Académique Documents
Professionnel Documents
Culture Documents
INTERNATIONAL DEVELOPMENT
FASCICULE III
GUIDE D’AUDIT OPÉRATIONNEL
DES SYSTÈMES D’INFORMATION
ANNÉE 2007
ROYAUME DU MAROC
MINISTÈRE DE L’INTÉRIEUR
IGAT
Sommaire
1 Introduction 4
1.1 Objectifs 4
1.2 Périmètre des audits des systèmes d’information 4
1.3 Documentation nécessaire pour l’audit des systèmes d’information 6
1 Introduction
1.1 Objectifs
Le présent guide est destiné à homogénéiser la démarche de conduite des missions d’audit
des systèmes d’information au niveau des différentes Collectivités Locales, Directions
Centrales du Ministère de l’Intérieur, et/ou toutes autres entités pouvant faire l’objet de
missions d’audits de systèmes d’information rentrant dans le domaine d’intervention de
l’IGAT.
Ce guide d’audit, qui à notre sens, constitue le principal outil de l’auditeur, est important à
deux titres :
d’abord, par ce qu’il permet d’orienter et de faciliter les travaux de l’auditeur en charge
de l’audit des systèmes d’information, quel que soit le type de la structure ou entité
concernée, objet de l’audit. Bien évidemment, des adaptations minimes s’imposeront
pour le rendre parfaitement adéquat au système d’information du site audité,
l’audit d’une application informatique permet d’évaluer les risques de cette application
Cette liste n’est évidemment pas exhaustive et pourra être élargie pour comprendre d’autres
documents, selon les besoins d’analyse, tels que les tableaux de bords et reportings
décisionnels, le taux de turnover des ressources informatiques, …
2.1.1 Préambule
La première étape de l’audit opérationnel des systèmes d’information est la prise de
connaissance de l’organisation informatique et des systèmes d’information de
l’organisation auditée. Il s’agit notamment de connaître et d’apprécier :
- la structure organisationnelle chargé des systèmes d’informations et ses composantes
(entités, effectifs, équipements et ressources (matériels, applications, et humaines),
- les missions, objectifs et finalités de la structure en charge de l’informatique et des
systèmes d’information,
- le plan Informatique et/ou schéma directeur en vigueur,
- l’architecture informatique,
- la conformité aux exigences légales,
- la sécurité informatique.
Pour mener à bien sa mission d’audit de l’organisation informatique et des systèmes
d’information, l’auditeur doit pouvoir se mettre à disposition :
L’organigramme de la structure en charge de l’informatique et des systèmes
d’informations,
Les fiches de fonctions des différents responsables rattachés à la structure en charge de
l’informatique et des systèmes d’information,
Les informations ayant trait aux objectifs, politiques et orientations en matière de
systèmes d’information et d’informatique,
Les plans informatiques et schémas directeurs s’ils existent,
L’architecture et la cartographie des systèmes d’information,
La liste des équipements informatiques (matériels, logiciels, applications…),
La charte informatique si elle existe,
Les procédures de sécurité informatique.
Les personnes à rencontrer dans le cadre de l’audit de l’organisation informatique et
systèmes d’information sont :
Les responsables informatiques et système d’information de l’organisation auditée,
Les hautes instances de l’organisation auditée,
Un échantillon représentatif des utilisateurs et gestionnaires concernés par l’informatique
et les systèmes d’information.
Réponses : Justification de
Guide d’exploration
Oui/non réponses négatives :
Réponses : Justification de
Guide d’exploration
Oui/non réponses négatives :
Réponses : Justification de
Guide d’exploration
Oui/non réponses négatives :
Réponses Justification de
Guide d’exploration
: Oui/non réponses négatives :
SOUS RUBRIQUE : QUESTIONS RELATIVES À L’EXISTENCE D’UN PLAN INFORMATIQUE ET/OU D’UN SCHÉMA
DIRECTEUR
auditée ?
SOUS RUBRIQUE : QUESTIONS RELATIVES À L’EXISTENCE D’UN PLAN INFORMATIQUE ET/OU D’UN SCHÉMA
DIRECTEUR
La direction tient-elle, au moins deux fois par an, des réunions avec
le comité directeur pour contrôler l’application du schéma directeur
et des plans informatiques à court terme et les réviser si
nécessaire ?
Réponses Justification de
Guide d’exploration
: Oui/non réponses négatives :
SOUS RUBRIQUE 1 : QUESTIONS RELATIVES AUX BUDGETS ALLOUÉS AUX INVESTISSEMENTS INFORMATIQUES
Réponses : Justification de
Guide d’exploration
Oui/non réponses négatives :
Réponses : Justification de
Guide d’exploration
Oui/non réponses négatives :
Réponses : Justification de
Guide d’exploration
Oui/non réponses négatives :
Réponses Justification de
Guide d’exploration
: Oui/non réponses négatives :
Réponses : Justification de
Guide d’exploration
Oui/non réponses négatives :
2.2.1 Préambule
La deuxième étape de l’audit des systèmes d’information est l’audit des acquisitions
informatiques (matériels et applications) et des installations. A ce stade, l’auditeur portera
attention au(x) :
L’auditeur, pour mener à bien sa mission d’audit des acquisitions (matériels et applications)
et des installations, doit pouvoir se mettre à disposition :
Réponses : Justification de
Guide d’exploration
Oui/non réponses négatives :
Réponses : Justification de
Guide d’exploration
Oui/non réponses négatives :
des demandes de maintenance non satisfaites et reportées dans un registre de suivi des
opérations de maintenance,
des réclamations des utilisateurs,
des résultats des enquêtes de satisfaction des utilisateurs du système d’information (s’il y
a lieu).
Les personnes à rencontrer dans le cadre de l’audit de maintenance et d’exploitation (des
systèmes applicatifs et équipements informatiques) sont :
Réponses : Justification de
Guide d’exploration
Oui/non réponses négatives :
Quels sont les indicateurs et/ ou les ratios clés sur lesquels les
utilisateurs doivent se pencher et suivre l`évolution pour mener à
bien leur mission ?