Vous êtes sur la page 1sur 26

AUDIT

INFORMATIQUE
MASTER : CDSI FSJES AGADIR
MODULE : AUDIT OPRATIONNEL

ENCADR PAR : M. BORMA


RALIS PAR : EL AMRANI JAOUAHIR

PLAN :

Introduction

Les concepts de base

Les types daudit informatique

Les objectifs daudit de la fonction informatique

La dmarche daudit de la fonction informatique

Les rfrentiels daudit de la fonction informatique

Etude de cas

Conclusion

INTRODUCTION
PROBLMATIQUE : QUEL SONT LES DIFFRENTS
DOMAINES DAUDIT INFORMATIQUE ? ET QUELLE EST
LA DMARCHE SUIVRE POUR RALISER UN AUDIT
DE LA FONCTION INFORMATIQUE AU SIEN DUNE
ORGANISATION ?

Dfinition de laudit et
laudit oprationnel :

Laudit est une expertise professionnelle effectue par un agent


comptent et impartial aboutissant un jugement sur les tats
financiers, le contrle interne, l'organisation, la procdure, ou une
opration quelconque d'uneentit.

L'audit oprationnel est une valuation priodique, continue et


indpendante, il comprend l'analyse et l'valuation des lments de
la gestion (planification, organisation, direction et contrle), c'est
dire, les objectifs et les plans, les responsabilits, les structures
organisationnelles, les politiques et procdures, les systmes et
mthodes, les contrles, et les ressources humaines et physiques.

Dfinition de laudit informatique


Laudit informatique, ouaudit IT, permet de sassurer que les
activits informatiques dune entreprise se droulent correctement
quant aux rgles et aux usages concernant les bonnes pratiques.
L'audit informatique a pour objectif didentifier et dvaluer
lesrisquesassocis aux activits informatiques d'une entreprise ou
d'une administration.
Laudit IT va permettre une valuation du niveau de maturit de
linformatique et mme du niveau des systmes dinformation de
lentreprise.

Les types de laudit


informatique :
Audit
de la fonction informatique
Audit des tudes informatiques
Audit de l'exploitation
Audit des projets informatique
s
Audit des applications opratio
nnelles
Audit de la scurit informatiq

Dfinition de systme
informatique au sien de lE/se :

Lobjectif dun systme informatique est dautomatiser le traitement de


linformation par dessystmes embarqus, desordinateurs, desrobots,
desautomates,etc.

Le systme informatique est le sous-systme du systme dinformation .

Un systme informatique est constitu de deux entits: le matriel et le logiciel.

La fonction informatique au
sien de lE/se :
schma 1 : Les principales fonctions dune direction informatique

Source : http://bit.ly/xPtvUl

Les objectifs daudit de la


fonction informatique :

Vrifier le rle des directions fonctionnelles et oprationnelles dans


le pilotage informatique et notamment l'existence d'un comit de
pilotage de l'informatique,

Contrler la mise en uvre de politiques, de normes et de


procdures spcifiques la fonction,

Contrler la dfinition des responsabilits respectives de la fonction


informatique et des units utilisatrices concernant les traitements,
la
maintenance,
la
scurit,
les
investissements,
les
dveloppements,.

La dmarche daudit de la
fonction informatique :

Rapport daudit informatiq


Identifcation et valuation des
risques
Tests des contrles
Comprhension de lenvironnement
informatique
l'tablissement de la lettre de mission et le
cadrage de la mission

La dmarche daudit de la
fonction informatique :

tape 1- L'tablissement de la lettre de mission et le


cadrage de la mission :

Les objectifs de cette tape se prsentent comme suit :

Une dlimitation du primtre dintervention de lquipe daudit


informatique. Cela peut tre matrialis par une lettre de mission, une note
interne, une runion pralable.

Une structure dapproche daudit et organisation des travaux ;

Une dfinition du planning dintervention ;

Une dfinition des modes de fonctionnement et de communication.

La dmarche daudit de la
fonction informatique :

tape 2 : Comprhension de lenvironnement informatique :

A- Lorganisation de la fonction informatique.


B- Caractristiques des systmes informatiques :

Les caractristiques des systmes hardware utiliss.

Les caractristiques des systmes software.

C- La cartographie des applications.


Et ceci par la collecte des faits, la recueille de toute donn li la
fonction, et par les entretiens.

La dmarche daudit de la
fonction informatique :

tape 3 : Identifcation et valuation des risques et des


contrles affrents aux systmes :
Il y a lieu didentifier les risques lis aux systmes informatiques et
au contrle dans un environnement informatis. Ils concernent aussi
bien les risques lis aux contrles gnraux informatiques que ceux
lis aux applications.

La dmarche daudit de la
fonction informatique :

tape 4 : Tests des contrles et le degr des risques dtects


:
Les tests des contrles informatiques peuvent tre effectus en
utilisant aussi bien des techniques spcifiques aux environnements
informatiss (contrles assists par ordinateurs, revue des codes,
jeux de tests) que des techniques classiques (examen des pices et
documents).

La dmarche daudit de la
fonction informatique :

tape 5 : Rapport de laudit de la fonction informatique :


La rdaction du rapport d'audit est un long travail qui permet de
mettre en avant des constatations faites par l'auditeur et les
recommandations
qu'il
propose,

Les rfrentiels d'audit


informatique :
Il existe diffrents rfrentiels comme:

CobiT: Control Objectives for Information and related Technology.


C'est le principal rfrentiel des auditeurs informatiques.

Val ITpermet d'valuer la cration de valeur par projet ou par


portefeuille de projets,

Risk ITa pour but d'amliorer la matrise des risques lis


l'informatique ,

Etude de cas :

tude de cas :

La socit Siban a fait appel un cabinet daudit informatique dont lobjectif de


vrifier et dauditer la fonction informatique au sien de son organisation, durant la
premire tape de la Comprhension de lenvironnement informatique ,
lauditeurs informatique dgag les constats suivants :

M. Ginseng, le directeur informatique de la socit Siban, depuis 5 ans a quitt la


socit
sans
assurer
sa
succession.
M. Alo, directeur financier, a repris la fonction de directeur informatique en
attendant lembauche dun spcialiste, mais ne contrle pas encore tous les
processus.

Le schma directeur informatique date de 5 ans et le plan dvolution na pas t mis


jour alors que lactivit de la socit est en pleine volution.
Le directeur informatique est parti sans laisser ses documents de travail et le P-DG ne
sest jamais impliqu dans ses travaux.

Lancien directeur informatique M. Ginseng est le seul soccuper de tous les aspects
informatiques
de
la
socit.
Le P-DG, M. Ding Xian, ne supervise pas son travail par manque de connaissance
technique.

La maintenance et le dveloppement de lensemble des logiciels de la socit Siban


sont
externaliss
chez
le
prestataire
Indigo.
Cette socit est propritaire des programmes sources des applications dveloppes.

Etude de cas :

les risques dtects :

Risque de perte du contrle de certains processus.

Risque de perte dinformations connues de lancien directeur


informatique.

Risque de perte de cohrence dans lvolution du systme


dinformation si le plan dvolution nest pas tenu jour.

Le schma directeur, obsolte risque de ne plus tre en adquation


avec les besoins de la socit.

Trop de fonctions assures par une mme personne.


Pas de supervision extrieure.

Dpendance trop importante vis--vis de la socit dexternalisation.


Difficults pour changer de prestataire en cas de mcontentement sur
les prestations fournies ou de faillite du prestataire.

Etude de cas :

Recommandation :

Effectuer un tat de lexistant, identifier lensemble des procdures


existantes ou mettre en place.

Mener une rflexion sur une volution cohrente du systme dinformation.

Crer un nouveau schma directeur avec une architecture informatique


cible.

Dfinir le plan dvolution pour les exercices venir.

Affecter une ressource la fonction informatique ou externalisation de la


fonction dveloppement chez un prestataire. (Rsolution du risque= Trop
de fonctions assures par une mme personne).

Sassurer de la fiabilit de Indigo.

Etudier des solutions permettant dassurer la continuit du systme


dinformation en cas de dfaillance d'Indigo.

Une matrice rcapitule de


ltude :
Constats

Risque dtect

Recommandati
on

Stratgie labore par


les entits
oprationnelles

le directeur
informatique a quitt
la socit sans
assurer sa succession.

-perte du contrle de
certains processus.
-Risque de perte
dinformations
connues de lancien
directeur
informatique.

Effectuer un tat de
lexistant, identifier
lensemble des
procdures existantes
ou mettre en place.

Sensibilisation de la
direction

le plan dvolution
na pas t mis jour
alors que lactivit de
la socit est en
pleine volution.

-perte de cohrence
dans lvolution du
systme
dinformation
-risque de ne plus tre
en adquation avec
les besoins de la
socit.

-Mener une rflexion


sur une volution
cohrente du systme
dinformation.
-Crer un nouveau
schma directeur
avec une architecture
informatique cible.
Dfinir le plan
dvolution pour les
exercices venir.

Une matrice rcapitule ltude :


Constats

Risque dtect Recommandati


on

Organisation
informatique
Sparation des
tches

Le directeur
informatique est seul
soccuper de tous
les aspects
informatiques de la
socit

Trop de fonctions
assures par une
mme personne.
Pas de supervision
extrieure.

Affecter une
ressource la
fonction informatique
ou externalisation de
la fonction
dveloppement chez
un prestataire.

Externalisation

La maintenance et le
dveloppement de
lensemble des
logiciels de Siban
sont externaliss
chez le prestataire
Indigo.

-Dpendance trop
importante vis--vis
de la socit
dexternalisation.

-Sassurer de la
fiabilit de Indigo.
-Etudier des solutions
permettant dassurer
la continuit du
systme
dinformation en cas
de dfaillance
d'Indigo

CONCLUSIO
N

La bibliographie :

L'audit informatique au service du contrle interne


Compte-rendu de la Rencontre Autour dun verre du 11 octobre
2010; Confrence de Gina Gull-Menez rapporte par
Martine Otter.

Livre blanc "Scurit Financire et Systme d'Information" Jean-Yves Galley, Pierre Bernassau

Information Technology Audits - Lynford Graham, Xenia Ley


Parker 2007 ISACA

Prise en compte de lenvironnement informatique et incidence


sur la dmarche daudit , Collection guide dapplication;
dition : Avril 2003;

Merci de votre
attention

AUDIT
INFORMATIQUE
MASTER : CDSI FSJES AGADIR
MODULE : AUDIT OPRATIONNEL

ENCADR PAR : M. BORMA


RALIS PAR : EL AMRANI JAOUAHIR