Chapitre 4 

1-l’audit du système d’information comme outil privilégié du contrôle interne

Dans un contexte concurrentiel, l’entreprise ne peut pas se permettre de lâcher

le moindre détail, en plus de sa veille sur son environnement externe afin de saisir
les opportunités et de se méfier des menaces, l’organisation doit surveiller avec et
être attentif à ce qui sa situation interne. La notion de contrôle interne est une
notion très importante pour les entreprises, pour leur management, et qui
permette de maitriser au mieux l’ensemble des processus mis en œuvre par
l’entreprise pour réaliser ses objectifs. On peut dire que le contrôle interne a pour
objectif d’assurer la protection, la sauvegarde du patrimoine et la qualité de
l’information ; assurer la conformité par rapport aux lois et aux règlements ; et
également d’assurer l’application des instructions de la direction en vue
d’améliorer les performances de l’entreprise.

Le système d’information étant l’ensemble des moyens humains, matériels ainsi

que des méthodes visant à acquérir, stocker, traiter et diffuser l’information, il
constitue donc un patrimoine essentiel pour l’entreprise, la confidentialité et la
disponibilité de l’information constitue un enjeu très important pour la
compétitivité de l’entreprise. Le système d’information étant comme
l’intermédiaire entre le système opérant de l’entreprise et le système de pilotage,
il constitue une variable déterminante en interne qui est relié directement avec sa
performance. Tout ce qu’on vient d’évoquer nous montre l’intérêt spécial que doit
montrer le contrôle interne pour le système d’information, d’où un audit du
système d’information peut lui être un outil privilégié pour atteindre ses objectifs
voir l’assurance et la protection et la sauvegarde du patrimoine et la qualité de
l’information.

Le système d’information d’une entreprise tend de plus en plus à gérer

l’ensemble des processus, qu’il s’agisse de processus administratifs, processus de
gestion, processus commerciaux, marketing ou encore de processus métiers, la
performance de ce système d’information influe largement sur la capacité de
l’entreprise à atteindre ses objectifs. Cependant, le système d’information n’est
pas toujours parfaitement maîtrisé par l’entreprise en question en interne. Qu’il
s’agisse d’une mauvaise connaissance des ressources informatiques utilisées, de
budgets insuffisants, de technologies obsolètes ou inadaptées, ou encore, de non
respects législatifs (licences, protections des données..) la liste des manquements
pourraient être longue. Il importe donc mettre en place une rationalisation de ce
système d’information, à travers différentes normes et procédures, ou encore,
avec la réalisation d’un audit de système d’information.

Le système d’information peut fournir les données nécessaires pour assurer

l'identification, la traçabilité et la vérification des processus. Il est donc
indispensable d'instrumenter chaque processus dans cette logique, d'assurer la
pertinence de cette instrumentation et son maintien en bonnes conditions de
fonctionnement. La maîtrise des processus de l’entreprise et la maîtrise du
système d’information deviennent totalement imbriquées et relèvent d’une même
approche de surveillance. C'est pour cette raison que l’audit informatique (qui
veille sur le bon fonctionnement des systèmes informatiques, des projets, des
applications opérationnelles et plus généralement du système d'information de
l'entreprise) constitue un pilier indispensable à la maîtrise du contrôle interne.

L’audit informatique, dans son acception la plus complète, doit analyser la

pertinence du système d’information lui-même, c’est-à-dire l’efficacité de l’appui
qu’il fournit aux processus de toute l’entreprise. Les applications informatiques
sont en effet le support de l’ensemble des règles de gestion, des flux d’information
internes et externes, des modes opératoires de la plupart des postes de travail.
L’évaluation d’une opération bancaire, la liquidation des droits d’un retraité, la
facturation d’un opérateur télécom, la prise en charge d’un client dans un centre
d’appels, la préparation d’une livraison par un entrepôt,... ne seront efficaces que
si le système d’information mis en œuvre satisfait exactement les multiples
contraintes : délais, règles légales et contractuelles, règles de gestion de
l’entreprise, conservation, disponibilité et accessibilité des informations, etc. A
travers le système d’information, on peut analyser et mesurer l’efficacité et la
pertinence d’une grande partie des processus opérationnels et des processus de
pilotage de l’entreprise. D’autant plus que le système d’information constitue
souvent la seule trace concrète et auditable du fonctionnement réel.

Un audit du système d’information est l’observation, examen, analyse de faits,

situations et informations par rapport à des référentiels internes (politiques de
l’entreprise) ou externes (la réglementation), de manière à mettre en évidence des
écarts ou des dysfonctionnements, en rechercher les causes et les conséquences
en termes de risques et de couts, permettant ainsi à l’auditeur de présenter dans
un rapport des avis et des recommandations à court et moyen terme.

L’audit des systèmes d’information permet de vérifier, apprécier et valider :

– la cohérence et l’adéquation de l’organisation des systèmes d’information en
vigueur et de ses composantes
– la cohérence des systèmes d’information par rapport aux objectifs de
l’organisation auditée
– l’adéquation des choix et investissements informatiques (hardware et software)
par rapport aux besoins de l’organisation et des différents gestionnaires et
utilisateurs (à tous les niveaux)
– l’existence d’un plan de développement informatique à moyen terme
– les domaines d’activités couverts par l’informatique et le degré d’informatisation
de ces activités au niveau de l’organisation objet de l’audit
– l’efficacité et les compétences des services informatiques,
– les performances des matériels et logiciels.