Académique Documents
Professionnel Documents
Culture Documents
Dossier
Dossier : Audit
Analyse de données
Mathieu Laubignat
CISA, Auditeur informatique
“ Les techniques d’analyse des données, utilisées depuis
1998 au sein de l’Audit Informatique du Groupe La Poste, constituent
un outil d’audit puissant et indispensable pour la réalisation des
missions. Cet article présente la démarche utilisée dans ce cadre, et
fournit quelques exemples concrets de mise en œuvre.
”
1. Présentation succincte d’audit, on parle alors d’« audit par Pour l’auditeur, l’analyse de données
de l’Audit Informatique les données », pratiqué au moyen accroît considérablement la valeur
de techniques d’audit assisté par ajoutée de ses travaux et, de fait,
du Groupe La Poste
ordinateur (TAAO ou CAATs). l’image de marque de l’audit. En
> Fig. 1 : les travaux d’analyse de données dans le processus d’audit Pour l’extraction, différentes ap-
proches sont envisageables en
deuxième qui paraît plus écono- Phase 2 : Définition des scénarios
fonction de l’interlocuteur (proprié-
mique présente cependant certains d’analyse
taire des données, maîtrise d’œuvre,
désavantages. En effet, un auditeur
À partir des objectifs de la mission, exploitant), du mode employé
cantonné aux travaux d’analyse
les tests les plus pertinents sont (mieux vaut privilégier une extraction
de données risque de se lasser
identifiés. Il peut s’agir de vérifier
rapidement. D’autre part, si les des données de production à l’état
l’application d’une procédure ou
compétences en la matière sont brut mais il peut s’agir également
l’implémentation d’une règle de
concentrées sur un nombre restreint du résultat d’une requête ou de
gestion, de vérifier une piste d’audit...
d’individus, il y a un risque plus données obtenues à partir d’un info-
important en cas d’absence ou de centre).
départ.
Phase 4 : Préparation des données
C’est pourquoi, l’Audit Informatique
du Groupe La Poste a fait le choix Une fois les données récupérées, il
de développer cette compétence faut organiser l’environnement de
sur l’ensemble des auditeurs du travail (espace d’importation / espace
pôle ASI. Ainsi, les nouveaux arri- de travail / espace de résultats) et
vants doivent maîtriser les tech- y déposer les fichiers en prenant
niques d’analyses de données au
soin de faire une archive des données
même titre que les travaux d’audit
de départ afin de pouvoir repartir
classiques. Cette montée en compé-
de zéro le cas échéant.
tence s’effectue à travers une for-
mation de base assurée par les Ensuite, l’importation des fichiers
auditeurs plus expérimentés en in- est réalisée sans oublier d’effectuer
terne. De plus, le service dispose un contrôle immédiat pour chaque
d’un outil destiné à capitaliser l’ex-
fichier (validation des totaux de
périence engrangée en matière
contrôle et du nombre d’enregis-
d’analyse de données. Au sein du
Groupe, des services d’audit « géné- > Fig. 2 : tests d’analyse de données – trements, contrôles de cohérence,…)
comparaison des entrées et sorties
ralistes » ont mis en œuvre la dans l’outil d’analyse. Il peut s’agir
même démarche. Pour valider les scénarios d’analyse, d’outils de type base de données
il faut tenir compte des capacités (Access, Visual Foxpro,....), de logi-
Les travaux d’analyse de données
doivent être structurés. En consé- de l’outil d’analyse utilisé et réaliser ciels « généraux » (IDEA, ACL), ou
quence, le processus se décompose une approche de faisabilité en encore d’un tableur de type Excel.
en plusieurs phases : considérant la complexité, la volu- Cependant, les logiciels « géné-
métrie et la disponibilité des don- raux » allient une capacité de trai-
Phase 1 : Prise de connaissance nées (planning compatible, accord tement importante à une mise en
Cette phase constitue le préalable de l’audité). œuvre rapide tout en garantissant
à l’ensemble des travaux d’audit. Phase 3 : Récupération des données l’intégrité des données et la conser-
Elle consiste à identifier les acteurs
Après validation et en fonction des vation de la piste d’audit (Fig. 3). À
du SI (MOA, MOE,...), connaître le
objectifs des tests, les données titre indicatif, l’Audit Informatique
domaine et les objectifs attendus
du SI et obtenir sa description utiles aux travaux d’analyse sont du Groupe La Poste utilise IDEA
(Cartographie applicative, chrono- identifiées, les fichiers de départ depuis 1998. Il reste maintenant
logie des traitements, modèle de qui contiendront les champs néces- à formaliser les programmes de
données,…). saires sont définis et arrêtés à une travail.
La Revue / Mai 07
(11)
P 04-18 AUDIT*:Mise en page 1 11/05/07 9:59 Page 12
Types des fichiers Majorité des fichiers Majorité des fichiers Tout type de fichiers
importés ASCII ASCII
Attention, l’étape de préparation des intéressant pour l’équipe d’audit Par conséquent, il faut se fixer des
données peut être la plus fastidieuse de collaborer autant que possible objectifs clairs et stables tout au
si les étapes de prise de connais- avec des spécialistes du métier long de la mission, également
sance et de définition des scénarios
audité. maintenir une bonne communication
n’ont pas été correctement réali-
sées. En effet, une mauvaise défini- Si l’analyse n’aboutit pas, il faut en en interne mais aussi avec les au-
tion des objectifs et des données informer les acteurs, identifier la dités, travailler par étapes pour la
cibles peut aboutir à des demandes cause et éventuellement prévoir réalisation des tests en s’appliquant
d’extraction complémentaires ou
une solution de contournement. à contrôler et documenter les résul-
des travaux de remise en forme des
fichiers obtenus qui allongent signi- Enfin, une synthèse des travaux a tats obtenus.
ficativement le processus. posteriori permet d’identifier les
bonnes pratiques à généraliser lors En revanche, il faut veiller à ne pas
Phase 5 : Réalisation des tests
des prochaines analyses. se lancer dans un défi technique.
Pour chaque test, les étapes mises Il ne s’agit pas de réécrire l’appli-
en œuvre sont décrites et notamment
4. Conclusion cation, ni d’en faire la recette
les fichiers ou champs créés. Il faut
fonctionnelle. L’équipe doit être
également prévoir des modalités de
contrôle pour vérifier les résultats
obtenus.
E n matière d’analyse de données,
il convient de respecter les
différentes étapes de préparation
également vigilante par rapport
aux délais car certains tests peuvent
La réalisation d’un document de pour faciliter la réalisation des tra- s’avérer plus longs que prévu d’où
suivi chronologique des travaux vaux. En effet, l’expérience a montré la nécessité de prioriser. Attention
(description de ce qui est fait et ce que les phases amont sont souvent à l’interprétation hâtive, situation
qui reste à faire) constitue également plus consommatrices de temps
un élément important durant cette dangereuse si l’auditeur n’a pas
mais conditionnent la réussite des
phase. Cette démarche peut per- toute la connaissance fonctionnelle.
travaux d’analyse de données. À
mettre éventuellement de prioriser Enfin, l’absence de contrôles et de
certains travaux en recadrant par titre indicatif, sur une mission
classique de l’Audit Informatique documentation induit le risque de
la suite avec l’audité.
où des travaux d’analyse de données fonder ses conclusions sur des
Phase 6 : Interprétation
sont menés, la charge de travail se résultas erronés ou d’être dans
et présentation des résultats
répartit sur les différentes phases l’impossibilité de justifier la dé-
La dernière phase consiste à ana-
du processus de la façon suivante : marche d’obtention du résultat.
lyser et valider les résultats par
rapport à ceux attendus en relation
avec les acteurs du SI audité. Puis Phases du processus % de la charge de travail totale
viennent la conclusion et la resti- Phase 1 : Prise de connaissance 10 %
tution des résultats sous forme
Phase 2 : Définition des scénarios d’analyse 10 %
graphique de préférence (attention,
il est parfois difficile de représenter Phase 3 : Récupération des données 15 %
certains résultats d’analyse de Phase 4 : Préparation des données 15 %
données). Pour gagner en valeur Phase 5 : Réalisation des tests 30 %
ajoutée dans les conclusions et les
Phase 6 : Interprétation et présentation des résultats 20 %
recommandations émises, il est
La Revue / Mai 07
(12)
P 04-18 AUDIT*:Mise en page 1 11/05/07 9:59 Page 13
5. Exemples d’utilisation
a) Vérification de la mise en
œuvre d’une procédure de Non-respect de
saisie par les utilisateurs la procédure
dans 45,8 %
Objectif de l’analyse : Vérification des cas
de la mise en œuvre d’une procé-
dure de saisie par les utilisateurs
qui prévoyait la saisie d’un évène-
ment pour marquer chacune des
deux étapes constitutives d’une opé-
ration manuelle. Le respect de
cette procédure permettait d’offrir
une visibilité sur l’état d’avance-
ment de l’opération considérée. b) Étude de l’efficacité d’un Résultats :
Population observée : Ensemble des contrôle informatique addi- Dans ce cas, l’analyse a permis de
journaux de transactions de l’appli- tionnel mis en œuvre dans une démontrer l’efficacité du contrôle
cation sur une semaine sous la application informatique puisque sa mise en
forme de fichiers d’évènements au
Objectif de l’analyse : Démontrer place a engendré une diminution
format texte.
l’efficacité du contrôle informatique. significative du nombre de rejets
Travaux réalisés :
dans l’application. De plus, ces tra-
• Concaténation des fichiers évè- Population observée : Extraction de
vaux ont montré la nécessité d’ins-
nements. l’ensemble des enregistrements
taurer une procédure d’analyse
• Remise en forme globale pour im- rejetés dans l’application au cours
systématique des rejets afin de
portation du fichier dans l’outil d’un trimestre sous la forme d’un
détecter les dysfonctionnements
d’analyse, ce qui a constitué l’étape fichier Excel.
la plus longue et la plus fastidieuse. éventuels notamment après la
Travaux réalisés : mise en production d’évolutions de
• Importation du fichier obtenu.
• Importation du fichier. l’application. À la suite de cet audit,
• Pour chaque opération, calcul du
le propriétaire du processus a donc
délai écoulé entre les deux évène- • Sommaire par date du nombre de
ments. mis en place une procédure de
rejets.
suivi des anomalies avec un indica-
Résultats :
• Représentation du résultat sous teur d’alerte basé sur les tables de
L’analyse des délais écoulés entre
forme graphique. rejets de l’application.
les deux évènements a permis de
mettre en évidence un non-respect
de la procédure sur le terrain et de
quantifier l’étendue du dysfonc-
tionnement. En effet, certains utili-
sateurs effectuaient les deux
saisies en simultanée plutôt qu’à
chaque fin d’étape constitutive, Mise en place du contrôle informatique
faussant la vue restituée par le
système. À la suite de cet audit, un
travail réalisé conjointement avec
le propriétaire du processus a per-
mis de mettre en œuvre les actions
nécessaires pour un retour à une
situation maîtrisée et conforme à
la procédure.
La Revue / Mai 07
(13)
P 04-18 AUDIT*:Mise en page 1 11/05/07 9:59 Page 14
c) Contrôle des habilitations • Cumul par date du nombre e) Mise à jour de la modélisation
par rapprochement avec les d’anomalies fonctionnelles. d’une activité
bases RH • Cumul par date du nombre Objectif de l’analyse : Vérification
Objectif de l’analyse : Vérification d’opérations de maintenance à du respect d’une procédure pré-
de la légitimité des habilitations chaud. voyant la mise à jour annuelle de la
accordées au niveau d’une appli- modélisation d’une activité dans
• Représentation des résultats
cation. une application. Le respect de cette
sous forme graphique.
Population observée : Extraction de procédure permettait à l’application
Résultats : de restituer une image fiable de
l’ensemble des habilitations ainsi
que des droits accordés au niveau L’analyse a permis d’étayer les élé- l’activité globale.
de l’application sous la forme d’un ments recueillis au cours des entre- Population observée : Extraction
fichier Excel. tiens d’audit. En effet, les résultats de l’ensemble des modélisations
montrent que la mise en production créées dans l’outil au niveau national
Travaux réalisés :
de la nouvelle version a engendré dans un fichier au format csv.
• Importation du fichier des habili- une croissance importante du Chaque modélisation était rattachée
tations dans l’outil d’analyse. nombre d’anomalies fonctionnelles à une entité et possédait une date
• Extraction de la liste des utilisa- et par conséquent d’opérations de de création.
teurs concernés. maintenance à chaud. L’analyse a
Travaux réalisés :
donc permis de souligner l’insuffi-
• Extraction à partir des bases RH
sance de la recette fonctionnelle • Importation du fichier des modé-
du statut des utilisateurs impactés.
réalisée avant la mise en production. lisations dans l’outil d’analyse.
• Importation du fichier des utilisa-
teurs dans l’outil d’analyse.
• Rapprochement des statuts et des
habilitations pour chaque utilisateur.
Résultats :
L’analyse a permis d’identifier des
cas où la procédure de retrait des
habilitations n’avait pas été respec-
tée au niveau local. L’audit a abouti
au lancement d’un plan de sensibili-
sation auprès des managers locaux
afin qu’ils s’assurent du respect de
la procédure.
La Revue / Mai 07
(14)
P 04-18 AUDIT*:Mise en page 1 11/05/07 9:59 Page 15
La Revue / Mai 07
(15)