Data Visualisation Des Travaux de Restitution

LA DATA VISUALISATION DES
TRAVAUX DE RESTITUTION
Ahmed Sellami
ANNÉÉ UNIVERSITAIRE : 2017/2018

ENTREPRISE D’ACCUEIL : ERNST AND YOUNG TUNIS
La Data Visualisation des travaux de restitution
Remerciements
Je tiens à remercier toutes les personnes qui ont contribué de près ou de loin
au succès de mes études en master SIEE et celles ui ’o t aid lo s de la
rédaction de ce rapport.
Mo passage au aste a t e i hissa t pa les o aissa es ue j’ai

a uises e te es des thodologies d’audit, ais gale e t au iveau de
savoir- t e. Ce p o essus e se ait pas e u’il tait sa s Mesda es Camille
Rosenthal-Sabroux et Rim Faiez .Leu s outes et o seils ’o t pe is de
e e à ie l’e se le des issio s ui ’o t t o fi es et de fai e
p euve d’u g a d p ofessio alis e.
Je tiens à remercier vivement Mme Myriam Khelifi et Mr Zied chograni :

S io s Ma age de l’ uipe IT & Risk Adviso du a i et EY pou l’a ueil, le
temps alloué au projet , la patience et le partage de leurs expertises ainsi que
leurs expériences au quotidien.
Je ne sais comment dire merci à Mme Amani Fitouri et Mr Nafaâ Hamdi ,

auditeurs Séniors au département ITRA qui ont été en mesure de se montrer
dispo i les alg leu s espo sa ilit s afi de ’aide à u i des
i fo atio s su la d a he d’audit effectuée par EY.
Je e e ie gale e t toute l’ uipe ITRA pou son accueil, sa disponibilité et

so esp it d’ uipe ui a t d’u e aide plus ue p ieuse da s o
i t g atio . G â e à os ultiples ha ges, j’ai pu t e dava tage se si ilis
au tie d’auditeu .
E fi , je tie s à e e ie toutes les pe so es ui ’o t o seill et elu lo s

de la rédaction de ce mémoire
1
Sommaire
Remerciements ....................................................................................................................................... 1
Résumé de synthèse................................................................................................................................ 5
Introduction............................................................................................................................................. 8
Chapitre 1 : Présentation du contexte .................................................................................................. 10
1- Présentation du cabinet Ernst And Young ................................................................................ 10
1.1 EY Tunisie................................................................................................................................. 10
1 .1.1 Le département ITRA (Information Technology Risk & Assurance) .............................. 10
1.1.2 La typologie des missions dans le département ITRA ...................................................... 11
. P se tatio de l’ uipe du p ojet : ....................................................................................... 12
2- Le périmètre du projet .............................................................................................................. 12
3- La data visualisatio da s la issio d’audit ............................................................................ 13
Chapitre 2 : L’i po ta e de l’ valuatio des o t ôles g au IT................................................... 16
1- Les risques informatiques ......................................................................................................... 16
2- Le rôle des contrôles généraux IT.............................................................................................. 17
2.1 Le processus de gestion des changements ............................................................................. 18
. . L’auto isatio des ha ge e ts ...................................................................................... 18
2.1.2 Les tests des changements ............................................................................................... 18
. . L’app o atio des ha ge e ts ...................................................................................... 19
2.1.4 La revue des changements ............................................................................................... 19
2.1.5 La ségrégation des tâches dans le processus de changement ......................................... 19
2.2 Le processus de Gestion des accès .......................................................................................... 19
2.2.1 Les paramètres généraux de sécurité sont en phase avec les bonnes pratiques ............ 20
2.2.2 La stratégie de mot de passe est conforme aux bonnes pratiques ................................. 20
2.2.3 Les accès privilégiés sont limités aux personnes appropriées ......................................... 20
2.2.4 L'accès aux ressources du système est limité aux personnes appropriées...................... 21
2.2.5 Les nouveaux accès au SI sont autorisés par les personnes appropriés .......................... 21
2.2.6 Les accès des utilisateurs sont revus périodiquement ..................................................... 21
2.3 La gestion de l’e ploitatio ..................................................................................................... 22
2.3.1 Le Backup.......................................................................................................................... 22
2.3.2 La sauvegarde et la restauration ...................................................................................... 22
2.3.3 Les contrôles des tâches planifiées .................................................................................. 22
2.3.4 Les incidents ..................................................................................................................... 22
2
3- Les types de contrôles ............................................................................................................... 23

3.1 Les contrôles clés..................................................................................................................... 23
3.2 Les contrôles compensatoires ................................................................................................. 23
4- Les exemples de cas pratiques .................................................................................................. 23
5- Evaluation des contrôles ........................................................................................................... 24
5.1 Efficacité de la conception ...................................................................................................... 25
. Effi a it de l’i pl e tatio ................................................................................................ 25
5.3 Les impacts des déficiences dans les contrôles....................................................................... 25
Chapitre 3 : De l’ valuatio des ITGC à la Data visualisatio ................................................................ 27
1- Le plan de projet........................................................................................................................ 27
2- Etude de l’e ista t ..................................................................................................................... 28
. La thodologie d’audit ......................................................................................................... 28
2.2 Les solutions technologiques .................................................................................................. 28
3- La conception ............................................................................................................................ 30
3.1 La conception fonctionnelle .................................................................................................... 30
3.2 La conception graphique : ....................................................................................................... 31
4- La réalisation et test .................................................................................................................. 32
4.1 Identification des contrôles standards : .................................................................................. 32
. La ua tifi atio de l’ valuatio : ........................................................................................... 33
4.3 Génération du tableau de bord ............................................................................................... 34
4.4 La génération du tableau de bord comparatif ........................................................................ 34
Conclusion ............................................................................................................................................. 36
Glossaire ................................................................................................................................................ 40
Références ............................................................................................................................................. 42
Bibliographie ......................................................................................................................................... 43
3
Table des Figures

Figure 1 Le périmètre du projet ............................................................................................................ 13
Figure 2 Les risques informatiques........................................................................................................ 17
Figure 3 Le plan du projet ..................................................................................................................... 28
Figure 4 Diagramme de cas d'utilisation ............................................................................................... 30
Figure 5 Diagramme d'activité .............................................................................................................. 31
Figure 6 La méthodologie de l'évaluation des contrôles ...................................................................... 33
Figure 7 L'évaluation du processus ....................................................................................................... 33
Figure 8 La génération du tableau de bord ........................................................................................... 34
Figure 9 Le tableau de bord comparatif ................................................................................................ 35
4
Résumé de synthèse
Aujou d’hui, la issio d’audit est e a lio atio o ti ue su tous les
iveau ue e soit su les outils ou su les liv a les. L’o je tif p i ipal de e
processus est de fournir des résultats de qualité qui décrivent les forces et les
points à améliore au sei de l’e t ep ise.
Dans le cadre de mission de commissariat aux comptes, il est important de
s’assu e de la fia ilit de l’i fo atio fournie par les applications
informatique. Pou attei d e les o lusio s d’audit, o o e e pa
l’a al se des applications du périmètre et évaluer les contrôles existants.
Le résultat des travaux est présenté au client en phase finale dans le document
de restitution.
En déposant simplement un ensemble de données dans un graphique et en
collant ce graphique da s u appo t d’audit, e tai s auditeu s pe se t u’ils
o t ussi à o u i ue uel ue hose d’i po ta t.
Trop souvent, ils ont seulement réussi à créer quelque chose qui leur semble
parfaitement logique mais ils entraînent une confusion ou un manque de
communication entre les parties prenantes qui lisent le rapport.
Cependant, un élément essentiel souvent négligé qui est la manière de
visualiser efficacement les données collectées pour conduire votre public sur le
bon chemin.
Pour le client, cette phase de restitution constitue un point de départ pour
connaitre « où on est » afin de savoir « où l'on veut aller ».
Donc, cette étape représente à la fois un moyen de communication et un outil
d’aide à la d isio . Pa o s ue t, u ta leau de o d pe ett a de alise
es o je tifs e plus de fa ilite la o p he sio des sultats d’audit.
Le tableau de bord doit contenir des indicateurs pertinents. Ce choix est guidé
pa les o je tifs d’audit à d o t e les zo es de fo e ai si ue les poi ts à
a lio e . Lo s de e p o essus de s le tio d’i di ateu s, j’ai hoisi des
it es à espe te d s le d ut. L’i di ateu doit i ite à l’a tio . En plus, il
doit être simple à représenter graphiquement.
Les i di ateu s de ta leau de o d so t issus de l’ valuatio des t ois
processus suivants :
5
- La gestion des changements : Les modifications des applications

informatiques pertinentes sont adapt es au esoi s de l’utilisateu et
fonctionnent comme prévu.
- La gestion des accès : Restreindre les accès aux personnes autorisées
avec des actions correspondant à leurs profils prédéfinis.
- La gestio de l’e ploitatio : Fournir un environnement de traitement
fiable préparé pour les problèmes d'exploitation habituels afi d’ vite la
perte des données issues des applications informatiques et du
traitement incomplet des informations
Pou ha ue p o essus IT, il ’a des is ues asso i s. Afi de les ouvrir, des
contrôles sont mis en place. Ainsi, la quantification de chaque contrôle en lui
attribuant une valeur permet de générer un niveau de contrôle global du
processus. Cette appréciation se fait sur deux plans :
- la conception du contrôle : Elle consiste à tudie l’e iste e d’u
processus pour le contrôle.
- L’i pl e tatio du o t ôle : il s’agit de v ifie si le o t ôle
fonctionne selon la conception définie.
Lo s de l’ valuatio des o t ôles, il ’a des o t ôles plus iti ue ue les
autres. Par conséquent, une valeur de pondération est associée à chaque
contrôle. Par exemple lors du processus de gestion de changement, le contrôle
de séparation des tâches incompatible est plus critique alors il a la pondération
la plus élevée.
Le calcul de l’ valuatio de ha ue o t ôle engendre un score pour chaque
processus exprimé en pou e tage. E se o d lieu, il se a possi le d’e t ai e u
pourcentage global des 3 processus. Cette étape permet de positionner chaque
processus dans un niveau de contrôle allant de 0 à 5.Ce niveau de contrôle
donne une vision générale sur la situation de chaque processus.
Cette démarche permet de passer du niveau de données à la visualisation des
résultats. La représentation graphique est un support efficace pour la
o p he sio de l’ valuatio du s st e audit . Pour que cela fonctionne,
les données doivent être visualisées d'une manière facile à comprendre.
Construire des graphiques complexes va à l'encontre de cet objectif.
S’il ’a des do es o ple es, il faut les d o pose en composants faciles à
assimiler.
6
En plus de la p se tatio des t avau de estitutio de l’a e d’audit,

l’o je tif de o p ojet ’est de o t e une comparaison graphique entre
l’a e N et N-1. Ceci permettra au client de se positionner par rapport au
t avail alis et la pla ifi atio des futu s p ojets de l’a e suiva te.
7
Introduction
De nos jours, le volume de données est en train d’aug e te d’u e façon
rapide. Selon International Data Corporation(IDC)1 , l’u ive s u i ue
atteindra plus de 44.000 milliard de gigaoctet en 2020 issus des objets
connectés seulement. Cette e plosio est due à l’utilisation de nouvelles
technologies permettant la génération de données telles que les objets
o e t s. E plus, il ’au a plus de apa it de sto kage li à la p se e du
cloud par exemple.
Ce changement est accompagné par le développement de nouveaux moyens
de communication tel que les réseaux sociaux ou les outils collaboratifs.. Bien
u’il ’a ette elatio d’asso iatio e t e les do es et les o e s de
communication, nous évoquons de plus en plus le problème de
communicatio . Ce p o l e est plus d li at au iveau de l’entreprise vue les
d gâts u’il ause o e les pe tes de te ps et d’a ge t ou le d se gage e t
des e plo s. Si ous pouvo s su e les auses li es à l’e t ep ise, il s’agit
souvent de problème compréhension, de clarté ou de quantité d’i fo atio .
De retour à la définition du verbe « Communiquer » ça vient du latin
« communicare ». Il signifie "mettre en commun". Cette présentation montre
ue l’o je tif de la o u i atio ’est de pa tage , atti e et o vai e.
Parmi les moyens de communication les plus utilis s e e t ep ise, ’est la
communication directe face à un public .Cet exercice de communication doit
suivre des règles précises. Des études faites par le psychologue Albert
Mehrabian2 ont montré que :
 7 % de la communication est verbale (par la signification des mots)
 38 % de la communication est vocale (intonation et son de la voix)
 55 % de la communication est visuelle (expressions du visage, la
présentation et du langage corporel).
1
https://www.usine-digitale.fr/article/44-zettaoctets-de-donnees-seront-generes-par-les-objets-connectes-en-
2020.N257140
2
https://www.toolshero.com/communication-skills/communication-model-mehrabian/
8
Le côté visuel représente la partie la plus importante dans la communication

face à un public. Cette activité est devenue un art de transmettre un message
par des éléments graphiques et visuels.
De nos jours la communication visuelle devient indispensable dans la
présentation de sultats, de appo ts ou d’indicateurs de performance (KPI).
Confucius disait « Une ne image vaut milles mots ».
Pa i es l e ts visuels, il ’a le ta leau de o d ui ep se te u outil
d’aide à la d isio da s tous les iveau de l’e t ep ise.
Pa i es tie s ou o e peut t availle sa s ta leau de o d, ’est le tie
d’auditeu .
E fi de issio , l’auditeu o t e les sultats de o stats, a al ses et
e o a datio s au lie t. Lo s de ette tape, il e suffit pas d’i fo e pa
un rapport mais il faut présenter ces résultats, attirer et convaincre. Ceci
nécessite le passage par deux étapes en décrivant le rapport de restitution :
- La alisatio d’u ta leau de o d as su la thode SMART. C’est à
dire que les indicateurs doivent correspondre aux critères suivants :
 Significatif : Il doit avoi de l’i po ta e pou le lient
 Mesurable : Il peut être mesuré facilement et de manière fiable
 Acceptable : Il doit être accepté par le client
 Réaliste : Il correspond à la réalité de la situation
 Temporellement défini : Il est lié à une date fixe
- La réalisation de graphiques ergonomiques et interactifs : Un des moyens

pou o vai e ’est d’atti e le lie t. Ai si, il faut avoi des g aphi ues
d a i ues ui pe ette t de a o te l’histoi e des do es de i e
et les connecter entre eux pour arriver à la conclusion finale.
U e o e o u i atio pe et à l’auditeu et au audit s d’avoi u e
bonne compréhension de la problématique, des objectifs et des conclusions de
la issio d’audit.
L’auditeu peut ai si e d e des o lusio s pe ti e tes, au uelles les
audités adhèreront plus facilement. Lorsque le dialogue est efficace, cela
pe et gale e t à l’auditeu de o st ui e u e elatio de o fia e ave les
audités tout en gardant son indépendance et son objectivité.
9
Chapitre 1 : Présentation du contexte
1- Présentation du cabinet Ernst And Young

E st & You g est u des uat e g a ds a i ets d’Audit appel s « Big Fou »
du marché. Celui-ci est composé de quatre activités principales :
- Audit ;
- Conseil ;
- Droit et fiscalité ;
- Transactions.
Ernst & Young est implanté dans le monde entier avec plus que 737 bureaux
répartis dans 152 pays. Ces pays sont répartis par zone qui se comptent au
o e de uat e. Le seau fo a pe is à E st & You g d’atteindre un
hiff e d’affai es de 1,4 Milliards de Dollars en 2017.
1.1 EY Tunisie
EY Tunisie fait partie de la zone EY Western Europe and Maghreb .Elle est
composée de 48 bureaux répartis dans 7 pays avec 13500 Collaborateurs .
EY Tunisie possèdent 280 collaborateurs avec 92 recrutements par an . Le
d pa te e t ITRA fait pa tie de l’a tivit o seil . EY o sulti g eg oupe les
compétences autours des domaines suivants : Stratégie , performance , risques
et digital . EY consulting réalise plus de 400 missions dans 30 pays chaque
année.(Source : Présentation EY_ITRA : Août 2018)
1 .1.1 Le département ITRA (Information Technology Risk & Assurance)

Lo s de o stage de fi d’ tude du aste SIEE, j’ai t availl au sei du
département ITR&A (Information Technology Risk & Assurance).
TTH ITRA (Tunisian Talent hub) est un Hub de compétences tunisiennes
spécialisées en Audit et Risque IT.Il intervient depuis 3 ans sur des missions en
Tunisie et en Afrique du Nord, en Afrique Subsaharienne, au Middle East, et en
Eu ope. A uelle e t plus ue h d’audit sont produites sur des
issio s d’audit et is ues IT. TTH ITRA est intervenu sur plusieurs clients EY
10
Glo al da s le ad e d’ uipes i t g es ou ave u e gestio di e te du

compte.
Pa i les se vi es p opos s pa le TTH ITRA : Audit des s st es d’i fo mation,
audit des o t ôles g au i fo ati ues, audit de l’i f ast u tu e, audit des
contrôles applicatifs, revue post-implémentation, revue de migration des
données, etc.
1.1.2 La typologie des missions dans le département ITRA
Le Conseil
Les missions de conseil peuvent être de différents types dont voici des
exemples :
- La d fi itio d’u s h a di e teu du s st e d’i fo atio s ;
- Aide au suivi d’u p ojet ;
- Aide au choix de solutions ou ERP
Support à l’audit
Les missions de support à l’audit p e e t e ha ge les o t ôles as s su le
s st e d’i fo atio lie t. Les uipes ha g es de l’audit o pta le –
fi a ie issio e t les uipes de suppo t à l’audit i fo ati ue afi de
leur apporter une assurance raisonnable sur les systèmes informatiques gérant
l’i fo atio fi a i e.
Ces missions sont notamment composées de :
- Contrôles généraux informatiques ou ITGC (Information Technology General
Controls) ;
- Contrôles applicatifs ou ITAC (Information Technology Application Controls) ;
- Analyse des écritures comptables.
Les aspe ts d’u e issio d’audit so t as s su u e thodologie p op e au

cabinet Ernst & Young, celle-ci est appelée Global Audit Methodology (ou
GAM . Cette thodologie est la e pou l’e se le des bureau d’E st &
Young partout dans le o de. Cette thodologie s’appuie su u dossie
d’audit i fo atis o GAM .
11
1.2 P se tatio de l’ uipe du p ojet :

Dès le démarrage du stage une équipe de projet a été créé. En tant que
stagiaire, je réalise les travaux liés au projet en proposant des solutions. En cas
de lo age, je e o te les ale tes au e es de l’ uipe.
Les o t i uteu s EY suive t de a i e app o h e l’ava ement du projet. Ils
répondent à mes questions et orientent la démarche de travail.
Une réunion a eu lieu chaque mois afin de valider les grandes lignes de
l’app o he. Lo s de ces réunions, notre responsable de projet intervient pour
fai e l’a it age et s’assu er de l’attei te des o je tifs fi s.
2- Le périmètre du projet
Le d oule e t sta da d d’u e issio d’audit o e e pa u e lett e de
issio . Cette phase pe et de o stitue l’ uipe du p ojet. Pa la suite, les
auditeurs analysent les risques et value t le o t ôle i te e de l’e t ep ise.
Ai si, l’ uipe d’audit pou a p se te les o je tifs de l’audit et oo do e a
avec le client sur les modalités pratiques de la mission.
Cette phase d le he le d ut du t avail d’i vestigatio pa la des iption des
activités, la réalisation des tests et la discussion des faits avec les
olla o ateu s o e s. E suite, l’ uipe d’audit p pa e la s th se des
faits essentiels avec les recommandations. Suite à la discussion avec la
di e tio de l’o ga isation sur les différents points, le rapport final sera
présenté à la direction générale.
Mon projet de data visualisation des travaux de restitution se focalise sur les 3
de i es tapes de la issio d’audit. Il o e e à pa ti de l’a al se et
l’ valuation des résultats d’i vestigatio .
12
Figure 1 Le périmètre du projet
3- La data visualisatio da s la issio d’audit

Lors de la mission commissariat aux comptes, les auditeurs financiers doivent
d te i e uels so t les o ptes o pta les sig ifi atifs d’u e e t ep ise,
’est-à-dire ceux qui impactent le plus ses états financiers.
À partir de là, et conjointement avec ITRA (audit IT), ils identifient les processus
sig ifi atifs. C’est-à-dire les processus qui alimentent les comptes significatifs,
ou les processus qui ont été modifiés récemment.
E faisa t la evue des p o essus sig ifi atifs, il est possi le d’ide tifie les
applications clés et les risques associ s. C’est la d fi itio de la st at gie
d’audit : o pa tit e ui est audit pa l’IT et e ui est audit pa les
auditeurs financiers.
À partir de ces applications et de ces risques, les équipes ITRA (IT) définissent
une stratégie de test : ’est-à-di e l’e se le des o t ôles à e e pou
couvrir les risques. Cette stratégie comprend normalement deux phases : les
ITGC (IT General Controls) et les contrôles applicatifs (ex : ITAC).
13
Les ITGC permettent de s'assurer qu'il existe un environnement de contrôle

robuste sur lequel on peut s'appuyer pour la fiabilité des contrôles applicatifs.
Les contrôles applicatifs ont une orientation plus métier.
Pe da t la alisatio des test , l’ uipe d’audit e o t e les espo sa les des
processus IT afin de vérifier si la conception du processus correspond à ce qui a
t d it . E suite les auditeu s v ifie t ue l’i pl e tatio du p o essus
correspond à ce qui a été conçu.
Les tests effectués dépendent de la nature de chaque contrôle. Il est possible
de les classifier selon la nature en cinq catégories :
- La de a de d’i fo atio s : Elle se fait par la collecte des informations
pendant les entretiens avec les responsables concernés.
- L’o se vatio : Elle est alis e e ega da t l’e utio du p o essus
par les e es de l’e tit audit e
- L’i spe tio : Elle consiste à examiner et analyser les documents produits
par les applications informatiques .
- Vérification « Reperformance » : L’e utio i d pe da te pa l’ uipe
d’audit des procédures de contrôle réalis es à l’o igi e da s le ad e du
o t ôle i te e de l’e tit .
- L'analyse des données : Elle est exécuté via les outils automatisés pour
tester les contrôles
En fonction des conclusions des travaux des équipes ITRA, les auditeurs
financiers auditent « manuellement (on parle de contrôles substantifs) les
o ptes et p o essus afi d’ t e e esu e de se p o o e su la v a it des
états financiers.
Pou o dui e u audit, EY a u e app o he pa is ue. Au iveau de l’IT ela se
traduit par une matrice des principaux risques affectant les 3 principaux
processus que sont : la gestion des changements, la gestion des accès et la
gestio des op atio s. Les o lusio s de l’IT t aduise t le is ue u’il ait eu
des e eu s ou de la f aude su la p iode de l’audit, mais aussi que cela puisse
se p odui e à l’ave i à ause d’u auvais pa a t age du s st e pa
exemple).
La communication avec le client se fait à la dernière étape pour lui présenter
les conclusions de la mission.
14
Ainsi, aussi bien la méthodologie de communication que la représentation

g aphi ue so t des o e s effi a es pou la o p he sio de l’ valuatio du
système audité. En effet, des indicateurs aident plus à assimiler les résultats. En
plus des sultats de l’a e e ou s, il est possible de comparer les résultats
avec ceux de l’a ep de te.
15
Chapitre 2 : L’i po ta e de l’ valuatio des o t ôles

généraux IT
1- Les risques informatiques

Da s u o te te volutif des s st es d’i fo atio s da s les e t ep ises,
l’ave i devie t diffi ile e t prévisible. D s u’il a i e titude, ait e u’o
appelle is ue. Fa e à et i p vu, les a age s doive t s’adapte afi de
réduire ou éliminer le risque. Parmi les risques que nous pouvons rencontrer :
- La dépendance à l'égard des systèmes ou des programmes qui traitent
des données de façon inexacte, traitent des données inexactes ou les
deux
- Les accès non autorisés à des données pouvant entraîner la destruction
de données, des modifications inappropriées de données, y compris
l'enregistrement de transactions non autorisées ou inexistantes, ou
l'enregistrement inexact de transactions
- La possibilité pour le personnel informatique d'obtenir des privilèges
d'accès au-delà de ceux qui sont nécessaires pour s'acquitter des tâches
qui lui sont confiées, décomposant ainsi la séparation des tâches
- Les modifications non autorisées des données dans les fichiers maîtres
- Les changements non autorisés aux systèmes ou programmes.
- La perte potentielle de données ou impossibilité d'accéder aux données,
au besoin
16
Figure 2 Les risques informatiques
2- Le rôle des contrôles généraux IT

Les contrôles généraux IT fournissent l'assurance que les applications sont
développées et maintenues par la suite, de sorte qu'elles fournissent la
fonctionnalité requise pour traiter les transactions et fournir des contrôles
automatisés avec intégrité.
Les contrôles généraux permettent de confirmer le bon fonctionnement des
applications et la protection des données et des programmes contre toute
modification non autorisée.
Dans le cadre de la mission d’audit, les ITGC sont réalisés pour déterminer si le
client a mis en place un environnement de contrôle sur lequel il est possible de
s’appu e pou s’assu e de la p e it des contrôles au ou s de l’a e
fiscale . L'ITGC inclut des contrôles sur:
- Environnement informatique
- Gestion du changement
- Opérations informatiques
- Accès aux programmes et aux données
- Développement de programme
- Changements de programme
17
2.1 Le processus de gestion des changements

L’o je tif de l’a al se de e p o essus est de fournir une assurance raisonnable
que seules des modifications autorisées, testées et approuvées sont apportées
aux applications, aux interfaces et à l'infrastructure.
Les modifications non autorisées apportées à un système financier clé
présentent un risque pour l'ensemble du système et l'intégrité des données .Ce
risque pourrait entraîner une inexactitude financière importante.
Une séparation appropriée des tâches incompatibles pour empêcher les
changements non autorisés est considérée comme un contrôle préventif.
Du côté des contrôles défectifs, le faite que la direction surveille et approuve
périodiquement les modifications apportées aux logiciels des principaux
systèmes financiers peut couvrir le risque.
Pour chaque processus IT, des o t ôles sta da d ’so t associés afin
d’ li i e ou dui e les is ues :
. . L’auto isatio des changements
Le contrôle o e e pa l’o te tio d’u e liste o pl te des odifi atio s
apportées aux composants pertinents de l'environnement informatique depuis
le début de la période d'audit jusqu'à la date de notre test. Par la suite , on
procède à S le tio d’u ha tillo app op i de odifi atio s da s la liste .
Ceci nous permettra de déterminer si le changement a été autorisé de manière
appropriée ou pas.
Selon la politique du client et dans certaines situations comme les
modifications mineures, les changements peuvent ne pas nécessiter
d'autorisations spécifiques.
2.1.2 Les tests des changements
Not e poi t de d pa t ’est la liste complète des modifications apportées aux
composants pertinents de l'environnement informatique depuis le début de la
période d'audit jusqu'à la date de notre test. Ensuite, on sélectionne un
échantillon approprié de modifications dans la liste pour déterminer si la
modification a été testée de manière appropriée.
18
. . L’app o atio des changements

Tout comme les contrôles précédents, notre contrôle commence par la collecte
de la liste complète des modifications depuis le début de la période d'audit
jusqu'à la date de notre test. Puis, on sélectionne un échantillon approprié de
modifications dans la liste et on détermine si le changement a été approuvé de
manière appropriée.
2.1.4 La revue des changements
Obtenir des preuves suffisantes pour déterminer que le processus de
changement est surveillé régulièrement (comité directeur, examen de la
gestion des changements à la production).
2.1.5 La ségrégation des tâches dans le processus de changement
Si les programmes en production ne sont pas sécurisés, les développeurs
peuvent déplacer des modifications non autorisées ou non testées dans
l'environnement de production
Pou o t ôle e is ue, o s’assu e ue les diff e ts e es de
l'organisation s'acquittent des tâches suivantes:
· La de a de / l’app o atio du développement du programme ou le
changement du programme
· La programmation du développement ou du changement
· Le déplacement des programmes dans et hors de la production
· La surveillance du développement des programmes et les changements
2.2 Le processus de Gestion des accès

L’o je tif p i ipal de l’a al se de e p o essus est de fou i u e assu a e
raisonnable que seules les personnes et les applications autorisées ont accès
aux données critiques (y compris les programmes, tables et ressources
associées) .En plus elles ne peuvent exécuter que des fonctions spécifiques (par
exemple, interroger, exécuter, mettre à jour).
L'accès inapproprié d'un utilisateur à un système financier clé présente un
risque de fraude, de transactions non autorisées et / ou d'inexactitudes
financières importantes.
19
Comme contrôle préventif, il s’agit de s’assu e ue toutes les demandes

d'accès utilisateur sont correctement autorisées.
Pour détecter ce problème, il faut mettre en place processus de surveillance et
d’approbation périodique de l'accès des utilisateurs aux principaux systèmes
financiers. Des contrôles standards existent pour couvrir les risques associés à
ce processus.
2.2.1 Les paramètres généraux de sécurité sont en phase avec les bonnes
pratiques
Lors de ce contrôle, on vérifie que les paramètres généraux de sécurité du
système sont appropriés en fonction des directives minimales définies dans nos
conseils spécifiques à la technologie.
2.2.2 La stratégie de mot de passe est conforme aux bonnes pratiques
Pour chaque composant technique pertinent du chemin d'accès logique, on
obtient des preuves sur les paramètres de l'organisation pour les
configurations de sécurité suivantes:
· Longueur minimale du mot de passe
· La connexion initiale utilise un mot de passe unique
· Composition du mot de passe (par exemple, caractères alphanumériques, pas
les mots du dictionnaire)
· Fréquence des changements de mot de passe forcés
· Nombre de tentatives d'ouverture de session infructueuses autorisées avant
le verrouillage
· Capacité des utilisateurs à attribuer leurs propres mots de passe
· Nombre de mots de passe à utiliser avant d'utiliser à nouveau un mot de
passe
· Délai d'inactivité de la session
· Enregistrement des tentatives de connexion infructueuses
2.2.3 Les accès privilégiés sont limités aux personnes appropriées
Ce o t ôle o e e pa l’o te tio de liste des droits d'utilisateur
privilégiés pour les composants techniques pertinents du chemin d'accès
20
logique qui prennent en charge les contrôles clés (les utilisateurs ayant un
accès complet au système ou un accès à la fonctionnalité d'administration de la
sécurité). Puis, on Passe à la revue des listes d'utilisateurs disposant de droits
privilégiés afin de déterminer si le nombre d'utilisateurs semble approprié.
En se basant sur le volume d'utilisateurs et la nature critique de ce contrôle, on
crée un test pour déterminer si l'accès privilégié des utilisateurs est approprié
en fonction de leur description de poste / fonction (cette liste devrait inclure
l'examen des comptes système sensibles).
2.2.4 L'accès aux ressources du système est limité aux personnes appropriées.
La première étape consiste à identifier une liste de ressources (par exemple
sécurité, schéma comptable, données transactionnelles), y compris les
utilitaires (SQL Plus) associés aux applications pertinentes qui pourraient
affecter l'exactitude des données financières. Ceci nous permettra de
déterminer si l'accès à la ressource est approprié.
2.2.5 Les nouveaux accès au SI sont autorisés par les personnes appropriés
Suite à l’o te tio de la liste des nouveaux utilisateurs ajoutés pendant la
période auditée, on Sélectionne un échantillon approprié. Ainsi, on peut
déterminer qu'il y a eu une approbation appropriée accordant l'accès au nouvel
utilisateur et que l'accès de l'utilisateur a été correctement établi selon sa
fonction et du nouveau formulaire de demande d'utilisateur.
2.2.6 Les accès des utilisateurs sont revus périodiquement
Lors de ce contrôle, on identifie les contrôles de surveillance pertinents.
Ensuite, on vérifie que les contrôles ont fonctionné comme prévu pendant la
période d'audit. Ces contrôles peuvent inclure:
· Violation ou tentative de violation de rapports et d'examen
· Examen des journaux (Accès aux utilisateurs privilégiés)
Les étapes précédentes nous permettent de conclure que les paramètres du
système sont correctement configurés pour capturer les événements et les
activités clés du système.
21
2.3 La gestio de l’exploitatio

L’o je tif des o t ôles li s à e p o essus est de surveiller et contrôler les
services informatiques pour les applications et leurs infrastructures y compris la
planification des tâches, les activités de sauvegarde et de restauration, la
gestion des incidents et la maintenance de routine.
Ce processus est généralement à faible risque, sauf si l'application utilise des
interfaces et le traitement par lots dans des processus financièrement
significatifs( processus achat ou vente par exemple).
2.3.1 Le Backup
La vérification se fait à travers la consultation de la dernière version des
documents de politique et de procédure approuvés couvrant les domaines
suivants:
- La politique / procédure de sauvegarde et de restauration
- La procédure de surveillance des opérations informatiques pour
l'ordonnancement des travaux en lots et en arrière-plan
- Les procédures de gestion des incidents / gestion des problèmes
2.3.2 La sauvegarde et la restauration
Il s’agit de o p e d e le processus adopté pour la sauvegarde et la
estau atio pou les appli atio s du p i t e d’audit. Il inclut aussi
l'extraction de la population avec preuve d'exhaustivité (capture d'écran de
l'extraction de la requête et date et horodatage du système).
2.3.3 Les contrôles des tâches planifiées
Ce contrôle est réalisé à travers la compréhension du processus adopté pour
les tâches planifiées pour les applications du périmètre.
2.3.4 Les incidents
Le contrôle consiste à comprendre le processus adopté pour la gestion des
problèmes et des incidents pour les applications du périmètre.
22
3- Les types de contrôles

3.1 Les contrôles clés
Un contrôle clé est un contrôle qui, s'il échoue, aura au moins une probabilité
raisonnable qu'une erreur importante dans les états financiers soit empêchée
ou détectée en temps opportun.
Les contrôles clés sont des contrôles sur lesquels la direction s'appuie le plus
pour l'intégrité des états financiers. Les contrôles clés sont conçus pour
détecter ou prévenir raisonnablement une anomalie significative. Ils sont
conçus de manière à atténuer les risques multiples ou à les prévenir / détecter
les erreurs importantes dans les états financiers.
3.2 Les contrôles compensatoires

Un contrôle de compensation non-clé est un contrôle supplémentaire qui
fournit un confort que le risque est atténué. Il pourrait être spécifique aux
opérations commerciales mais n'a pas d'impact significatif sur le traitement des
transactions financières et l'information financière. Par exemple, la revue des
changements présente un contrôle compensatoire lorsque la séparation des
tâches incompatibles est inexistante.
4- Les exemples de cas pratiques

Exemple 1 : Gestio d’a s
Dans cet exemple, le is ue ’est ue les utilisateurs de l'environnement
informatique ne sont pas les utilisateurs prévus en raison d'une
authentification et de paramètres de sécurité inadéquats.
Co e o t ôle, il faut s’assu e ue les paramètres de mot de passe pour les
applications, les systèmes d'exploitation et les bases de données sont
conformes aux normes de l'entreprise lorsque cela est techniquement possible.
Selon la politique de l'entreprise, la longueur minimale du mot de passe doit
être de 7 caractères, certaines applications n'ont pas de paramètre minimum
Ainsi, le contrôle consiste à évaluer les autres paramètres de mot de passe
associés (complexité, verrouillages, changement de fréquence, etc.)
Par la suite, on évalue si les utilisateurs doivent être connectés au réseau de
l'entreprise pour accéder à l'application pour évaluer les paramètres de mot de
passe réseau
23
Exemple 2 : Gestio d’a s

Le faite que les utilisateurs de l'environnement informatique (informatique et
entreprise) ne sont pas appropriés représente un risque pour le système
d’i fo atio .
Comme solution pour couvrir le risque, L'accès utilisateur est demandé et
approuvé en fonction de la fonction du travail par le gestionnaire direct de
l'utilisateur avant le provisionnement.
L’app o atio d’a s pa u e personne inappropriée augmentera la taille de
l'échantillon pour déterminer s'il s'agit d'un incident isolé. Ensuite, on Obtient
les dernières dates de connexion / journaux d'activité pour valider qu'aucune
activité inappropriée n'a eu lieu.
Exemple 3 : Gestion de changement
Si les programmes en production ne sont pas sécurisés, les développeurs
peuvent déplacer des modifications non autorisées ou non testées dans
l'environnement de production.
Afi d’ li i e le is ue, il faut est ei d e L'a s de ig atio des
modifications dans la production aux membres autorisés de l'équipe
informatique .Ces personnes ne doivent pas avoir la capacité d'élaborer des
modifications.
Pour éviter ce risque, chaque mois, le directeur des IT examine la liste de tous
les changements apportés aux programmes existants, y compris les rapports,
les configurations et les interfaces.
Toutes les modifications sont liées au ticket de modification correspondant.
Tous les changements en suspens sont étudiés et suivis jusqu'à la résolution.
5- Evaluation des contrôles

Si des déficiences sont identifiées pendant le test, il faut:
1. Comprendre la nature et la cause profonde de la déficience
2. Évaluer l'impact / l'ampleur de la constatation pour le processus, le
ministère et l'organisation dans son ensemble.
3. Évaluer les considérations de fraude.
4. Comprendre l'effet potentiel sur la couverture du risque.
5. Déterminer si la déficience est systémique ou une occurrence unique.
24
6. Déterminer si la déficience s'applique à l'ensemble de la population ou à

des segments particuliers.
7. Évaluer si la déficience est le résultat d'un problème de performance ou
d'un manque de documentation.
8. Effectuer des tests sur les contrôles compensatoires (le cas échéant).
L’ valuatio des o t ôles pe et de o ait e la situatio de la fiabilité de
l’i fo atio fou ie par les applications. De même, elle nous guide dans la
démarche à suivre dans nos tests.
Elle se fait sur deux niveaux :
5.1 Efficacité de la conception

Elle Indique si les contrôles sont conçus de manière à atténuer un risque
particulier ou ce qui peut mal tourner
L'efficacité de la conception est évaluée à un moment donné. Lorsqu'un ITGC
nécessaire pour atteindre l'objectif correspondant n'est pas correctement
conçu , les contrôles généraux ne donneront pas les résultat souhaité .
5.2 Efficacité de l’i pl e tatio

Ce critère indique si le contrôle fonctionne comme prévu .
L'efficacité opérationnelle est évaluée "au fil du temps" grâce à des tests
Les problèmes existent lorsque l’ITGC correctement conçu ne fonctionne pas
comme prévu. La deuxième situation aura lieu lorsque la personne qui
l'exécute ne possède pas l'autorité ou les qualifications nécessaires pour
effectuer le contrôle de manière efficace.
5.3 Les impacts des déficiences dans les contrôles

Une déficience dans les contrôles généraux des IT existe lorsque la conception
ou l'exploitation d'un contrôle empêche la direction ou aux employés
d’e ute leu s fo tio s et ou de détecter les anomalies en temps opportun.
Un défaut de conception existe lorsqu'un contrôle nécessaire pour atteindre
l'objectif de contrôle est manquant ou qu'un contrôle existant n'est pas
correctement conçu. Ainsi, même si le contrôle fonctionne comme prévu,
l'objectif de contrôle ne serait pas atteint.
25
Une déficience de fonctionnement peut exister lorsque l'individu effectuant le

contrôle:
- Fait des erreurs dans la collecte ou le traitement des données
- N'effectue pas d'actions de suivi appropriées
- N'a pas les capacités, la compétence ou l'objectivité nécessaire pour
effectuer le contrôle efficacement
26
Chapitre 3 : De l’ valuatio des ITGC à la Data

visualisation
Pour chaque mission d’audit, L’ valuatio des Co t ôles G au IT se d oule
en trois phases :
- La evue de la do u e tatio : L’o je tif est de d te i e l’app o he
de test la plus appropriée, il est obligatoire de comprendre et de
documenter les différents processus identifiés. Le processus est décrit
dans une ou plusieurs procédures incluant la modélisation de processus
de gestion de changement ou des schémas permettant de le comprendre
plus aisément.
- Le test de cheminement : Il permet de suivre le processus sur une
volutio et de valide so d oule e t tel u’il est d fi i da s la
do u e tatio . Il pe et de valide la o eptio et l’i pl e tatio
du contrôle.
- Le testing : Il permet de vérifier que le processus est effectif, et que les
contrôles sont opérationnels. Il est réalisé sur un échantillon
d’o u e es du o t ôle a a t eu lieu pe da t la p iode audit e.
Par exemple, nous pouvons utiliser un échantillon de création de compte
pe da t l’a e e cours.
1- Le plan de projet
Dès le début du stage, la réalisation du plan de projet était un point de départ.
Le projet est divisé en trois étapes :
- L’ tude de l’e ista t : La o p he sio du p o essus d’audit hez EY
permet de mieux se positionner dans le contexte de la data visualisation.
La thodologie ad e la issio et la d a he d’ valuatio utilis e.
Par la suite, la consultation des rapports de restitution présente la
problématique et les objectifs à réaliser. Ensuite, une analyse des
différentes solutions technologiques donne une vision sur les
alternatives possibles.
- La conception : Ap s l’a al se du besoin, cette étape permet de valider
les objectifs fonctionnels du projet. Par conséquent, un plan de tableau
de bord a été proposé pour donner une idée sur la finalité du projet.
27
- La réalisation et la simulation du projet : La transformation de la

o eptio à la alisatio passe pa la p opositio d’u e thodologie
quantitative. Cette phase génère les indicateurs qui constituent le
tableau de bord.
Figure 3 Le plan du projet
2- Etude de l’exista t
2.1 La thodologie d’audit
Pou po d e au esoi s de l’audit, j’ai o e pa o p e d e la
thodologie de issio d’audit hez EY o u sous le o GAM « Global
Audit Methodology ».
La méthodologie explique la d a he d’ valuatio des t ois processus IT
utilisés lors du contrôle généraux IT : la gestion des changements, la gestion
des accès, la gestio de l’e ploitatio .
Pa la suite, j’ai o sult des appo ts de estitutio pou tudie les sultats
obtenus.
Les o lusio s d’audit so t lai es et d taill es mais elles sont souvent
ignorées par le client.
Ainsi, le faite de visualise les do es au a plus d’i pa t d’att a tio pour
o p e d e les o t ôle et les is ues au iveau du s st e d’i fo atio .
2.2 Les solutions technologiques

La visualisation des données peut se faire à travers plusieurs logiciels. Lors de
cette étape, j’ai tudi les diff e tes alte atives possibles.
28
Il ’a de o eu logi iels pou la visualisatio des do es tel ue :

- Tableau :3 C’est u outil d’a al se et de visualisation des données. Il
pe et de ett e e pla e des ta leau de o ds ue l’o peut
automatiser pour les mettre à disposition de toutes les équipes et
diffuse la o aissa e hiff e da s l’e t ep ise. Il faut créer un
compte en ligne pour pouvoir y accéder et insérer les données à
visualiser
- Qlickview 4: Il permet de visualiser les données et de les manipuler de
façon personnalisable. Par contre, il est plus difficile à comprendre et
utiliser
- Excel et VBA : Il est parmi les outils les plus utilisés da s l’a al se et la
visualisation des données. Il est facile à manipuler .D’aut es
fo tio alit s peuve t t e ajout es selo le esoi de l’utilisateu à
travers VBA(Visual Basic For Applications )
E oo di atio ave l’ uipe de projet , nous avons opté pour trois critères
lo s de l’ valuatio des logi iel ui so t :
- La confidentialité : les données des clients sont confidentielles. Par la
suite, il est p i o dial d’ vite tout is ue de divulgatio d’i fo atio s.
- La disponibilité du livrable : La visualisation des données avec
l’ valuatio des o t ôles doive t t e à la dispositio du lie t ave le
fichier source. Il vaut mieux ne pas demander au client de faire des
installations additionnelles.
- L’e go o ie ou « User Friendly » : Da s l’o je tif d’atti e le lie t et lui
présenter les résultats d’audit, les interfaces doivent être simples et
facile à comprendre. En plus, toute modification du fichier source doit
être prise en compte en temps réel lors la visualisation des données.
En se basant sur ces critères, ous avo s hoisi l’utilisatio de l’outil E el et
VBA.
3
https://www.tableau.com/fr
4
https://www.qlik.com
29
3- La conception
3.1 La conception fonctionnelle
Lors de cette phase, on cherche à bien comprendre et décrire de façon
précise les besoins de l’auditeu . Ai si, j’ai utilis le la gage « UML » afin de
présenter notre compréhension des fonctionnalités attendues par les
auditeurs.
J’ai utilis le diag a e de as d’utilisatio pou e p i e les besoins. La
première étape consiste à identifier les applications du périmètre d’audit.
Par la suite, l’auditeu value le iveau de o t ôle de ha ue processus.
Ceci permettra de générer des visuels résumant cette évaluation des
processus IT.
Figure 4 Diagramme de cas d'utilisation
Da s l’o je tif d’avoi plus de d tails su les tats de la solutio , j’ai alis
le diag a e d’a tivit . Chaque contrôle est évalué selon sa conception et
so i pl e tatio . L’ valuatio des o t ôles pe ett a de d te i e le
niveau de contrôle pour chaque processus IT.
S’il a un audit antécédent, il est possible de faire la comparaison visuelle
e t e l’a e actuelle et l’a ep de te.
30
Définir le périmètre
d'audit
Evaluer le design du Evaluer l'implémentation

contrôle du contrôle
Générer le niveau de
contrôle des processus IT
S'il y a un audit
antécédent
Générer un tableau
de bord des résultat
d'audit
Générer un tableau
de bord comparatif
avec les audit
antécédent
Figure 5 Diagramme d'activité
3.2 La conception graphique :

La présentation graphique se fait de façon à négliger certains points
importants. Pour cela, il faut passer du temps à la recherche de bonnes
pratiques tout en respectant la charte graphique chez EY.
31
Pa i les it es ue j’ai espe t ’est d’avoi :

- Une cohérence entre les formes et les couleurs : Cette harmonie permet
d’atti e le lie t à voi le ta leau de o d et le o p e d e apide e t
- Pas de su ha ge d’i fo atio s : U ta leau de o d ou il ’a
uniquement les informations nécessaires avec un espacement entre les
formes.
- Une illustration le plus possible des schémas : En indiquant le nom de
chaque forme, le client comprend facilement le tableau de bord. 5
4- La réalisation et test
Fa e au is ues IT , le t avail d’auditeu o siste à value les is ues et d fi i
les contrôles nécessaires pour réduire ou éliminer les impacts sur la fiabilité de
l’i fo atio .
Co e j’ai e tio da s la pa tie p de te, ot e t avail su ette partie
se focalise sur les trois processus IT dont il faut les évaluer.
Cette évaluation se fait sur deux niveaux qui sont la conception du contrôle et
son implémentation. Pou ela , j’ai att i u u iveau pou ha ue o t ôle
comme suit :
- Effectif : Ce contrôle existe et opérationnel
- Perfectible : Le o t ôle peut s’a lio e
- Ineffectif : Le o t ôle ’est pas i pl e t
- Non testé : Nous e pouvo s pas value le o t ôle a il ’ a pas eu de
test lo s de la issio d’audit
En se basant su es iveau , j’ai i pl e t u e thode pou ua tifie
cette évaluation.
4.1 Identification des contrôles standards :

Co e e tio p de e t, il ’ a u o t ôle ui vise à dui e ou
éliminer chaque risque. Pa o s ue t, j’ai fi u e liste des contrôles
standards pour chaque risque IT. L’ajout de o t ôle este possi le pa
l’auditeu via le outo d’ajout i pl e t da s la solutio VBA.
5
https://www.iaonline.theiia.org/blogs/Jim-Pelletier/2018/Pages/Five-Tips-for-Effective-Data-Visualization-in-
Internal-Audit.aspx
32
4.2 La ua tifi atio de l’ valuatio :

J’ai att i u des chiffres pour chaque niveau de contrôle comme suit (3 :
effectif, 1 : perfectible, 0 ineffectif et vide pour non testé). Pour plus de clarté
des résultats, une couleur est attribuée pour chaque niveau.
L’ valuatio du p o essus IT d pe d de l’ valuation des tous ses contrôles. Ces
de ie s ’o t pas la e criticité. Pa e e ple, la s pa atio des tâ hes ’a
pas la même valeur que les autres contrôles. Si ce contrôle est ineffectif en
absence de revue des changements, le processus de gestion de changement est
évalué comme ineffectif.
Par conséquent, j’ai ajout u e po d atio pou ha ue o t ôle. Ai si, le
o t ôle ui a la po d atio la plus lev e a plus d’i po ta e ue les aut es
contrôles.
Chaque contrôle est évalué en multipliant le niveau de contrôle par la
pondération. Par la suite, l’ valuatio du p o essus IT est g pa la so e
des valuatio s de o t ôles. Ce i ous pe et d’att i ue u iveau de
o t ôle du p o essus alla t de jus u’à .
Figure 6 La méthodologie de l'évaluation des contrôles
Figure 7 L'évaluation du processus
33
4.3 Génération du tableau de bord

Les résultats quantifiés obtenus lors de la phase précédente permettent de
générer un tableau de bord . La p e i e pa tie o tie t l’ valuatio du
processus par design et implémentation. La deuxième partie décrit les niveaux
de contrôles par processus. La troisième partie montre de façon globale
l’ valuatio glo ale de ha ue p o essus IT.
Figure 8 La génération du tableau de bord
4.4 La génération du tableau de bord comparatif

A pa ti du ta leau de o d d’u e a e, ous pouvo s fai e la o pa aiso
d’u e a e à u e aut e. Pou alise ette op atio , il suffit de li ue su le
bouton « comparaison » ui pe et de s le tio e l’e e i e d’audit de
l’a ep de te. Pa o s ue t, la solutio pe et d’ value l’ a t au
niveau des processus IT, des contrôles et le niveau de contrôle des processus.
34
E plus, j’ai ajout u outo ui pe et de g e les ta leau de o d sous

format PDF.
Figure 9 Le tableau de bord comparatif
35
Conclusion
Les difficultés rencontrées
Au d ut de o stage, j’ai pe s à auto atise l’ valuatio des o t ôles.
L’id e tait d’avoi u sultat auto ati ue du iveau de is ue selo le iveau
de o t ôle. E dis uta t ave les e es de l’équipe du p ojet, j’ai o p is
ue l’ valuatio du is ue d pe d du juge e t de l’auditeu . Cette opi io
diff e d’u auditeu à u aut e. Do , il ’est pas possi le de l’auto atise .
E se o d lieu, j’ai app is ue l’ valuatio d pe d de la o eptio du o t ôle
ai si ue de so i pl e tatio . Do , l’o je tif est de o t e ha u des
deu pla s d’ valuatio sa s ou lie la visio glo ale à p se te . L’app o he
de scoring adoptée était de faire le rapprochement entre la situation des
processus IT par rapport à un résultat ou tous les contrôles sont effectifs.
Pe da t ette d a he, j’ai p is e o pte la diff e e de iveau de
iti it e t e les o t ôles. Pou e pli ite e poi t, j’ai adopt des iveaux de
pondérations différents entre les contrôles.
Les enseignements utilisés :
Le fait que notre master soit parmi les premiers dans le classement des masters
e s st e d’i fo atio ’est pas u hasa d. C’est le f uit d’u t avail de
collaboratio e t e l’u ive sit et l’e t ep ise. Cette o fi atio vie t de
l’utilisatio de la ajo it des o aissa es a uises lo s de o passage e
aste SIEE. E effet, le faite d’utilise la od lisatio de p o essus pe et de
comprendre le fonctionnement d’e t ep ise. Pa la suite, je peu a al se si le
d oule e t du p o essus o espo d au s a io p d fi i pa l’e t ep ise.
Les otio s de ase de d oule e t d’u e issio d’audit a uises lo s de os

tudes de as p ati ues et des fo da e tau de l’audit ’o t aid pou
l’ valuatio des o t ôles et les is ues asso i s. E plus, les it es de
alisatio d’u ta leau de o d effi a e o t t assi il s da s la ati e de
gouve a e des s st es d’i fo atio . D’aut e pa t l’o ga isatio d’u pla
de t avail d s le d ut de o stage, ’a pe is de pla ifie les tâ hes à
l’ava e afi de espe te les d lais de alisatio .
Parmi les moyens utilisés pour décrire le fonctionnement de la solution
p opos e, il ’avait UML pou la o eptio .
36
Mon intérêt pour ce sujet est dû à une prise de conscience du rôle fondamental
de la pa tie visuelle da s les issio s d’audit. Not e objectif est d’atti e le
client et le convaincre en partageant nos constats et recommandation. Donc,
nous sommes dans un contexte de prise de parole en public. Ainsi, la partie
visuelle est i po ta te. Il e suffit pas d’avoi des slides ave u o desig
mais il faut avoir la cohérence entre les informations et la présentation.
Ce ue j’ai o stat à t ave s des si ulatio s de as p ati ues pe da t o
stage, ’est u’u auditeu doit avoi d’aut es o p te es. Cette e p ie e a
t d’u e g ande valeur ajoutée pour moi vu u’o s’est is da s les
o ditio s elles d’u e issio d’audit. Au cours de nos études, nous avons eu
une idée globale sur ce métier .Cependant, rien ne vaut le côté pratique de
fréquenter des spécialistes et de poser toutes les questions sur le domaine.
Le fait de s’adapte à des o te tes diff e ts est un des atouts du métier de
l’auditeu .C’est vide t u’e plus du ôt te h i ue, il ’a des ualit s
humaines nécessaire pour devenir consultant tel que :
-l’ oute : Et e e oute a tive ave les e es de l’ uipe de p ojet tait
esse tiel pou o p e d e les o je tif du p ojet. Ai si, j’a l e es
réflexions pour synthétiser et poser les questions. Même lors de la simulation
d’e t etie da s les as p ati ues, il faut bien écouter le client pour formuler
les demandes de preuves selon les informations fournies.
-Le discours : Ta t u’il est lai et p is, l’auditeu peut a al se fa ile e t le
périmètre et répondre aux questions du client. La visualisation des données
’est pas suffisa te si elle ’est pas adapt e à l’audie e.
Pendant la présentation des travaux de restitution, le client posera des
questions auxquelles il faut s’ p pa e à l’ava e.
- La gestion du temps : Il y a toujours des imprévus ou changement du plan. Il
faut toujou s s’ adapte e d o posa t les tapes et do e la p io it au
tâches les plus importantes.
-Qualité et rigueur : à travers le stage, j’ai assi il l’i po ta e de la ualit
des livrables sur le fond et la forme .Savoir présenter et valoriser le travail est
primordiale pour réussir.
-Etre une force de proposition et autonome : Lo s u’o o fie u e tâ he à u
o sulta t ’est u’on est sûr que ça avance dans le bon sens. Le premier
o seil eçu ’est u’il e faut ja ais este lo u fa e à u e diffi ult . Ce i
37
nous fait perdre du temps. Il est impératif de consulter un collègue ou un

sup ieu au lieu de este lo u . Lo s u’u consultant réalise sa tâche, il doit
être capable à la présenter à son manager et présenter des idées intéressantes.
C’est de ette faço u’u o sulta t appo te de la valeu ajout e à sa issio .
Les perspectives
Da s u o te te de o p titivit a ue, les a i ets d’audit he he t à se
développer et améliorer les méthodes pour donner des livrable de qualité aux
lie ts. L’e jeu ’est pas si ple e t e o vai e le lie t et s’assu e de la
fia ilit de l’i fo ation fournie par les applications tout en respectant les
thodologies et les thi ues d’audit. Da s e ad e-là, les nouvelles
méthodologies peuvent faciliter ce rôle tel que la data visualisation.
La force de la data visualisation consiste à la double utilisatio e ta t u’outil
de compréhension et un moyen de communication. Dans cet objectif, il faut
assu e l’ uili e e t e la pe ti e e des i fo atio s et la oh e e des
fo es g aphi ues. Le ôt e go o i ue des g aphes doit atti e l’auditoi e et
faciliter la compréhension.
La visualisatio g aphi ue des do es p e d plus d’a pleu et devie t u

domaine à part entière. De nouveaux métiers reliés sont apparu tel que le
métier de consultant analytics et Datavisualisation .
De nos jours, la data visualisation dépasse la représentation graphique et la

technologie pour intégrer les sciences cognitives et les besoins métiers.
Les sciences de la cognition, comme la psychologie et les sciences de la
perception, sont indispensables pour aider à bien saisir le meilleur moyen de
communiquer l'information. En plus, connaitre le métier des utilisateurs
pe et de i le les hoi d’i fo atio s à p se te ui soie t e phase ave
ses attentes.
Da s le ad e des t avau de estitutio , l’auditeu doit s’adapte à so

auditoire pour la présentation. Ainsi, il se concentre sur les données techniques
fa e à u DSI pa e e ple. L’e jeu p i ipal ’est de ussi à si plifie au
maximum la manipulation tout en garantissant une bonne gouvernance des
données.
38
L’ava tage ajeu e de la data visualisatio ’est u’elle pe et d’avoi des

utilisations multiples. Elle peut être un moyen performant de présenter des
missions de conseils ou des missions de contrôles applicatifs par exemple.
E plus ue l’utilisatio de ouvelle thodologies, le d veloppement de

ouvelle te h ologie fa ilite le t avail de l’auditeu tel ue l’auto atisatio de
processus (Robotic Process automation : RPA . Co e j’ai e tio la
te h ologie e peut pas e pla e le juge e t de l’auditeu ais peut l’aide à
l’a al se et les tests des p euves d’audit. Pa o s ue t, l’auditeu pou a
améliorer le livrable pour le client finale.
Ce ue je etie s le plus de la Data Visualisatio , C’est u’Il faut faciliter à tout

p i l’e p ie e utilisateu .
39
Glossaire
La datavisualisation6 : C’est est l’ tude, la s ie e ou l’a t de ep se te des
données de façon visuelle. Cela peut se concrétiser par des graphiques, des
camemberts, des diagrammes, des cartographies, des chronologies, des
infographies ou même des créations graphiques inédites ou des photos. La
présentation sous une forme illustrée rend les données plus lisibles et
compréhensibles.
Les objets connectés7 : Les objets connectés sont des objets électroniques
connectés sans fil, partageant des informations avec un ordinateur, une
tablette ou un smartphone... et capables de percevoir, d'analyser et d'agir
selon les contextes et notre environnement.
Les contrôles généraux informatiques : L’ valuatio du o t ôle i te e su les
trois grands domaines informatiques (gestion des changements, sécurité
logique et exploitation IT)
IT : Information Technology
KPI8 : C’est un acronyme pour (Key Performance Indicator) traduit en Français
par indicateur clé de performance.
RPA9 : (Robotic process automation) :Un thode ui p opose d’auto atise
les tâches récurrentes au niveau des fonctions corporate, à savoir front office,
a k offi e et suppo t, est desti e à joue u ôle esse tiel da s l’ volutio
des talents de demain.
Diag a e de as d’utilisatio 10 : Un cas d'utilisation représente une unité
discrète d'interaction entre un utilisateur (humain ou machine) et un système.
Il est une unité significative de travail. Dans un diagramme de cas d'utilisation,
les utilisateurs sont appelés acteurs (actors), ils interagissent avec les cas
d'utilisation (use cases).
6
https://parteja.net/la-datavisualisation-cest-quoi-4194.html
7
https://www.usine-digitale.fr/objets-connectes/
8
https://www.journalducm.com/kpi
9
https://www.insurancespeaker-wavestone.com/2017/03/robotic-process-automation-rpa-appliquee-secteur-
de-lassurance/
10
https://fr.wikipedia.org/wiki/Diagramme_des_cas_d%27utilisation
40
Le diagramme d'activité 11: C’est un diagramme comportemental d'UML,

permettant de représenter le déclenchement d'événements en fonction des
états du système et de modéliser des comportements.
UML12 : Le Langage de Modélisation Unifié, de l'anglais Unified Modeling
Language (UML), est un langage de modélisation graphique à base de
pictogrammes conçu pour fournir une méthode normalisée pour visualiser la
conception d'un système. Il est couramment utilisé en développement logiciel
et en conception orientée objet.
11
https://fr.wikipedia.org/wiki/Diagramme_d%27activit%C3%A9
12
https://fr.wikipedia.org/wiki/UML_(informatique)
41
Références
https://www.usine-digitale.fr/article/44-zettaoctets-de-donnees-seront-generes-par-les-objets-connectes-en-
2020.N257140
2
https://www.toolshero.com/communication-skills/communication-model-mehrabian/
3
https://www.tableau.com/fr
4
https://www.qlik.com
5
https://www.iaonline.theiia.org/blogs/Jim-Pelletier/2018/Pages/Five-Tips-for-Effective-Data-
Visualization-in-Internal-Audit.aspx
6
https://parteja.net/la-datavisualisation-cest-quoi-4194.html
7
https://www.usine-digitale.fr/objets-connectes/
8
https://www.journalducm.com/kpi
9
https://www.insurancespeaker-wavestone.com/2017/03/robotic-process-automation-rpa-appliquee-secteur-
de-lassurance/
10
https://fr.wikipedia.org/wiki/Diagramme_des_cas_d%27utilisation
11
https://fr.wikipedia.org/wiki/Diagramme_d%27activit%C3%A9
12
https://fr.wikipedia.org/wiki/UML_(informatique)
Cours
- Daniel Le Guillo (11/2016). Gouvernance des SI , Master 1 MSI— Université
Paris-Dauphine|Tunis
- Zied Chograni (11/2017). Audit des processus et Essentiel du management des
risques, Master 2 SIEE— Université Paris-Dauphine|Tunis
- Joel Le Bec(10/2017) .Les fo da e tau de l’audit et du o seil , Master 2
SIEE— Université Paris-Dauphine|Tunis
Documentation interne de EY :
42
- GAM training (10/2017) : Evaluate IT Processes

- ITRA (12/2017) : A deep-dive into IT considerations and evaluations
- ITRA(11/2016) : IT processes, risks and controls
Bibliographie
Baron AC., Bernard F., Carvalho A. & Rosenthal-Sabroux C. (2009).
Management et gouvernance SI. Chapitre 3 : « Ecoute et communication ».
Paris : La Voisier
43

Data Visualisation Des Travaux de Restitution

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Data Visualisation Des Travaux de Restitution

Transféré par

Droits d'auteur :

Formats disponibles

LA DATA VISUALISATION DES

ANNÉÉ UNIVERSITAIRE : 2017/2018

Mo passage au aste a t e i hissa t pa les o aissa es ue j’ai

Je tiens à remercier vivement Mme Myriam Khelifi et Mr Zied chograni :

Je ne sais comment dire merci à Mme Amani Fitouri et Mr Nafaâ Hamdi ,

Je e e ie gale e t toute l’ uipe ITRA pou son accueil, sa disponibilité et

E fi , je tie s à e e ie toutes les pe so es ui ’o t o seill et elu lo s

3- Les types de contrôles ............................................................................................................... 23

Table des Figures

- La gestion des changements : Les modifications des applications

En plus de la p se tatio des t avau de estitutio de l’a e d’audit,

Le côté visuel représente la partie la plus importante dans la communication

- La réalisation de graphiques ergonomiques et interactifs : Un des moyens

Chapitre 1 : Présentation du contexte

1- Présentation du cabinet Ernst And Young

1 .1.1 Le département ITRA (Information Technology Risk & Assurance)

Glo al da s le ad e d’ uipes i t g es ou ave u e gestio di e te du

Les aspe ts d’u e issio d’audit so t as s su u e thodologie p op e au

1.2 P se tatio de l’ uipe du p ojet :

Figure 1 Le périmètre du projet

3- La data visualisatio da s la issio d’audit

Les ITGC permettent de s'assurer qu'il existe un environnement de contrôle

Ainsi, aussi bien la méthodologie de communication que la représentation

Chapitre 2 : L’i po ta e de l’ valuatio des o t ôles

1- Les risques informatiques

Figure 2 Les risques informatiques

2- Le rôle des contrôles généraux IT

2.1 Le processus de gestion des changements

. . L’app o atio des changements

2.2 Le processus de Gestion des accès

Comme contrôle préventif, il s’agit de s’assu e ue toutes les demandes

2.3 La gestio de l’exploitatio

3- Les types de contrôles

3.2 Les contrôles compensatoires

4- Les exemples de cas pratiques

Exemple 2 : Gestio d’a s

5- Evaluation des contrôles

6. Déterminer si la déficience s'applique à l'ensemble de la population ou à

5.1 Efficacité de la conception

5.2 Efficacité de l’i pl e tatio

5.3 Les impacts des déficiences dans les contrôles

Une déficience de fonctionnement peut exister lorsque l'individu effectuant le

Chapitre 3 : De l’ valuatio des ITGC à la Data

- La réalisation et la simulation du projet : La transformation de la

Figure 3 Le plan du projet

2.2 Les solutions technologiques

Il ’a de o eu logi iels pou la visualisatio des do es tel ue :

Figure 4 Diagramme de cas d'utilisation

Evaluer le design du Evaluer l'implémentation

Figure 5 Diagramme d'activité

3.2 La conception graphique :

Pa i les it es ue j’ai espe t ’est d’avoi :

4.1 Identification des contrôles standards :

4.2 La ua tifi atio de l’ valuatio :

Figure 6 La méthodologie de l'évaluation des contrôles

Figure 7 L'évaluation du processus

4.3 Génération du tableau de bord

Figure 8 La génération du tableau de bord

4.4 La génération du tableau de bord comparatif

E plus, j’ai ajout u outo ui pe et de g e les ta leau de o d sous

Figure 9 Le tableau de bord comparatif

Les enseignements utilisés :

Les otio s de ase de d oule e t d’u e issio d’audit a uises lo s de os