Cours Audit Informatique Module 1

MODULE 1:
AUDIT INFORMATIQUE OPERATIONNEL:
OBJECTIFS ET METHODOLOGIE
21/01/24 Auteur: Moustapha Sarr 1

1.1 L’audit financier et l’audit opérationnel
1.2 L’audit opérationnel et le conseil
1.3 Les principes généraux de l’audit
informatique opérationnel
1.4 La méthode d’analyse
1.5 Une proposition d’approche
1.6 Lettre de mission
1.7 L’organisation de la mission
1.8 Les outils d’appréciation de l’efficience
1.9 Le rapport et la documentation

1.1 L’audit financier et l’audit opérationnel
L’objet de l’audit informatique dans le

cadre de l’audit financier est
principalement d’apprécier si les
informations financières sont fiables et si
les comptes annuels qui en résultent
donnent une image fidèle de la situation
de l’entreprise et du résultat de l’exercice.

L’audit informatique en tant qu’audit
opérationnel prolonge cette préoccupation
en se demande si, non seulement
l’information est fiable dans un
environnement sécurisé, mais aussi, si elle
correspond bien aux besoins exprimés par
la Direction de l’entreprise.
Un système d’information et une fonction

informatique adapté doivent assurer
l’efficacité, la fiabilité, la sécurité, la
promptitude et enfin la flexibilité.

L’audit opérationnel se fixe pour
objectif d’apprécier ces différents
aspects, la fiabilité et la sécurité étant
plus spécifiquement au centre des
préoccupations de l’audit financier.
L’audit informatique opérationnel peut

donc être conçu comme une
extension de l’audit informatique dans
le cadre de l’audit financier à double
titre.
L’audit financier cerne la fiabilité des
données comptables tandis que l’audit
opérationnel s’interroge sur le caractère
performant du processus qui le génère;
L’audit opérationnel étend ses
préoccupations à tous les types
d’informations, aussi son intervention ne se
limite pas aux seules données conduisant
aux comptes annuels.
L’audit financier raisonne en terme de
fiabilité des contrôles et de couverture
satisfaisante des risques qu’ils sont censés
prévenir ou détecter alors que l’audit
opérationnel y ajoute la dimension
d’efficience.

Caractéristique du système Audit Audit
Organisationnel Financier
D’information automatisé
Le système d’information doit présenter

les caractéristiques suivantes:
- Être en phase avec la stratégie de OUI NON
l’entreprise
- Assurer la continuité de l’exploitation
en cas d’incidents ou de sinistres; OUI OUI
- Assurer la fiabilité des informations
produites; OUI OUI
- Assurer le respect de la
réglementation en vigueur OUI OUI
- Optimiser la gestion des ressources

logiques et physiques; OUI NON
- Assurer une réponse prompte et

flexible lorsque l’entreprise doit procéder
à des changements d’orientation OUI NON

L’audit informatique opérationnel cherche
à vérifier dans que mesure ces objectifs
sont atteints pour tout ce qui concerne
l’informatique dans l’entreprise, et
propose des recommandations
d’amélioration.
Le tableau ci avant rappelle les domaines

d’intervention respectifs des financiers
et d’audit opérationnel.

Il montre l’articulation générale qui existe
entre ces natures d’audit qui se traduit par:
- une similitude dans l’approche générale et

les techniques employées;
- et une possibilité, pour l’audit

opérationnel, d’exploiter les nombreuses
informations déjà collectées pour les
besoins de l’audit financier chez l’entreprise
concernée.

1.2 L’audit opérationnel et le conseil
L’audit opérationnel, au moyen d’une

approche organisée et structurée, a pour
fonction de réaliser un Diagnostic mettant
en évidence des dysfonctionnements et
proposant des solutions pour résoudre ou
atténuer les problèmes relevés. En fait, de
par sa nature, une telle mission peut
constituer une première étape d’une
mission de conseil.

Le rôle dévolu, en général, aux consultants
est d’assister l’entreprise dans l’élaboration
voire la mise en œuvre d’un programme
d’actions visant à améliorer une situation
sur la base d’un constat critique .

Bien que la délimitation des zones
d’intervention des activités d’audit et de
conseil soit délicate à arrêter, il peut être
admis que la différence essentielle réside
dans le fait que:
- La dominante de l’audit opérationnel est
la capacité à recenser les problèmes
existants dans une situation données et
formuler des axes de recommandations;
- La dominante du conseil est la faculté de
concevoir et d’installer des procédures et
des systèmes répondant aux besoins des
l’entreprises.
1.3 Les principes généraux de l’audit
informatique opérationnel
Les fondements de l’audit informatique
Moyens,
Stratégie Procédures
Systèmes
ACTIONS
RESULTATS

Dans cet esprit, l’audit opérationnel se propose
d’apprécier tant les moyens, procédures et
méthodes mis en œuvre que les résultats obtenus.
Cette démarche paraît d’autant plus recommandée
qu’il est aisé d’admettre que:
- des résultats satisfaisants peuvent

dissimuler certains dysfonctionnements pouvant
s’avérer préjudiciables à terme;
- le respect des objectifs peut

indifféremment signifier que l’activité est
particulièrement satisfaisante ou que les objectifs
avaient été sous-évalués et que les performances
sont médiocres.
Si l’on poursuit la comparaison entre audit
financier et audit opérationnel, il faut
remarquer que l’audit financier est avant tout
un audit de résultats, l’audit des moyens
intervenant essentiellement dans le but de
certifier les résultats.
Pour l’audit opérationnel, la proposition se
trouve pratiquement inversée puisque
l’appréciation des moyens et de leur
utilisation est la préoccupation dominante
tandis que l’étude des résultats joue un peu
le rôle de test de fonctionnement des
procédures systèmes.

Un des principes de base est que
l’audit opérationnel doit procéder par
démarche systématique pour atteindre
un diagnostic étayé et complet.
Contrairement à l’audit financier,

l’audit opérationnel doit utiliser avec
une extrême prudence le principe de
seuil de signification.

1.4 La méthode d’analyse
Une mission d’audit opérationnel ne se

limite pas à un seul inventaire de
symptômes, mais doit mener à un
véritable diagnostic permettant de
prescrire les remèdes les mieux adaptés
à la situation.

Situation de Démarche de
l’entreprise l’auditeur
-Localisation des origines des

origines problèmes pour déterminer les
recommandations adaptées
Causes -Recherches de la ou des causes

des symptômes identifiées et
des éventuelles causes non
encore traduites des symptômes
RISQUES
-Connaissances des risques
-Détection des symptômes de

Symptômes
dysfonctionnements.
-Appréciation de l’impact effectif

Conséquences des problèmes relevés

 Illustration :
 Un symptôme donné peut avoir de nombreuses causes
possibles.
 Cas du symptôme « retards chroniques dans la mise à
disposition des résultats des travaux batch » :
– Insuffisance effective de la capacité de l'unité centrale et des
périphériques;
– -- Fragilité des applications entraînant de nombreuses réfections
de travaux;
- Applications peu performantes;
– - Absence d'une procédure satisfaisante d'ordonnancement des
travaux d'exploitation;
– - Mauvais échelonnement des différentes étapes de traitement
d'une application (planification des traitements par rapport à une
date de fin souhaitée et non par rapport à la date de mise à
disposition effective des données nécessaires à chaque étape);
- Problèmes de fiabilité de l'équipement;
- Problème d'organisation des pupitreurs et opérateurs;
– - Non respect, par les utilisateurs, des délais, prévus
pour la remise des données à traiter...

1.5 Une proposition d’approche
 Le département informatique exerce une activité de
prestataire de services à deux facettes.
– II est d'une part chargé, à la demande des
utilisateurs de concevoir, développer et mettre
en service des outils de traitement
d'informations.
– D'autre part, pour le compte des mêmes
utilisateurs, il lui revient d'actionner ces outils,
de les entretenir et d'en être le gardien.
 La démarche proposée découle de la nature même
du rôle exercé par la fonction informatique dans
l'entreprise : générateur et opérateur de systèmes
d'information.
 Elle repose sur l'idée que la valeur de cette
fonction peut être appréciée en analysant en détail
le produit fini qu'elle fournit et les moyens qu'elle
met en œuvre.

 Des préoccupations identiques s'appliquent à
l'évaluation de la fonction informatique. L'examen des
applications - produits finis de la fonction informatique -
permet de rassembler de nombreuses indications. Mais
il faut prendre garde de ne pas tirer des conclusions
erronées car partielles.
 Illustration :
 Une application assurant l'enregistrement des expéditions, la
facturation et la gestion des comptes clients d'une société du
secteur de la chimie peut répondre au besoin de ses
utilisateurs lors de sa mise en exploitation (adaptation des
supports, respect général des délais de traitement
impartis...). Cependant, la prudence devrait éveiller certaines
interrogations telles que :
– - la complexité de l'application; conjuguée à l'insuffisance
de sa documentation ne vient-elle pas compromettre à
terme la poursuite de son exploitation ?
- l'omission d'une procédure régulière de sauvegarde des
fichiers n'expose-t-elle pas la société à un risque de
reconstitution coûteuse et de pertes d'exploitation en cas
d'incidents ?

 Pour être complet, l'audit informatique opérationnel
ne peut donc se passer d'une investigation précise
des procédures en vigueur au sein du département
informatique. Dans cette optique, une intervention
selon deux axes de recherche à développer de
concert s'impose :
 -- l'appréciation des composantes de la fonction
informatique :
 •le management (module 2 ci-après) ;
 •les études (module 3 ci-après) ;
 •l'exploitation (module 4 ci-après).
 -l'appréciation de l'efficience des applications
(module 5 ci-après).

 Cette approche offre de plus, l'avantage de faciliter
une répartition des tâches entre plusieurs
intervenants au sein de l'équipe d'audit.
 Ainsi l'appréciation de l'efficience des fonctions
informatiques, et plus particulièrement de
l'exploitation et le management informatiques,
nécessite un degré de compétence technique et
d'expérience généralement supérieure à l'audit de
l'efficience des applications.
 La démarche de l'audit informatique opérationnel
bénéficie de la rigueur applicable à toute mission
d'audit.
 Elle précise également les supports de chaque
étape et les procédures clés qui sont appliquées.
 Les chapitres suivants précisent les objectifs et
moyens des principales étapes de cette démarche.

La Démarche d’Audit informatique opérationnel -1
Étapes Supports Procédures
Prise de connaissance Compte rendu Compréhension de l’environnement

Générale D’entretiens Général de l’informatique
Objectifs de la mission Définition des objectifs, des domaines

Lettre de mission
et des moyens de l’intervention
Constitution de l’équipe, définition

Organisation de la Programme de
et planification des travaux et
mission de travail
contact avec les interlocuteurs
Appréciation efficience Examen de la politique et
du management Matrices
l’organisation informatique.
informatique Opérationnelles
analyse détaillée documentation et
diagrammes
Fonction Applications évaluation des fonctions informatiques
papier de travail
Informatique Informatiques études et exploitation
Synthèse des conclusions Fusion des constatation faites dans

Matrice de synthèse dans l’appréciation du management
opérationnelles
des fonctions et applications
La Démarche d’Audit informatique opérationnel- 2
Étapes Supports Procédures
Investigations Approfondissement de
Complémentaires Programmes de travail
complémentaires Certaines analyses
Réflexions sur les Recensement des origines et

Recommandations à Liste des grands axes Causes de problèmes
formuler de recommandations Relevés afin de définir les
Recommandations idoines
Projet de rapport et Organisation d’une réunion de

Présentation des support de Synthèse et remise du projet de rapport
conclusions présentation pour validation des conclusions de la
mission sur le fond et la forme
Mise au point de la version définitive

Émission du rapport Rapport définitif
du rapport tenant compte des
définitif Dossier de la mission
observations reçues et constitution
du dossier
1.6 Lettre de mission
 Dans le cas d'un audit opérationnel externe, la lettre de
mission est obligatoire puisqu'elle matérialise le contrat passé
entre l'auditeur et l'audité. Les termes de ce document, établi
à partir d'entretiens préalables et d'une prise de
connaissance générale s'il s'agit d'une première intervention,
doivent recouvrir :
– les objectifs de la mission et le contexte qui l'a suscitée;

– les domaines spécifiquement concernés :
• activités, applications... la démarche proposée;
– La nature du produit fini de la mission (rapport,
présentations orales, fourniture d'un dossier de
documentation...);
– la composition de l'équipe d'intervention;
– les dates d'interventions;
– les modalités financières : honoraires, frais, règles de
facturation.

 Pour placer la mission sous les meilleurs auspices,
il est recommandé d'organiser, en liaison avec les
demandeurs de la mission, une réunion
d'information destinée aux interlocuteurs potentiels.
Cette réunion permet de transmettre les termes
essentiels de la lettre de mission et d'obtenir la plus
grande mobilisation pour mener à bien
l'intervention.

1.7 L’organisation de la mission
 Une mission d'audit informatique opérationnel
commence toujours par l'établissement d'un plan
de travail détaillé. II faut pour cela :
– fixer avec précision le périmètre de l'intervention
en définissant les domaines de la fonction
informatique et les applications sur lesquels
l'étude va devoir porter;
– identifier les interlocuteurs, en précisant pour
chacun les disponibilités qui lui seront
demandées;
– proposer des dates-clés : Dates de réunions
d'avancement pour assurer que les délais sont
respectés, et dates de présentation des
résultats intermédiaires et finaux.
Ce n'est que lorsque le planning est établi que la
mission peut réellement débuter.

 II est souhaitable de travailler avec les personnes
de l'entreprise concernées par l'audit dans le plus
grand esprit de coordination. Pour cela, il est
souhaitable que l'auditeur valide les remarques
suscitées par ses travaux, à chaque niveau de la
hiérarchie et si possible progressivement au long
de la mission.
 Cette procédure permet aux personnes concernées
de :
– - bien comprendre le sens des demandes
d'information qui leur sont faites;
– -saisir la contribution positive qu'ils peuvent
apporter au succès de la mission;
– - évaluer l'intérêt qu'ils peuvent trouver, chacun
à leur niveau, dans le diagnostic et les
recommandations d'améliorations qui résulteront
de la mission
 Il est en particulier déterminant que ne soient
présentés aux Directions Générale et Informatique
que des éléments qui ont été acceptés par les
hommes du terrain, au moins pour ce qui concerne
les faits.
 Dans le cas d'une mission réalisée par un cabinet

externe, l'intégration d'un membre de l'équipe
d'audit interne peut s'avérer très bénéfique du fait
de la connaissance de l'entité auditée apportée par
cette personne. Elle permet un partage
d'expériences et facilite le suivi ultérieur des
problèmes relevés et la mise en oeuvre des
recommandations.

Par ailleurs, un audit informatique opérationnel doit
être conduit assez rapidement pour conserver sa
crédibilité et son efficacité.
La composition de l'équipe d'intervention doit

permettre à la mission de ne pas excéder un
certain délai maximum d'environ huit semaines
pour une grande entreprise.
Le chapitre 4 du module 6 reviendra sur les règles

de constitution de l'équipe et sur le profil des
intervenants

1.8 Les outils d’appréciation de l’efficience
 Les étapes d'appréciation de l'efficience des
fonctions informatiques (management, études,
exploitation) et des applications peuvent s'appuyer
sur l'utilisation de deux types d'outils:
- • les guides d'audit opérationnel dont l'objet est,
en constituant une liste aide mémoire, d'assurer à
l'auditeur qu'il s'est posé l'intégralité des questions-
clés vis-à-vis des domaines étudiés;
– •les matrices opérationnelles représentent une
sorte de grilles de passage entre l'analyse
détaillée des domaines abordés et la synthèse
des problèmes orientée dynamiquement vers
les recommandations d'amélioration des
organisations, systèmes et procédures.

 Les 4 matrices opérationnelles utilisables lors d'un
audit informatique opérationnel sont:
– - matrice opérationnelle du management
informatique;
– - matrice opérationnelle des études;
– - matrice opérationnelle de l'exploitation;
– - matrice opérationnelle des applications
 Chaque matrice donne, en ligne, la liste des

domaines devant être couverts dans l'étude de la
fonction ou de l'application concernée.
 Chacun des domaines analysés appelle une
réponse. Commentaires étant réservée pour
justifier et expliciter la réponse donnée.

1.9 Le rapport et la documentation
 Le rapport constitue pour l'audité la concrétisation
de la mission. Un soin particulier doit lui être
accordé dans son processus d'élaboration et sa
présentation.
 La qualité du rapport réside dans :

– Une élaboration progressive tout au long de la
mission évitant de concentrer la phase
rédactionnelle en fin de mission. Elle réduit le
délai s'écoulant entre la fin des travaux sur le
terrain et l'émission de leurs conclusions.
– La publication tardive neutralise en effet la
mobilisation qui a pu être obtenue des audités
sur le domaine étudié. Elle implique un effort de
remise à jour de ces derniers sur le sujet qui est
généralement peu favorable à une bonne
«réception » des conclusions de la mission.

 un contenu parfaitement validé sur le fond
comme sur la forme. Pour cela, l'accord des
intéressés est obtenu individuellement au fil de la
mission. Une récapitulation des points soulevés est
présentée en fin de mission au cours d'une réunion
de synthèse qui regroupe les principaux
interlocuteurs concernés.
Cette procédure permet d'opérer une ultime

validation des points, de recueillir d'éventuelles
positions contradictoires, et surtout d'évoquer les
recommandations d'améliorations possibles pour
recevoir des avis.
La formulation des observations est validée en

émettant le rapport dans un premier temps sous
forme de projet pour recevoir l'aval des intéressés.

 une structure adaptée aux différents
lecteurs potentiels.
 Pour ce faire, une structure gigogne est
recommandée (figure 1.9 ci-après) :
– • la lettre de synthèse accompagnant le rapport
définitif et destinée à la Direction Générale, reprend les
grandes conclusions et les axes de recommandations
correspondants.
– • le corps du rapport donne à l'attention principalement de
la Direction Informatique, une synthèse des observations
et les grandes lignes des recommandations.
– • le détail des observations et des recommandations
correspondantes constitue une annexe du rapport. II
concerne directement les interlocuteurs de la mission et
fournit une référence aux Directions Générale et
Informatique sur des points spécifiques.

 une rédaction tournant le rapport vers l'action. Ce
document doit en effet pouvoir être utilisé comme
outil de travail par les audités pour la mise en
oeuvre des recommandations reconnues
importantes. II doit donc prévoir des synthèses
orientées vers les recommandations et une
formulation des points exprimant clairement leur
nature, leurs causes, les risques encourus et les
suggestions d'améliorations.

 Le rapport a pour objet principal de mettre en
évidence des faiblesses tant de principe (absence
ou inadéquation d'une procédure ou d'une
organisation) que de fonctionnement (non respect
ou respect non systématique d'une procédure ou
d'une organisation en principe satisfaisante) dans
l'optique d'émettre une opinion sur l'efficience des
domaines analysés.
 Ce document a donc essentiellement une vocation
critique pour permettre l'expression de
recommandations d'améliorations

Structure du rapport d’audit informatique:
Lettre de synthèse
Corps du rapport
Annexes
Détail des observations et
recommandations
Autres annexes

 De même, le rapport ne reprend pas la description
détaillée des domaines étudiés qui figure dans les
dossiers de travail, à moins que la compréhension
du point soulevé n'en soit vraiment dépendante.
 L'existence d'un rapport écrit est fondamentale, en
particulier, pour les responsables qui n'ont pas été
impliqués dans le déroulement de la mission et
pour le suivi des dispositions prises à partir des
conclusions du rapport. Cette obligation ne doit pas
faire oublier les vertus des présentations orales,
intermédiaires ou de synthèse, impliquant
l'utilisation de supports visuels et permettant
d'adapter le discours aux différents interlocuteurs.
 Ces présentations ont une contribution
déterminante pour l'adhésion des interlocuteurs
aux réflexions suscitées par la mission :
conscience de l'importance des problèmes relevés
et conviction de la nécessité de procéder à des
aménagements.

 La mission donne lieu à la constitution d'un
dossier qui regroupe l'ensemble des
documents réunis ou établis par les
intervenants. Un plan type en est proposé
dans le fascicule encarté.
 Le contenu du dossier doit permettre
d'étayer le contenu du rapport. Le dossier.
n'est donc pas un produit fini de la mission.
Par contre, compte tenu de leur qualité de
synthèse ou de formalisation, certains
documents présentent un grand intérêt pour
l'audité.
 Tout apport documentaire jugé substantiel
pourra être transmis aux audités, par
exemple en joignant en annexe au rapport
les documents correspondants.

 CONCLUSION DU MODULE 1
 La mission d'audit informatique opérationnel

repose sur la mise en oeuvre :
– d'une approche structurée et systématique couvrant
l'ensemble des domaines conditionnant ou illustrant la
qualité de l'informatique au sein de l'entreprise auditée :
- approche par les fonctions informatiques :
– • management de l'informatique;
– • études;
– • exploitation;
• approche par les applications informatiques;
– d'une méthode d'analyse permettant de remonter à la
source véritable des problèmes pour définir les
recommandations d'amélioration les mieux adaptées.
– d'outils d'analyse et de synthèse (matrices
opérationnelles et de synthèse) garantissant le caractère
exhaustif des travaux effectués et préparant dans les
meilleures conditions l'émission des conclusions de la
mission

FIN MODULE 1

Cours Audit Informatique Module 1

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cours Audit Informatique Module 1

Transféré par

Droits d'auteur :

Formats disponibles

MODULE 1:

AUDIT INFORMATIQUE OPERATIONNEL:

21/01/24 Auteur: Moustapha Sarr 1

21/01/24 Auteur: Moustapha Sarr 2

L’objet de l’audit informatique dans le

21/01/24 Auteur: Moustapha Sarr 3

Un système d’information et une fonction

21/01/24 Auteur: Moustapha Sarr 4

L’audit informatique opérationnel peut

21/01/24 Auteur: Moustapha Sarr 6

Le système d’information doit présenter

- Optimiser la gestion des ressources

- Assurer une réponse prompte et

21/01/24 Auteur: Moustapha Sarr 7

Le tableau ci avant rappelle les domaines

21/01/24 Auteur: Moustapha Sarr 8

- une similitude dans l’approche générale et

- et une possibilité, pour l’audit

21/01/24 Auteur: Moustapha Sarr 9

L’audit opérationnel, au moyen d’une

21/01/24 Auteur: Moustapha Sarr 10

21/01/24 Auteur: Moustapha Sarr 11

Les fondements de l’audit informatique

21/01/24 Auteur: Moustapha Sarr 13

- des résultats satisfaisants peuvent

- le respect des objectifs peut

21/01/24 Auteur: Moustapha Sarr 15

Contrairement à l’audit financier,

21/01/24 Auteur: Moustapha Sarr 16

Une mission d’audit opérationnel ne se

21/01/24 Auteur: Moustapha Sarr 17

-Localisation des origines des

Causes -Recherches de la ou des causes

-Détection des symptômes de

-Appréciation de l’impact effectif

21/01/24 Auteur: Moustapha Sarr 18

21/01/24 Auteur: Moustapha Sarr 19

21/01/24 Auteur: Moustapha Sarr 20

21/01/24 Auteur: Moustapha Sarr 21

21/01/24 Auteur: Moustapha Sarr 22

21/01/24 Auteur: Moustapha Sarr 23

Prise de connaissance Compte rendu Compréhension de l’environnement

Objectifs de la mission Définition des objectifs, des domaines

Constitution de l’équipe, définition

Synthèse des conclusions Fusion des constatation faites dans

Réflexions sur les Recensement des origines et

Projet de rapport et Organisation d’une réunion de

Mise au point de la version définitive

– les objectifs de la mission et le contexte qui l'a suscitée;

21/01/24 Auteur: Moustapha Sarr 26

21/01/24 Auteur: Moustapha Sarr 27

21/01/24 Auteur: Moustapha Sarr 28

 Dans le cas d'une mission réalisée par un cabinet

21/01/24 Auteur: Moustapha Sarr 30

La composition de l'équipe d'intervention doit

Le chapitre 4 du module 6 reviendra sur les règles

21/01/24 Auteur: Moustapha Sarr 31

21/01/24 Auteur: Moustapha Sarr 32

 Chaque matrice donne, en ligne, la liste des

21/01/24 Auteur: Moustapha Sarr 33

 La qualité du rapport réside dans :

21/01/24 Auteur: Moustapha Sarr 34

Cette procédure permet d'opérer une ultime