Manuel d'audit

Nom du client Cabinet : Exercice

Sujet QUESTIONNAIRE COMPREHENSION DE L’ENVIRONNEMENT GENERAL DE
CONTRÔLE : SYSTÈME D’INFORMATION

Questions Réf Oui Non Commentaires

1- Organisation et structure :

1. Existe-t-il un organigramme des services

informatiques ?

2. Le service informatique est-il rattaché directement à la

direction générale ?

3 Les procédures de séparations de fonctions sont-elles

satisfaisantes :
- Les informations ne sont pas habilités à
exercer des fonctions en dehors du champ
d’action de la fonction informatique ?
- Les chefs de projet, analystes et
programmeurs ne sont pas habilités à
exercer des fonctions dévolues à
l’exploitation et vice versa pour les équipes
d’exploitation ?
- Les ingénieurs système ne sont pas
habilités à développer des applications, ou à
exercer des fonctions d’exploitations ?
- Les programmeurs ne peuvent pas exercer
des fonctions d’utilisateur.

4. L’informatique est-elle dotée d’un manuel des

procédures ?

5. Les procédures de gestion du personnel sont-elles

adaptées aux risques liés à la fonction informatique :
- Recrutement ?
- Formation permanente ?
- Evaluation périodique ?
- Départ en vacances obligatoire ?

6. La documentation technique (livres, revues…) est-elle

satisfaisante ?

7. L’équipement informatique est-il assuré de façon

satisfaisante ?

2- Plan Informatique- Etudes :

1. L’entreprise établit-elle un plan informatique ?

2. Le plan informatique traite-t-il :

- Les objectifs généraux du système
d’information ?
- Le niveau d’information souhaité ?
- L’estimation des besoins en :
• Matériels ?
• Développement d’applications ?

© 2015 AJECT, Tous droits réservés

 Manuel d'audit

Questions Réf Oui Non Commentaires

• Acquisition de progiciels ?
• Et formation du personnel informatique
et des utilisateurs ?

3. Procède-t-on à une étude pour choisir le système

informatique ?

4. Le choix entre progiciel et programmation propre

résulte-t-il d’une étude ?

3- Développement :

1. Les développements de systèmes sont-ils effectués

selon une méthodologie ?

2. Les représentants des services utilisateurs, y compris

le service comptable, participent-ils à la mise au point
des applications et programmes ?

3. Les fonctions de programmation sont-elles séparées

des fonctions d’exploitation ?

4. L’étude fonctionnelle prend-elle en compte :

- La philosophie des contrôles manuels et
informatisés au niveau du système ?
- La philosophie des contrôles au niveau de la
fonction informatique ?
- Les procédures de sauvegarde, de
restauration et de reprise ?
- La formation nécessaire des informaticiens ?
La formation nécessaire des utilisateurs ?
5. La conception des applications et la programmation
sont-elles établies selon des normes ?

6. Chaque projet d’application est-il examiné et

approuvé par la direction générale et les services
utilisateurs concernés avant que l’on entreprenne la
conception de l’application ?

7. L’état d’avancement des travaux est-il examiné et

comparé périodiquement avec le plan et le calendrier
de travail ?

8. Une dernière approbation est-elle obtenue avant la

mise en service de la nouvelle application ?

9. Les applications et programmes sont-ils testés par les

informaticiens et les utilisateurs ?

10. Les tests finaux portent-ils sur l’ensemble de

l’application, aussi bien sur les tâches manuelles
qu’informatisées ?

11. Les tests finaux sont-ils conservés par l’entreprise ?

12. Les contrôles effectués sur les traitements initiaux

assurent-ils l’obtention de résultats complets et précis,
et empêchent-ils des changements non autorisés des

© 2015 AJECT, Tous droits réservés

 Manuel d'audit

Questions Réf Oui Non Commentaires

fichiers ?

Questions Réf Oui Non Commentaires

13. La documentation est-elle constituée au fur et à

mesure de l’avancement du projet dans les phases de
développement ?
4- Modifications :

1. Toute modification nécessite-t-elle l’autorisation

préalable d’un responsable ?

2. Est-il interdit aux opérateurs de modifier des

programmes, si peu que ce soit ?

3. Toute modification fait-elle l’objet d’une demande

écrite des utilisateurs ?

4. Toute modification est-elle effectuée sur des copies

de programmes ?

5. Toute modification est-elle testée avec des jeux

d’essai avec des copies autorisées de fichiers réels ?

6. La mise en production du ou des programme(s)

modifié(s) est-elle précédée de l’accord du
responsable hiérarchique du programmeur et de
l’utilisateur ?

7. Les documentations sont-elles mises à jour à chaque

modification :
- Analyse/programmation ?
- Exploitation ?
- Utilisateur ?

5- Documentation :

1. Toutes les applications sont-elles documentées ?

2. La rédaction de la documentation des applications

est-elle claire ?

3. Tous les programmes sont-ils documentés ?

4. La rédaction de la documentation des programmes

est-elle claire ?

5. Dispose-t-on d’un guide utilisateur pour chaque

application ?

6. La rédaction de la documentation des guides

utilisateurs est-elle claire ?

7. La documentation comprend-elle :

© 2015 AJECT, Tous droits réservés

 Manuel d'audit

Questions Réf Oui Non Commentaires

- Un descriptif du système ?
- Une liste des programmes établis et mis en
œuvre et de leurs modifications ?

• L’objet et la description du programme ainsi que

ses variantes successives ?
• L’analyse fonctionnelle et détaillée des chaînes
de traitement et sous programmes ?
• Les éléments des essais et tests effectués sur le
programme ?
• Les instructions pour l’exploitation du programme
et les contrôles à effectuer ?
• Les exemples des états et renseignements à
produire ?
• Un manuel d’instructions donnant au personnel
de l’exploitation les consignes précises pour le
fonctionnement et l'exploitation du système et des
programmes particuliers ?

6- Intégrité :

1. Existe-t-il des procédures assurant l’intégrité des

systèmes mis en production ?

2. Ces procédures permettent-elles un contrôle suffisant

dans les domaines suivants :
- Protection contre les accès non autorisés ?
- Journalisation des modifications ?
- Correspondance entre programmes
d’exploitation sources et objets ?
7- Organisation de la sécurité :

1. Existe-t-il une stratégie de la sécurité des accès

logiques dans l’entreprise ?

2. Existe-t-il une stratégie de la sécurité portant sur la

protection :
- Des accès physiques ?
- Des procédures de sauvegarde, restauration
et reprise ?
- Un plan de sauvegarde en cas de
destruction physique du patrimoine
informatique ?
8- Accès physiques :

1. Existe-t-il des procédures limitant l’accès physique

aux actifs informatiques :
- Les utilisateurs ne sont pas admis dans les
locaux de l’informatique ?
- Les pupitreurs, seuls ont accès à la salle
machine ?
- Les pupitreurs n’ont pas accès à la
bandothèque ?
- Les tiers accédant aux locaux informatiques
font l’objet d’une autorisation préalable ?
- Les documentations ne sont accessibles
qu’aux personnes autorisées :
• documentation

© 2015 AJECT, Tous droits réservés

 Manuel d'audit

Questions Réf Oui Non Commentaires

analyse/programmation ?
• documentation exploitation ?
• documentation réseau ?
• documentation base de données ?
• documentation sécurité ?

2. La gestion du système retenu est-elle satisfaisante

pour traiter les problèmes suivants :
- Vol ?
- Démission, licenciement ?

3. Le système de protection des accès physiques

assure-t-il une protection 24 heures sur 24 par des
procédés de gardiennage ?

4. En cas de crise (mouvements sociaux, par exemple),

les accès aux locaux informatiques peuvent-ils être
fermés rapidement ?

9- Incendie :

1. L’entreprise a-t-elle pris des mesures préventives au

moment de l’implantation du matériel informatique ?
2. L’entreprise a-t-elle des moyens de combattre
l’incendie ?

3. Existe-t-il des instructions incendie suffisamment

connues du personnel informatique :
- Interdiction de fumer ?
- Nettoyage périodique ?
- Actions à suivre en cas d’incendie ?

4. Les instructions incendies font-elles l’objet d’une

formation adéquate et d’exercices périodiques ?

10- Dégâts des eaux :

1. Le système d’alimentation électrique est-il conforme

aux normes de sécurité ?

11- Alimentation électrique :

1. Le système d’alimentation électrique est-il conforme

aux normes de sécurité ?

2. L’installation comprend-elle un transformateur

d’isolement et un régulateur de tension pour se
prémunir des variations du courant électrique ?

3. L’installation permet-elle la continuité de l’exploitation

en cas de coupure électrique :
- Volant d’inertie ?
- Onduleur + batterie
- Onduleur + batterie + groupe électrogène ?

12- Procédures des sauvegardes et de restauration :

© 2015 AJECT, Tous droits réservés

 Manuel d'audit

Questions Réf Oui Non Commentaires

Existe-t-il des procédures formalisées de sauvegarde et

de restauration ?
1. Les procédures de sauvegarde couvrent-elles
également l’environnement de tests ?

2. La périodicité des sauvegardes est-elle adaptée aux

besoins de l’entreprise ?

3. Pour les applications considérées comme vitales, est-

il procédé à une duplication des sauvegardes ?

4. Un historique suffisant des jeux de sauvegarde est-il

conservé ?

5. Existe-t-il des procédures de stockage des

sauvegardes hors site ?

6. Le stockage des sauvegardes sur le site et hors site

est-il réalisé dans des armoires ignifuges ?

7. Le stockage hors site est-il en dehors des locaux de

la fonction informatique ?

8. Les procédures de sauvegarde et de restauration

Sont-elles périodiquement testées ?

13- Organisation de l’exploitation.

1. Tient-on un journal d’exploitation intégré ou manuel

pour noter :
- Les temps d’exécution ?
- L’utilisation des programmes ?
- L’utilisation des fichiers ?
- Le contrôle des traitements finissant
anormalement ?
- L’enregistrement des incidents ?

2. Le personnel a-t-il des manuels d’applications et

méthodes générales décrivant toutes les phases
d’exploitation ?

3. Y –a –t - il une séparation entre les activités de

développement et d’exploitation ?

4. Interdit-on aux équipes d’exploitation de corriger des

erreurs ?

5. Interdit-on aux équipes d’exploitation de modifier les

programmes et le contenu des fichiers ?

6. Des points de contrôle et de reprise sont-ils

incorporés aux programmes ?
7. Les responsabilités et les circuits de correction
d’erreurs et le recyclage des rejets sont-ils définis ?

8. L’ordinateur tient-il, enregistre-t-il les rejets et les

erreurs et produit-il régulièrement un état des
opérations restées en suspens (compte d’attente,

© 2015 AJECT, Tous droits réservés

 Manuel d'audit

Questions Réf Oui Non Commentaires

listing…) ?

9. Les procédures et applications prévoient-elles que :

- Chaque document traité est identifié par une
référence propre ?
- Chaque document traité est classé dans un
ordre rationnel pour en faciliter
l’accessibilité ?
- Chaque élément de fichier de l’ordinateur a
une référence ?
- Chaque élément de fichier est classé dans
un ordre rationnel pour en faciliter
l’accessibilité ?

14- Gestion de la maintenance.

1. La périodicité des visites de maintenance est-

elle suffisante pour une prévention efficace ?

© 2015 AJECT, Tous droits réservés