Laudit assist par ordinateur

Nous avons vu :
Les missions,les normes, les normes daudit
La ncessit de comprendre le systme dinformation
Limpact sur la nature des risques et limpact sur la mthode daudit dun systme
comptable dans un environnement informatis .
Limportance de ltude des processus mtier informatiss qui ont un impact sur
llaboration des comptes

Nous allons voir :

Limpact des outils informatiques sur la ralisation (tapes et savoir faire) des contrles
substantifs pour lobtention dlments probants pour auditer dans un environnement
informatis :

Les techniques et les outils informatiques daudit du SI :

1
 Etapes daudit dun systme informatis
Rsum
L'audit informatique, l'audit des systmes d'information value les risques d'un
environnement informatique ou d'une application, par exemple, les salaires ou la
facturation. Ces missions se font en choisissant avec le client les processus mtiers
valuer, de mme que les processus CobiT valuer parmi les 34 proposs.
L'audit d'un environnement informatique peut concerner :
l'valuation des risques informatiques de la scurit physique, de la scurit logique,
de la gestion des changements, du plan de secours, etc.
lvaluation dun ensemble de processus informatiques - ce qui est gnralement le
cas - pour rpondre une demande prcise du client. Par exemple, apprcier la
disponibilit des informations et des systmes. Le CobiT permet justement de
rechercher quels processus informatiques rpondent le plus efficacement une
telle demande. Dans le cas de la disponibilit : par exemple la gestion des
performances et des capacits et le plan de continuit.
lvaluation dun ensemble de processus fonctionnels (comptables, logistiques)

2
 Etapes daudit dun systme informatis
Rsum
Approche gnrale
Un audit informatique, audit des systmes d'information, se fait selon un schma en
plusieurs phases :
1. Dfinition prcise du plan de travail, rcolte d'information, recherche et schmatisation
des processus mtiers et/ou informatiques apprcier, dfinition des rles et
responsabilits, analyse des forces - faiblesses.
2. Analyse des processus importants, dfinition des risques, valuation prliminaire des
risques, de l'efficacit des contrles.
3. Tests des contrles.
4. Tests de matrialit.
Un audit informatique, audit des systmes d'information ne concerne pas ncessairement
la scurit. En effet, il peut servir valuer des aspects stratgiques ou de qualit des
systmes d'information. Par exemple, rpondre la question suivante : Est-ce que les
systmes d'information de l'entreprise rpondent efficacement aux besoins des services
mtiers ? La dmarche est trs similaire, en choisissant et valuant les processus
informatiques proposs par le CobiT qui rpondent le mieux la demande et aux
objectifs du client.

3
 Etapes daudit dun systme informatis
Rsum

Audit de l'infrastructure informatique

Mission
Evaluer les risques des systmes d'information ncessaires au fonctionnement des applications. Par
exemple : Scurit physique, scurit logique, scurit des rseaux, plan de secours.
Livrable
Rapport contenant les faiblesses releves, leur niveau de risque et les mesures correctives proposes.

4
 Etapes daudit dun systme informatis
Audit d'un systme - d'une application informatique en cours de ralisation
Mission
Assister l'audit interne apprcier le projet en cours de ralisation dans les phases suivantes:
Initialisation - Analyse,
Conception - Ralisation,
Tests - Installation,
ainsi que le processus de Gestion de projet.
Les interventions de l'audit interne durant le projet peuvent concerner:
Mthodes et standards,Gestion de projet,Suivi des budgets et des dlais,Livrables,
Initialisation - Analyse,Conception - Ralisation,Tests - Installation,Migration des donnes,Revue
post-installation.
Approche
Apprciation des processus et/ou enqutes l'aide de questionnaires.
Livrables
Mesures proposes de rduction et de contrle des risques importants relevs; tableaux de bord et
autres documents de contrle pour la DIrection.

5
 Etapes daudit dun systme informatis
Audit d'une application informatique
Mission
Apprcier une application informatique en production, par exemple une application une application
comptable ou financire, etc. Trs souvent plusieurs domaines font partie d'un audit d'une
application, en particulier:
les donnes oprationnelles,
les donnes de base,
les paramtres,
les interfaces entre l'application et d'autres applications,
la gestion des droits d'accs l'application.
Bien entendu, tout audit d'une application doit galement apprcier la scurit de l'infrastructure
informatique ncessaire au fonctionnement de l'application (cf. ci-dessus).
Livrable
Rapport contenant les faiblesses releves, leur niveau de risque et les mesures correctives proposes.

6
 Etapes daudit assist par ordinateur
5.1.1 tape 1 - Rcupration des fichiers informatiques
Aprs la prise de connaissance de l'entit et de son environnement et la revue
gnrale du systme d'information, la conduite de la revue d'application permet
d'valuer:
la conformit du paramtrage et des traitements applicatifs avec les rgles de
gestion arrtes par l'entit et les rgles lgales en vigueur ;
l'intgration ou l'interfaage des applications;
l'efficacit des contrles programms par l'entit audite permettant d'avoir une
assurance satisfaisante sur l'exhaustivit, la ralit, l'intgrit, la confidentialit et
la disponibilit des donnes traites.
Aprs ces activits, le CAC:
identifie les risques; dfinit les donnes exploiter (contenues dans des fichiers
ou des bases de donnes) ; rcupre les fichiers et les bases de donnes
ncessaires la ralisation des tests informatiques utiles l'audit, dans un
format et sur un support adapts pour la rcupration dans l'environnement
informatique de l'auditeur. Compte tenu de la diversit des technologies et des
formats existants ainsi que du volume des donnes, la rcupration n'est pas
aise.
 Etapes daudit assist par ordinateur
5.1.2 tape 2 - Validation des fichiers
La validation des fichiers imports par l'auditeur ncessite de rapprocher ces fichiers avec la
comptabilit de l'entit afin de s'assurer que les donnes rcupres n'ont subi aucune
modification lors de l'extraction et de l'intgration dans l'environnement informatique de
l'auditeur.
5.1.3 tape 3 - Ralisation des tests
Une fois le contrle des fichiers ralis, les tests peuvent tre lancs. Ils permettent
l'auditeur, d'une part, de confirmer, sur la base d'lments tangibles, exhaustifs et
incontestables, ses valuations et, d'autre part, d'accder l'audit de systmes complexes
de traitement, non contrlables sans le recours des outils informatiques. En raison de
leur importance, il est essentiel que les tests raliss puissent tre reproduits
ultrieurement et que toutes les tapes intermdiaires soient sauvegardes. Il est
recommand que le logiciel de traitement des donnes gnre un journal des tests
effectus.
Cette tape aboutit la constitution d'un dossier contenant les rsultats des tests. Ils peuvent
prendre des formes variables en fonction des objectifs, de l'tendue des tests raliss et de
l'exploitation qui en sera faite.
5.1.4 tape 4 - Analyse et synthse
Cette dernire tape consiste analyser et interprter les rsultats des tests. Un rapport de
synthse est alors rdig, dcrivant notamment les tests raliss et les recommandations
qui en dcoulent.