Audit Informatique

AUDIT
INFORMATIQUE
MASTER : CDSI FSJES AGADIR
MODULE : AUDIT OPRATIONNEL
ENCADR PAR : M. BORMA

RALIS PAR : EL AMRANI JAOUAHIR
PLAN :
Introduction
Les concepts de base
Les types daudit informatique
Les objectifs daudit de la fonction informatique
La dmarche daudit de la fonction informatique
Les rfrentiels daudit de la fonction informatique
Etude de cas
Conclusion
INTRODUCTION
PROBLMATIQUE : QUEL SONT LES DIFFRENTS
DOMAINES DAUDIT INFORMATIQUE ? ET QUELLE EST
LA DMARCHE SUIVRE POUR RALISER UN AUDIT
DE LA FONCTION INFORMATIQUE AU SIEN DUNE
ORGANISATION ?
Dfinition de laudit et
laudit oprationnel :
Laudit est une expertise professionnelle effectue par un agent

comptent et impartial aboutissant un jugement sur les tats
financiers, le contrle interne, l'organisation, la procdure, ou une
opration quelconque d'uneentit.
L'audit oprationnel est une valuation priodique, continue et

indpendante, il comprend l'analyse et l'valuation des lments de
la gestion (planification, organisation, direction et contrle), c'est
dire, les objectifs et les plans, les responsabilits, les structures
organisationnelles, les politiques et procdures, les systmes et
mthodes, les contrles, et les ressources humaines et physiques.
Dfinition de laudit informatique

Laudit informatique, ouaudit IT, permet de sassurer que les
activits informatiques dune entreprise se droulent correctement
quant aux rgles et aux usages concernant les bonnes pratiques.
L'audit informatique a pour objectif didentifier et dvaluer
lesrisquesassocis aux activits informatiques d'une entreprise ou
d'une administration.
Laudit IT va permettre une valuation du niveau de maturit de
linformatique et mme du niveau des systmes dinformation de
lentreprise.
Les types de laudit

informatique :
Audit
de la fonction informatique
Audit des tudes informatiques
Audit de l'exploitation
Audit des projets informatique
s
Audit des applications opratio
nnelles
Audit de la scurit informatiq
Dfinition de systme
informatique au sien de lE/se :
Lobjectif dun systme informatique est dautomatiser le traitement de

linformation par dessystmes embarqus, desordinateurs, desrobots,
desautomates,etc.
Le systme informatique est le sous-systme du systme dinformation .
Un systme informatique est constitu de deux entits: le matriel et le logiciel.
La fonction informatique au
sien de lE/se :
schma 1 : Les principales fonctions dune direction informatique
Source : http://bit.ly/xPtvUl
Les objectifs daudit de la

fonction informatique :
Vrifier le rle des directions fonctionnelles et oprationnelles dans

le pilotage informatique et notamment l'existence d'un comit de
pilotage de l'informatique,
Contrler la mise en uvre de politiques, de normes et de

procdures spcifiques la fonction,
Contrler la dfinition des responsabilits respectives de la fonction

informatique et des units utilisatrices concernant les traitements,
la
maintenance,
la
scurit,
les
investissements,
les
dveloppements,.
La dmarche daudit de la
Rapport daudit informatiq

Identifcation et valuation des
risques
Tests des contrles
Comprhension de lenvironnement
informatique
l'tablissement de la lettre de mission et le
cadrage de la mission
tape 1- L'tablissement de la lettre de mission et le

cadrage de la mission :
Les objectifs de cette tape se prsentent comme suit :
Une dlimitation du primtre dintervention de lquipe daudit

informatique. Cela peut tre matrialis par une lettre de mission, une note
interne, une runion pralable.
Une structure dapproche daudit et organisation des travaux ;
Une dfinition du planning dintervention ;
Une dfinition des modes de fonctionnement et de communication.
tape 2 : Comprhension de lenvironnement informatique :
A- Lorganisation de la fonction informatique.

B- Caractristiques des systmes informatiques :
Les caractristiques des systmes hardware utiliss.
Les caractristiques des systmes software.
C- La cartographie des applications.

Et ceci par la collecte des faits, la recueille de toute donn li la
fonction, et par les entretiens.
tape 3 : Identifcation et valuation des risques et des

contrles affrents aux systmes :
Il y a lieu didentifier les risques lis aux systmes informatiques et
au contrle dans un environnement informatis. Ils concernent aussi
bien les risques lis aux contrles gnraux informatiques que ceux
lis aux applications.
tape 4 : Tests des contrles et le degr des risques dtects

:
Les tests des contrles informatiques peuvent tre effectus en
utilisant aussi bien des techniques spcifiques aux environnements
informatiss (contrles assists par ordinateurs, revue des codes,
jeux de tests) que des techniques classiques (examen des pices et
documents).
tape 5 : Rapport de laudit de la fonction informatique :

La rdaction du rapport d'audit est un long travail qui permet de
mettre en avant des constatations faites par l'auditeur et les
recommandations
qu'il
propose,
Les rfrentiels d'audit

informatique :
Il existe diffrents rfrentiels comme:
CobiT: Control Objectives for Information and related Technology.

C'est le principal rfrentiel des auditeurs informatiques.
Val ITpermet d'valuer la cration de valeur par projet ou par

portefeuille de projets,
Risk ITa pour but d'amliorer la matrise des risques lis

l'informatique ,
Etude de cas :
tude de cas :
La socit Siban a fait appel un cabinet daudit informatique dont lobjectif de

vrifier et dauditer la fonction informatique au sien de son organisation, durant la
premire tape de la Comprhension de lenvironnement informatique ,
lauditeurs informatique dgag les constats suivants :
M. Ginseng, le directeur informatique de la socit Siban, depuis 5 ans a quitt la

socit
sans
assurer
sa
succession.
M. Alo, directeur financier, a repris la fonction de directeur informatique en
attendant lembauche dun spcialiste, mais ne contrle pas encore tous les
processus.
Le schma directeur informatique date de 5 ans et le plan dvolution na pas t mis

jour alors que lactivit de la socit est en pleine volution.
Le directeur informatique est parti sans laisser ses documents de travail et le P-DG ne
sest jamais impliqu dans ses travaux.
Lancien directeur informatique M. Ginseng est le seul soccuper de tous les aspects
informatiques
de
la
socit.
Le P-DG, M. Ding Xian, ne supervise pas son travail par manque de connaissance
technique.
La maintenance et le dveloppement de lensemble des logiciels de la socit Siban

sont
externaliss
chez
le
prestataire
Indigo.
Cette socit est propritaire des programmes sources des applications dveloppes.
Etude de cas :
les risques dtects :
Risque de perte du contrle de certains processus.
Risque de perte dinformations connues de lancien directeur

informatique.
Risque de perte de cohrence dans lvolution du systme

dinformation si le plan dvolution nest pas tenu jour.
Le schma directeur, obsolte risque de ne plus tre en adquation

avec les besoins de la socit.
Trop de fonctions assures par une mme personne.

Pas de supervision extrieure.
Dpendance trop importante vis--vis de la socit dexternalisation.

Difficults pour changer de prestataire en cas de mcontentement sur
les prestations fournies ou de faillite du prestataire.
Etude de cas :
Recommandation :
Effectuer un tat de lexistant, identifier lensemble des procdures

existantes ou mettre en place.
Mener une rflexion sur une volution cohrente du systme dinformation.
Crer un nouveau schma directeur avec une architecture informatique

cible.
Dfinir le plan dvolution pour les exercices venir.
Affecter une ressource la fonction informatique ou externalisation de la

fonction dveloppement chez un prestataire. (Rsolution du risque= Trop
de fonctions assures par une mme personne).
Sassurer de la fiabilit de Indigo.
Etudier des solutions permettant dassurer la continuit du systme

dinformation en cas de dfaillance d'Indigo.
Une matrice rcapitule de

ltude :
Constats
Risque dtect
Recommandati
on
Stratgie labore par

les entits
oprationnelles
le directeur
informatique a quitt
la socit sans
assurer sa succession.
-perte du contrle de
certains processus.
-Risque de perte
dinformations
connues de lancien
directeur
informatique.
Effectuer un tat de
lexistant, identifier
lensemble des
procdures existantes
ou mettre en place.
Sensibilisation de la
direction
le plan dvolution
na pas t mis jour
alors que lactivit de
la socit est en
pleine volution.
-perte de cohrence
dans lvolution du
systme
dinformation
-risque de ne plus tre
en adquation avec
les besoins de la
socit.
-Mener une rflexion

sur une volution
cohrente du systme
dinformation.
-Crer un nouveau
schma directeur
avec une architecture
informatique cible.
Dfinir le plan
dvolution pour les
exercices venir.
Une matrice rcapitule ltude :

Constats
Risque dtect Recommandati

on
Organisation
informatique
Sparation des
tches
Le directeur
informatique est seul
soccuper de tous
les aspects
informatiques de la
socit
Trop de fonctions
assures par une
mme personne.
Pas de supervision
extrieure.
Affecter une
ressource la
fonction informatique
ou externalisation de
la fonction
dveloppement chez
un prestataire.
Externalisation
La maintenance et le
dveloppement de
lensemble des
logiciels de Siban
sont externaliss
chez le prestataire
Indigo.
-Dpendance trop
importante vis--vis
de la socit
dexternalisation.
-Sassurer de la
fiabilit de Indigo.
-Etudier des solutions
permettant dassurer
la continuit du
systme
dinformation en cas
de dfaillance
d'Indigo
CONCLUSIO
N
La bibliographie :
L'audit informatique au service du contrle interne

Compte-rendu de la Rencontre Autour dun verre du 11 octobre
2010; Confrence de Gina Gull-Menez rapporte par
Martine Otter.
Livre blanc "Scurit Financire et Systme d'Information" Jean-Yves Galley, Pierre Bernassau
Information Technology Audits - Lynford Graham, Xenia Ley

Parker 2007 ISACA
Prise en compte de lenvironnement informatique et incidence

sur la dmarche daudit , Collection guide dapplication;
dition : Avril 2003;
Merci de votre
attention
AUDIT
INFORMATIQUE
MASTER : CDSI FSJES AGADIR
MODULE : AUDIT OPRATIONNEL
ENCADR PAR : M. BORMA

RALIS PAR : EL AMRANI JAOUAHIR

Audit Informatique

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Audit Informatique

Transféré par

Droits d'auteur :

Formats disponibles

AUDIT

ENCADR PAR : M. BORMA

Les concepts de base

Les types daudit informatique

Les objectifs daudit de la fonction informatique

La dmarche daudit de la fonction informatique

Les rfrentiels daudit de la fonction informatique

Laudit est une expertise professionnelle effectue par un agent

L'audit oprationnel est une valuation priodique, continue et

Dfinition de laudit informatique

Les types de laudit

Lobjectif dun systme informatique est dautomatiser le traitement de

Le systme informatique est le sous-systme du systme dinformation .

Un systme informatique est constitu de deux entits: le matriel et le logiciel.

Les objectifs daudit de la

Vrifier le rle des directions fonctionnelles et oprationnelles dans

Contrler la mise en uvre de politiques, de normes et de

Contrler la dfinition des responsabilits respectives de la fonction

Rapport daudit informatiq

tape 1- L'tablissement de la lettre de mission et le

Les objectifs de cette tape se prsentent comme suit :

Une dlimitation du primtre dintervention de lquipe daudit

Une structure dapproche daudit et organisation des travaux ;

Une dfinition du planning dintervention ;

Une dfinition des modes de fonctionnement et de communication.

tape 2 : Comprhension de lenvironnement informatique :

A- Lorganisation de la fonction informatique.

Les caractristiques des systmes hardware utiliss.

Les caractristiques des systmes software.

C- La cartographie des applications.

tape 3 : Identifcation et valuation des risques et des

tape 4 : Tests des contrles et le degr des risques dtects

tape 5 : Rapport de laudit de la fonction informatique :

Les rfrentiels d'audit

CobiT: Control Objectives for Information and related Technology.

Val ITpermet d'valuer la cration de valeur par projet ou par

Risk ITa pour but d'amliorer la matrise des risques lis

La socit Siban a fait appel un cabinet daudit informatique dont lobjectif de

M. Ginseng, le directeur informatique de la socit Siban, depuis 5 ans a quitt la

Le schma directeur informatique date de 5 ans et le plan dvolution na pas t mis

La maintenance et le dveloppement de lensemble des logiciels de la socit Siban

les risques dtects :

Risque de perte du contrle de certains processus.

Risque de perte dinformations connues de lancien directeur

Risque de perte de cohrence dans lvolution du systme

Le schma directeur, obsolte risque de ne plus tre en adquation

Trop de fonctions assures par une mme personne.

Dpendance trop importante vis--vis de la socit dexternalisation.

Effectuer un tat de lexistant, identifier lensemble des procdures

Mener une rflexion sur une volution cohrente du systme dinformation.

Crer un nouveau schma directeur avec une architecture informatique

Dfinir le plan dvolution pour les exercices venir.

Affecter une ressource la fonction informatique ou externalisation de la

Sassurer de la fiabilit de Indigo.

Etudier des solutions permettant dassurer la continuit du systme

Une matrice rcapitule de

Stratgie labore par

-Mener une rflexion

Une matrice rcapitule ltude :

Risque dtect Recommandati

L'audit informatique au service du contrle interne

Information Technology Audits - Lynford Graham, Xenia Ley

Prise en compte de lenvironnement informatique et incidence

ENCADR PAR : M. BORMA