture

Recherche de
l’incohérence

© Copyright 2020 – Pr. Wadi TAHRI © Copyright 2020 – Pr. Wadi TAHRI

6
03/11/2020

La Fiche d’écart La FRAP


Service : Informatique

Entité :JorfLasfar
Service audité: Direction Production FE N°1 Nom du rédacteur : Mlle AMOUSSOUGA Adéline et HAICHEM Ghita
Processus de
Superviseur : M. TAHRI N° FRAP : 2
production: Année : 2016
transformation Problème :
du soufre solide
Responsable d’audit: Mr X FICHE D’ECART
Personnes auditées: Mr
Dépassement du budget prévu pour les coûts de fonctionnement du SI
Auditrice : Y Boumouch, Mr Abou
Jaouad Constat :
Le : 21/11/16 Stockage Port
La hausse des frais relatifs à la maintenance
Problème : Perte de volume de la matière première au niveau du stockage port. Cause :
Constats : L’entretien avec le directeur de la production nous a fait constater qu’il y’a souvent
des retards dans le transfert de la matière première du port vers l’usine et aussi des pertes de
Absence d’une stratégie à long terme de réduction des coûts
poids. Absence d’un benchmark afin de comparer ses coûts à ceux des concurrents
Causes:
Retard de la signature des différents responsables pour permettre le transfert de la matière Non-respect du budget alloué aux coûts de fonctionnement des SI
première Conséquences :
Longue durée de stockage au niveau du port
Risques /conséquences : Faible rentabilité du SI
Manque à gagner
Impact négatif sur les prévisions Influence négatif sur le résultat de l’entreprise
Recommandations :
Recommandations :
Installation d’un système d’information pour réduire le temps nécessaire aux responsables
pour donner la signature. mise en place d’un plan de réduction des coûts de fonctionnement SI (ex solucom)
Établir un tableau de bord pour le responsable du service afin d’assurer un suivi
© Copyright 2020 – Pr. Wadi TAHRI rigoureux du système d’information mis en place

La check list La check list


• Système d’information est-il opérationnel ? • Plate-forme technique
– Ressaisies fréquentes ? Déconnections – reconnections ? – La direction de l’informatique dispose-t-elle des compétences
– Habilitations claires ? Droits d’accès automatiques ? nécessaires ?
Identifications fréquentes ? – La mise en œuvre d’un produit est-elle l’occasion d’un effort de
– Gestion des impressions ? Qualité des courriers ? formation et d’appropriation ?
– Efficacité de l’aide apportée par le SI ? – La veille technologique est-elle active ?
– Existe-t-il une enquête de satisfaction ? A-t-elle des suites ? – Progiciels
– Frontière externalisation / interne
– Que disent les utilisateurs sur le SI : « ça marche mal », ou bien
« c’est bien organisé ? » – Le dimensionnement du réseau télécoms est-il suffisant ?
– Les formations sont-elles dispensées avant les déploiements ? Des – L’architecture informatique est-elle conforme à l’état de l’art ?
« piqûres de rappel » sont-elles faites ? – Le coût de maintenance est-il raisonnable ?
– Les performances sont-elles convenables ? Les pannes sont-elles – Les solutions sont-elles volontiers utilisées ?
fréquentes ? – Groupware, workflow, Web, Intranet etc.
– Le support aux utilisateurs est-il efficace ? – Possède-t-on les compétences nécessaires pour les mettre en
œuvre? …

© Copyright 2020 – Pr. Wadi TAHRI © Copyright 2020 – Pr. Wadi TAHRI

7
03/11/2020

La check list Diagramme Kiviat


• Système d’aide à la décision :
– Les dirigeants disposent-ils d’un tableau de bord de bonne
qualité?
– Le comité de direction passe-t-il du temps à confronter des
statistiques incohérentes ?
– Le SI fournit-il des indicateurs utiles aux managers opérationnels ?
• Maitrise du SI :
– La fonction de coût du SI est-elle connue ?
– Les classifications comptables sont-elles correctes ?
– La dynamique de coût (développement, maintenance) est-elle
maîtrisée ?
– Le degré d’informatisation de l’entreprise est-il convenable ?

© Copyright 2020 – Pr. Wadi TAHRI © Copyright 2020 – Pr. Wadi TAHRI

La méthodologie PDCA

Identifier &
formaliser

Evaluer ou
Valider
mesurer

Améliorer

La méthodologie PDCA

© Copyright 2020 – Pr. Wadi TAHRI