Вы находитесь на странице: 1из 108

Audit des systmes dinformations : Approche dans le cadre daudit financier

Institut Suprieur du Commerce et de lAdministration des Entreprises


www.memoiregratuit.com

Mmoire de fin dtudes option finance


Comptabilit

Audit des systmes dinformations : Approche dans


le cadre daudit financier

Anne universitaire 2008-2009

Prpar par :
TRARI OUMAIMA (FC1/G2A)
Anne universitaire
2008-2009
KHALILI
SAFA (FC1/G1A)

Encadr par :
M. ISSADIK OMAR

Audit des systmes dinformations : Approche dans le cadre daudit financier

Ddicace
A nos parents,
Les tres qui nous sont les plus chers au monde. Que ce
travail soit lexaucement de vos vux tant formuls, de vos
prires et le fruit de vos innombrables sacrifices.
A nos trs chers frres et surs,
Pour leur soutien moral. Que votre vie soit pleine de
succs.
A nos amis et toute la famille.
A tous ceux qui nous sont chers.
Nous ddions ce travail

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Remerciement
Nos profondes gratitudes toutes les personnes ayant contribu de prs
ou de loin au bon droulement et la russite de ce mmoire.
Nous adressons un remerciement particulier Monsieur ISSADIK
OMAR, expert comptable et professeur lISCAE, pour avoir accept dtre
notre encadrant afin de mener bien ce travail.
Nous le remercions non seulement pour son soutien permanent mais aussi
pour ses remarques pertinentes et ses prcieux conseils.
Enfin, nous tenons exprimer nos remerciements les plus sincres tous
nos professeurs de lISCAE, pour la formation de qualit quils nous ont
dispense et ce tout au long des quatre annes du cycle normal de lISCAE.

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Sommaire
Ddicace ................................................................................................................................................. 2
Remerciement ........................................................................................................................................ 3
Introduction............................................................................................................................................ 5
Partie I : Lenvironnement gnral des systmes dinformation : Un pralable ncessaire pour
la conduite dune mission daudit. ........................................................................................................ 7
Chapitre 1 : Vue gnrale sur les systmes dinformation ...................................................................................... 9
Section 1 : Le cadre conceptuel des systmes dinformation ............................................................................... 9
Section 2 : Le cadre lgal et institutionnel des systmes dinformation................................................................ 17
Chapitre 2 : Les systmes dinformations et lentreprise ..................................................................................... 25
Section 1 : Ncessit des systmes dinformation dans lentreprise .................................................................... 25
Section 2 : Spcificit des systmes comptables et des contrles internes dans un milieu informatis. ....................... 28
Section 3 : Risques lis aux systmes dinformation....................................................................................... 44

Partie II : Laudit des systmes dinformation : une dmarche intgre la mission daudit
financier ................................................................................................................................................ 51
Chapitre 1 : Impact des systmes dinformation sur laudit financier ....................................................................... 53
Section 1 : Organisation de la mission......................................................................................................... 53
Section 2 : Comptences requises ............................................................................................................ 55
Chapitre 2 : Proposition dune dmarche daudit financier dans un milieu informatis ................................................. 60
Section 1 : Orientation de la mission daudit ................................................................................................. 60
Section 2 : Apprciation du contrle interne ................................................................................................ 73
Section 3 : Obtention dlments probants .................................................................................................. 97

Conclusion ............................................................................................................................................101
Bibliographie ...................................................................................................................................... 103

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Introduction
La mission de lauditeur financier est de vrifier et d'exprimer une opinion sur
les comptes d'une organisation. Il s'agit pour ce professionnel de se former une
conviction sur la validit des documents financiers de l'entreprise avec le rfrentiel
comptable gnralement admis; et donc de s'assurer qu'ils traduisent bien les
oprations ralises dans leur intgralit et qu'ils ne donnent pas une image de
l'entreprise contraire sa situation effective.
Dans ces missions d'audit, les systmes dinformations prennent de plus en plus
d'importance. Les auditeurs se trouvent confronts des systmes comptables ou
financiers bass sur des systmes dinformations dans l'exercice de leurs missions
lgales ou contractuelles
Cependant, ces systmes dinformations subissent une volution de plus en plus
rapide. Ainsi, l'approche d'audit, usuellement adopte dans les entreprises, doit
rpondre ce nouveau contexte et aux risques nouveau-ns lis la mise en place
des systmes dinformations par lentreprise.
En effet, ce

nouveau contexte a une influence sur la dmarche suivie par

lauditeur financier pour acqurir une connaissance suffisante des systmes


comptables et de contrle interne. La complexit des systmes d'information lie
l'utilisation des nouvelles technologies impacte le risque inhrent et le risque li au
contrle permettant d'valuer le risque d'audit. Cet environnement informatis
impose alors lauditeur d'adapter la conception et l'excution de ses contrles pour

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


obtenir suffisamment d'lments probants et se forger une assurance raisonnable sur
les tats financiers de l'entreprise audite.
La dmarche d'audit des systmes d'information en support l'audit financier est
donc une dmarche intgre. La prise en compte de l'informatique par lauditeur ne
doit pas tre confondue avec un audit informatique ou une valuation de la
performance d'un systme d'information qui reste des missions contractuelles entre
un cabinet de conseil et une entreprise, souvent par l'intermdiaire de la Direction
des Systmes d'Information. La dmarche daudit financier concernant les systmes
d'information ne fait que contribuer l'objectif final de toute mission daudit en
gnral qu'est l'mission d'une opinion sur les comptes.
Ainsi, la problmatique du prsent mmoire sarticule autour de la question
suivante
Quelle dmarche le commissaire aux comptes doit-il adopter dans le cadre de
laudit des systmes dinformation, compte tenu de leur complexit, afin de mesurer
la fiabilit de linformation financire manant de ces systmes dinformation ?
Pour rpondre cette question, ce mmoire sera structur en deux parties :

La premire partie sera consacre la prsentation du cadre gnral des


systmes dinformation savoir leur dfinition, rles, et les risques lis ces
systmes dans lentreprise.

Dans une deuxime partie nous traiterons, en premier lieu, les principaux
impacts des systmes dinformations sur laudit financier, et par la suite nous
allons proposer une dmarche prsentant les diffrentes phases de la mission
daudit en milieu informatis.

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Partie I : Lenvironnement gnral des systmes dinformation :


Un pralable ncessaire pour la conduite dune mission daudit.

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Introduction de la premire partie


Aujourdhui, Les systmes dinformation revtent un caractre stratgique dans le
monde des entreprises. Ils permettent lentreprise dune part, dadapter en
permanence sa structure aux exigences de son march et, dautre part, dtre en
mesure, daugmenter continuellement sa productivit.
Le recours aux systmes dinformation provoque alors une amplification
considrable de la dpendance des entreprises envers ces systmes et affecte leurs
systmes comptables et de contrle interne. Cependant ils engendrent pour
lentreprise une panoplie de risques quelle est appele matriser.

Au cours de cette premire partie, nous aborderons alors dans un premier temps
les notions dinformation, de systme dinformation. Nous verrons le caractre
essentiel du systme dinformation au bon fonctionnement de lentreprise. Nous
traiterons galement les principales ractions des lgislations et des organismes
professionnels en la matire.

Dans un second temps, nous examinerons limpact des systmes dinformations


sur le systme comptable et le contrle interne de lentreprise ainsi les risques lis
leur mise en place par lentreprise.

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Chapitre 1 : Vue gnrale sur les systmes dinformation


Dans ce chapitre, nous allons prsenter une vue gnrale sur les systmes
dinformation savoir le rle de linformation, la notion de systme dinformation,
ses principales composantes et enfin les types des systmes dinformation.

Section 1 : Le cadre conceptuel des systmes dinformation


1-1 Pourquoi l'information est-elle aussi importante ?
1-1-1 Linformation, lment de communication
Une information est un lment de connaissance susceptible dtre reprsent
laide de conventions pour tre conserv, trait ou communiqu. Linformation est
multiforme, dorigines diverses, canalise par des moyens de communication varis.
Linformation est multiforme dans la mesure o elle peut tre reprsente sous
forme de graphiques, de textes, de listes. Les supports de linformation sont tout
aussi varis : fichiers informatiques, ditions papier, films audiovisuels.

Linformation a trois rles principaux :


 Linformation renseigne quotidiennement lentreprise sur son environnement.
Elle mane de partenaires conomiques (clients, fournisseurs), financiers
(banques, actionnaires)
 Linformation est un facteur dorganisation. En effet, elle favorise la
communication interne et la prise de dcision. Linformation donne la valeur
du patrimoine de lentreprise (stocks, crances, dettes).
 Linformation est un vecteur de communication de lentreprise vers
lextrieur, elle vhicule limage de lentreprise, la stratgie commerciale.
Lentreprise fournit aux tiers les informations commerciales ncessaires au
dveloppement de son activit (caractristiques de ses produits, grilles de

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


prix), elle publie les informations financires dont les financeurs et
organismes fiscaux et sociaux ont besoin.

1-1-2 Linformation, une ressource prcieuse


L'information est un lment de connaissance. Elle na pas de consistance, elle est
insaisissable et pourtant, lentreprise ne peut sen passer : linformation est
indispensable sa survie.

Linformation est une ressource prcieuse. Dune part parce quelle a un cot (de
collecte, de conservation) et dautre part parce que son absence engendre
lincapacit pour lentreprise comprendre son environnement, prendre des
dcisions.

La valeur de linformation est volatile, linformation est une denre prissable. Sa


valeur dpend beaucoup de celui qui en prend connaissance, selon quil soit le
dirigeant, un salari ou bien un concurrent.
La prennit de lentreprise peut tre compromise lorsque son systme
dinformation est endommag (erreur humaine, panne, incendie, intrusion,
malversation, malveillance, sabotage) ou lorsque des informations sensibles sont
divulgues ou voles (par erreur ou la suite despionnage industriel) Lentreprise
comprend la valeur de linformation quand celle-ci lui fait dfaut. La reconstitution
de linformation aprs un sinistre est en effet trs coteuse voire parfois impossible.

Cependant, lentreprise ne ralise gnralement pas aussitt la compromission de


son systme dinformation. Ceci est dautant plus vrai que, dans la majorit des cas,

10

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


les entreprises victimes dune dfaillance grave de leur systme dinformation ne se
relvent pas. En effet, leur image en est affecte et elle peut perdre la confiance de
leurs clients actuels et potentiels.

Les partenaires de lentreprise attachent une importance particulire la qualit de


linformation produite par son systme dinformation. Les clients (caractristiques
des produits, prix, dlais), les actionnaires (comptes annuels, budgets
prvisionnels) les tiers ont besoin dune information fiable et cohrente pour traiter
avec les entreprises.

Etant donn le caractre stratgique et vital de linformation pour lentreprise et


ses partenaires, la gestion de linformation doit tre rationnalise, encadre,
optimise et scurise. Pour remplir cette tche, lentreprise met en uvre le systme
dinformation.

1-2 Notion de systme dinformation


Un systme dinformation est un ensemble de moyens techniques et humains mis
en uvre par une organisation avec pour objectif de collecter, mmoriser, traiter,
maintenir jour et restituer, sans perte ni altration, des informations.
Chacun des termes de cette dfinition a son importance. Chaque tape est
incontournable.
De par linformation vhicule, le systme dinformation assure la coordination
des diffrents services, leur permettant daccomplir les missions qui leur sont
dvolues, dans le but de rpondre lobjectif que sest fix lentreprise.
Les ressources techniques et humaines mobilises par lentreprise dans le
dploiement et le maintien de son systme dinformation dpendent directement de
ses moyens financiers, des volumes dinformation traiter et de ses besoins en
11

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


information. Lentreprise devra oprer des choix, notamment en matire de prcision
de linformation. De fait elle devra faire la part des choses entre le temps ncessaire
lobtention de linformation et la prcision souhaite ; il en est ainsi en matire de
dtermination du cot de revient des produits fabriqus. Il en est de mme en
matire de scurit, de premption de linformation. Plus les volumes dinformation
ne sont lourds, plus leur gestion et leur mise jour sont coteuses.

1-3 Les principaux composants du systme dinformation dune


entreprise
Le systme dinformation de lentreprise forme un tout indissociable qui traite
linformation et la diffuse au sein de lentreprise permettant un fonctionnement
organis et des ractions structures face son environnement.
Bien que formant un tout, le systme dinformation est form de diffrents
composants qui eux-mmes rpondent des objectifs propres. Ces objectifs sont
dfinis par les diffrents services de lentreprise. Chaque service a des besoins prcis
et spcifiques ; spcifiques mais complmentaires. Spcifiques car chaque
composante permet chaque intervenant dexcuter sa mission. Complmentaires
car assembls entre eux, ces diffrents composants forment une chane de traitement
qui assure la continuit des changes de flux dinformations au sein de lentreprise.
Les principaux composants, lis la gestion de linformation de gestion, que lon
retrouve le plus communment sont principalement :
- la gestion des stocks et des achats,
- la gestion commerciale,
- la comptabilit,
- la paye et la gestion des ressources humaines.

12

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


Ces diffrents composants peuvent se subdiviser en fonction des besoins de
lentreprise. Par exemple la comptabilit peut tre compartimente en comptabilit
gnrale, analytique, fournisseurs, clients, trsorerie Cette fragmentation en soussystme sopre tant au niveau des services de lentreprise que du systme
dinformation.

1-4 Les types de systmes dinformations


Il existe deux types de systmes dinformation. Le systme dinformation technique
et le systme dinformation de gestion. Le premier traite les informations techniques
ncessaires dune part pour laccomplissement de lactivit de lentreprise (procds
de fabrication, fiches techniques, recettes produits), et dautre part pour la
conservation et lutilisation des savoirs et des connaissances (systme expert, base
documentaire, veille, gestion lectronique de documents). Le deuxime gre
linformation financire, comptable et plus gnralement linformation qui valorise
les transactions, le patrimoine de lentreprise. En effet, il existe trois types de
systme dinformation de gestion : les systmes de production de rapports, les
systmes daide la dcision et les systmes dinformations pour dirigeants.

13

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Les systmes de production de rapports

Les systmes d'aide la dcision

Les systmes d'information pour dirigeants

Les systmes de production de rapports : sont les systmes dinformation de


gestion les plus couramment utiliss. Ils fournissent aux gestionnaires
utilisateurs linformation qui les aide prendre
prendre des dcisions courantes. Ces
systmes leur proposent de nombreux rapports et affichages en formats
prtablis. Ils
ls extraient de linformation concernant les oprations courantes
internes. Ils obtiennent galement, de sources externes des donnes relatives
relative
au monde des affaires.

Les systmes daide la dcision : Ce sont des systmes dinformation


interactifs et informatiss qui font appel des modles dcisionnels et aux
bases de donnes pertinentes en vue daider les gestionnaires prendre des
dcisions.
ons. Ils sont donc diffrents des systmes de traitement transactionnel
dont la fonction consiste traiter les donnes que produisent les transactions
commerciales et le fonctionnement de lentreprise. Ils diffrent aussi des
systmes de production de rapports,
rapports, lesquels fournissent aux gestionnaires

14

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


des rapports dinformation selon un format prdtermin pour les aider
prendre des dcisions structures.

Au contraire les systmes daide la dcision donnent de linformation aux


gestionnaires de manire interactive et sur une base ponctuelle. Un systme
daide la dcision permet la modlisation analytique, lextraction de donnes
et la reprsentation graphique de linformation. Les dirigeants sen servent
lorsquils ont besoin dinformation pour prendre des dcisions non structures
dans un cadre interactif et informatis.

Linformation que fournit un systme daide la dcision diffre donc des


rponses en format prtabli dun systme de production de rapports. Un
dcideur a recours un systme daide la dcision pour explorer diffrentes
possibilits et obtenir des rponses provisoires ses hypothses.

Les systmes dinformations pour dirigeants sont conus pour fournir


linformation stratgique aux membres de la haute direction. Les chefs
dentreprises puisent linformation dont ils ont besoin dans des sources
varies : lettres, notes de services, priodiques, rapports manuscrits ou
informatiss, runions, conversations tlphoniques et autres. Ainsi les chefs
dentreprise reoivent de grandes quantits dinformation qui ne proviennent
pas dordinateurs. En effet, linformation gnre par ordinateur ne satisfait
vraiment pas tous les besoins en information des chefs dentreprise.

Les systmes dinformatiss pour dirigeants facilitent laccs rapide et


immdiat des membres de la haute direction une information choisie en
fonction des facteurs critiques pour le succs de lentreprise. Il faut donc que
15

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


ces systmes soient faciles utiliser et comprendre. Cest pourquoi ils
utilisent abondamment les graphiques et permettent un accs rapide des
bases de donnes internes et externes. Ils peuvent galement dcrire la
situation actuelle et communiquer les tendances futures des facteurs cls que
le dirigeant a pralablement choisis. Ces systmes sont maintenant trs
rpandus et sont de plus en plus utiliss par les cadres moyens.

16

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Section 2 : Le cadre lgal et institutionnel des systmes dinformation


Face lvolution des systmes dinformation, de nouvelles dispositions
lgislatives sont apparues et diffrentes rflexions ont t cres. A cet effet, nous
allons prsenter les principales ractions des lgislations et organismes
professionnelles face la mise en place des systmes dinformation par lentreprise.

2-1 Les diffrentes rflexions en France


2-1-1 La loi du 1er aot 2003 sur la scurit financire (LSF)
La loi de scurit financire (LSF) s'applique toutes les socits anonymes ainsi
qu'aux socits faisant appel l'pargne publique. Elle repose principalement sur:
 Une responsabilit accrue des dirigeants
 Un renforcement du contrle interne
 Une rduction des sources de conflits d'intrt

2-1-2 Le Conseil National des Commissaires aux Comptes (CNCC) :


Le CNCC, travers la commission informatique, traite des sujets informatiques
susceptibles davoir un impact sur la mission du commissaire aux comptes. Dans ce
cadre, cette commission mne rgulirement des rflexions sur les nouvelles
technologies et ce, en :
 Formulant des avis, en diffusant des guides spcifiques de contrle dans les
entreprises informatises (exemple : laudit en milieu EDI, dition 1997, un
guide d'application intitul Prise en compte de l'environnement
informatique et incidence sur la dmarche d'audit qui traite des apports de

17

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


la norme CNCC 2-302 et des domaines sensibles de la dmarche du
commissaire aux comptes en milieu informatis) ;
 Elaborant des outils informatiques daide laudit et la gestion
administrative des missions ;


Contribuant la mise en place des actions de formation ncessaires et en


organisant des manifestations sur les diffrents thmes se rattachant aux
systmes dinformation.

Certains travaux ont dj abouti des publications spcifiques telles que les sujets
traitant de la scurit informatique, du commerce lectronique, de lchange de
donnes informatises (EDI), des technologies de la communication, dInternet et des
services publics en ligne, etc., et aussi des ouvrages dont par exemple le
diagnostic des systmes informatiss : guide dapplication des recommandations .

2-1-3 LAssociation Franaise dAudit et du conseil en Informatique


(AFAI) :
LAssociation Franaise de lAudit et du conseil en Informatiques a t fonde en
1982 pour :


regrouper tous les professionnels concerns par la matrise des systmes


dinformation,

favoriser le dveloppement des mthodes et des techniques daudit et de


contrle des systmes dinformations,

promouvoir lemploi de mthodologies et de techniques contribuant une


meilleure matrise des systmes dinformation,

aider amliorer les comptences de tous les intervenants dans le domaine de


laudit et du conseil informatiques.
18

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


LAFAI runit, aujourdhui, plus de 400 adhrents reprsentant :
 diverses fonctions au sein des entreprises : direction de laudit, direction de
linformatique, direction financire et direction du contrle de gestion,
 des auditeurs externes, des consultants, des experts comptables et des
commissaires aux comptes, des socits de service et dingnierie
informatique, des experts judiciaires, des juristes, des enseignants et des
spcialistes de la scurit informatique.

2-1-4 Le Club de la Scurit des Systmes dInformation (CLUSIF) :


Fond en 1984, le Club de la Scurit des Systmes d'Information (CLUSIF), offre
un cadre dans lequel les acteurs dans le domaine de la scurit des systmes
d'information, responsables et prestataires de services, se rencontrent, changent
leurs points de vue, partagent leurs expriences et connaissances, travaillent et
progressent ensemble.

Les travaux du CLUSIF comprennent des travaux de recherche et dveloppement,


des prises de position sur des sujets d'actualit, des guides et recommandations
caractre didactique, l'effet de lart sur diffrents types de solutions, des mthodes,
des enqutes, des outils de sensibilisation, etc.
Le CLUSIF participe avec un certain nombre d'acteurs de la scurit la promotion
de la scurit et fait valoir les besoins et contraintes des utilisateurs auprs des
instances dirigeantes.

Il s'implique activement dans le processus ducatif et de sensibilisation et ce,


travers les sances thmatiques accordes aux tudiants, enseignants et membres.

19

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

2-2 Les diffrentes rflexions aux Etats Unis


2-2-1 La loi SARBANES OXLEY
Adopte en juillet 2002 par le congrs amricain, la loi Sarbanes Oxley implique
que les prsidents des entreprises ctes aux tats unis certifient leurs comptes
auprs de Securities and exchanges commission (SEC) lorganisme de rgulation
des marchs financiers US
Cette loi est guide par 3 grands principes :
 Lexactitude et laccessibilit de linformation
 La responsabilit des gestionnaires
 Lindpendance des vrificateurs/auditeurs
En quoi les systmes dinformation sont-ils concerns
Trois de ses articles ont des implications sur les systmes d'information :
La section 409, dnomme Real Time Issuer Disclosure
 Impose aux entreprises de pouvoir clturer leurs comptes beaucoup plus
rapidement que par le pass.
 De mme, le systme dinformation financier de lentreprise doit permettre
destimer rapidement les consquences dun vnement majeur de manire
pouvoir en informer les actionnaires
Section 404 Management Assessment of Internal Controls
 Oblige les entreprises raliser des contrles internes dont lefficacit doit
pouvoir tre prouve. Cela peut notamment seffectuer au niveau technique
en mettant en uvre des solutions disposant de technologies de certification
et de signature lectronique.
20

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


Section 302 Corporate Responsibility for Financial Reports
 vrifie que les comptes sont tablis dans les rgles de l'art et que le
management n'omet aucune information pertinente par rapport aux marchs
financiers

2-2-2 AICPA American Institute of Certified Public Accountants


Il existe une multitude dassociations aux Etats Unis

touchant aussi bien le

domaine de laudit, de linformatique, des nouvelles technologies, de la scurit, etc.


Nous nous sommes limits lAICPA.
LAICPA a propos, en novembre 2000, un projet de modification de la SAS
(Statement on Auditing Standards) intitul Consideration of Internal Control
structure in a financial statement audit . Ce projet focalise sur leffet des systmes
dinformation sur le contrle interne et sur lvaluation des risques daudit.
La SAS propose traite, essentiellement, des points suivants :
 Dcrire comment la technologie de linformation peut affecter le contrle
interne, les lments probants, et la comprhension par lauditeur du contrle
interne et lvaluation des risques,
 Prsenter un guide afin daider lauditeur de dterminer sil y a lieu de
recourir des spcialistes en technologies de linformation.

Par ailleurs, lAICPA a trait les aspects suivants :

 Implication de lEDI sur laudit (Audit Implications of Electronic Data


Interchange)

21

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


 Lge des technologies de linformation : Les lments probants dans un
milieu informatis (The Information Technology Age : Evidential matter in
the Electronic environment)
 Leffet des documents lectroniques sur laudit (Audit implications of
Electronic Document Management)
 Laudit dans un environnement informatis (Auditing in common computer
environments)
 Laudit au moyen de linformatique (Auditing with computers)
 La structure du contrle interne dans un milieu informatis : Etude de
cas (Consideration of the Internal Control Structure in a Computer
Environment : A case study)

2-3 Les diffrentes rflexions au Maroc


2-3-1 La rglementation marocaine
La lgislation marocaine ne prvoit pas des dispositions spcifiques relatives aux
systmes informatiss, lexception de quelques dispositions implicites
contenues dans les textes fiscaux, le code du commerce, la loi 9-88 relative aux
obligations comptables des commerants et le CGNC.

2-3-2 Les normes marocaines


Selon la norme 2102 du manuel marocain des normes daudit lgal et contractuel :
L'valuation du contrle interne d'un systme de traitement informatis de
l'information financire est effectue selon une dmarche en deux parties :

- l'valuation du contrle interne de la fonction informatique c'est--dire,


lensemble form par le service informatique et par les utilisateurs dans leurs

22

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


relations avec le service),

-l'valuation du contrle interne d'un systme ou d'une application (les contrles sur
la prparation et la saisie des donnes, les contrles sur l'exploitation : prvention
contre des erreurs et fraudes pendant le traitement, la qualit de la documentation,
les modifications intervenues d'un exercice l'autre dans les programmes
notamment pour les mthodes d'enregistrement et d'valuation. .

2-4 Autres rflexions


2-4-1 ISACA Information Systems Audit and Control Association
LISACA est une association fonde en 1969 qui englobe des professionnels de la
scurit et du contrle des systmes dinformation.
LISACA se veut la rfrence mondiale reconnue en gouvernance, contrle des
systmes dinformation
Groupement international de 20.000 membres dans plus de 100 pays, lISACA
organise des confrences, des cours et des sminaires, publie des informations
techniques, dite des guides, dveloppe et met jour des normes professionnelles.
Elle effectue des travaux de recherche en audit informatique et dlivre la certification
dauditeur de systmes dinformation (CISA), label professionnel mondial.
LISACA a dvelopp et promulgu des Normes Gnrales ainsi que des directives
pour l'Audit des Systmes d'Information. L'objectif de ces normes et directives est
de dfinir pour les auditeurs un niveau de diligence minimal pour rpondre aux
responsabilits professionnelles.
Elle a aussi dvelopp le COBIT qui constitue un rfrentiel international de
Gouvernance, de Contrle et de lAudit des systmes dinformation.

23

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


COBIT a t conu partir des meilleures pratiques mondiales en audit et en
matrise des systmes d'information. Il est destin trois publics diffrents :


La direction : pour laider trouver lquilibre entre le risque et


linvestissement en contrles,

Les utilisateurs : pour obtenir des garanties sur la scurit et les contrles des
services informatiques fournis en interne ou par des tiers

Les auditeurs : pour justifier leur opinion et conseiller la direction sur les
contrles internes.

2-4-2 IFAC (International Federation of Accountants)


LIFAC (International Federation of Accountants) est lorganisation mondiale de la
profession comptable. Elle travaille avec 157 membres et associs dans 123 pays pour
encourager les comptables du monde entier suivre des pratiques de haute qualit.

LIFAC a labor plusieurs normes relatives laudit financier dans un


environnement informatis. Parmi celles-ci, nous pouvons citer :
 La norme Internationale relative l'audit dans le contexte d'un systme
d'information informatis,
 La directive Internationale d'Audit relative un systme d'information fond
sur un micro- ordinateur autonome,
 La directive Internationale d'Audit relative un systme d'information
fonctionnant en rseau et/ou en temps rel,
 Directive Internationale d'Audit relative un systme bases de donnes,
 Directive Internationale d'Audit relative l'utilisation des techniques d'audit
assistes par ordinateur.

24

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Chapitre 2 : Les systmes dinformations et lentreprise


Section 1 : Ncessit des systmes dinformation dans lentreprise
1-1 Positionnement du systme dinformation dans lentreprise
Une entreprise cest une stratgie, un produit, un march, des clients, des
ressources humaines, financires, des rgles de fonctionnement (hirarchie,
procdures, contrle interne).
Le systme dinformation sintgre dans cet ensemble. Il en est lpine dorsale sans
lequel lentreprise se retrouverait dpourvue de capacit sensorielle et dcisionnelle.

Le schma qui suit a pour but de montrer le positionnement central du systme


dinformation dans lentreprise. Il assure le traitement de linformation de
provenances diverses, sa restitution permanente.

25

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

1-2 Les SI au service de lexploitation et la gestion de lentreprise


Les systmes dinformation soutiennent lexploitation et la gestion des entreprises
de diffrentes faons. On peut donc les classer selon quils soutiennent lexploitation
ou la gestion :
 SI qui soutiennent lexploitation de lentreprise

Les SI sur lexploitation permettent davoir une varit de produits informatifs. Ils
ont pour mission de traiter de faon efficiente les transactions commerciales, de
faciliter les communications, de contrler les processus industriels, daccrotre la
productivit du travail administratif et de mettre jour les bases de donnes de
lentreprise.
 SI qui soutiennent la gestion de lentreprise

Les SI de gestion soutiennent, en effet, lexploitation et permettent de rpondre


aux besoins de la gestion courante de lentreprise, de mme quaux besoins des
agents de matrise
Ainsi, former et aider tous les gestionnaires (dirigeants, cadres moyens et agents de
matrise) dans leur prise de dcision constituent des tches denvergure. En thorie
de nombreuses catgories de SI sont ncessaires pour aider les gestionnaires
utilisateurs assumer leurs responsabilits, notamment :
* Les systmes de production de rapports de gestion
* Les systmes daide la dcision
* Les systmes dinformation pour dirigeants
SI et lamlioration des processus de lentreprise

26

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Les investissements en technologie de linformation rendent lexploitation


beaucoup plus efficiente. Lamlioration des processus pour permettre lentreprise
de rduire ses cots de faon remarquable et de hausser simultanment la qualit de
ses biens et services.
En effet, les diffrentes fonctions de la technologie de linformation permettent
damliorer les processus de lentreprise par :
*La transformation des processus non structurs et transactions
programmes ;
*Le transfert des donnes rapidement et avec facilit sur de grandes
distances, liminant ainsi les barrires gographiques ;
*Diminution ou remplacement de la main duvre ;
*Application des mthodes analytiques complexes un processus ;
*Apport de grandes quantits de donnes dtailles sur un processus ;
*Possibilit de modifier lordre des tches dans lexcution dun travail ainsi
que la possibilit de traitement multitche ;
*La saisie et la diffusion des connaissances et de la comptence afin
damliorer un processus ;
*Le suivi minutieux de ltat des entres et des sorties dun processus ;
*La liaison de deux parties au sein dun processus en supprimant un
intermdiaire.

27

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Section 2 : Spcificit des systmes comptables et des contrles internes dans un


milieu informatis.
2-1 Dfinitions
Avant dentamer les spcificits des systmes comptables et des contrles
internes, nous avons jug utiles de rappeler la dfinition de ces derniers concepts et
didentifier quels sont les domaines susceptibles dtre affects.
 Systme comptable
Selon la norme internationale daudit ISA 4008, le systme comptable est
lensemble des procdures et des documents dune entit permettant le traitement
des transactions aux fins de leur enregistrement dans les comptes. Ce systme
identifie, rassemble, analyse, calcule, classe, enregistre, rcapitule et fait la synthse
des transactions et autres vnements. Ainsi, il sagit dun systme charg de
traduire les oprations lies lactivit de lentreprise en donnes financires.

Avec les systmes dinformation et lintgration des fonctions traitant les


oprations et les informations depuis leur source jusqu leur enregistrement dans les
tats financiers, il nest pas toujours facile de faire la distinction entre le systme
comptable et les systmes qui traitent dautres informations. Ainsi, un systme de
traitement des achats et comptes fournisseurs traite aussi bien des informations
comptables que des informations portant sur dautres aspects des activits (exemple :
les quantits optimales commander).

28

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


 Systme de contrle interne

Nombreuses sont les dfinitions qui ont essay dapprhender la notion du


contrle interne. Dans toutes ces dfinitions, le contrle interne apparat comme un
tat de fait existant dans lentreprise mais qui doit, par lintervention humaine,
devenir dlibr, cest dire constituer un systme.
Le contrle interne selon la compagnie nationale des commissaires aux comptes se
veut comme tant :
Le contrle interne est constitu par lensemble des mesures de contrle,
comptables ou autres, que la direction dfinit, applique et surveille sous sa
responsabilit, afin dassurer la protection du patrimoine de lentreprise, la fiabilit
des enregistrements comptables et des comptes qui en dcoulent ainsi que le pilotage
de lorganisation .

Quant au C.O.S.O (Committee Of Sponsoring Organizations of the Treadway


Commission), il dfinit le contrle interne comme suit:
Le contrle interne est le processus mis uvre par le conseil dadministration, les
dirigeants et le personnel dune organisation, destin fournir lassurance
raisonnable quant aux objectifs suivants :

* Ralisation et optimisation des oprations : Elle concerne les objectifs de base de


lentreprise, y compris ceux relatif s aux performances, la rentabilit et la
protection des ressources.

* Fiabilit des informations financires : Elle couvre la prparation dtats


financiers fiables, incluant les tats financiers intrimaires et les informations

29

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


publies extraites des tats financiers, telles que les publications des rsultats
intermdiaires.

* Conformit aux lois, rglementation et directives de lorganisation : Elle se


rapporte la conformit aux lois et aux rglements auxquels lentreprise est soumise.

Dune manire gnrale, nous pourrons dire que le contrle interne nest que le
guide permettant au voyageur de se reprer et datteindre sa destination. En effet, il
prvoit les droutes et optimise le rsultat.

Les composants du systme de contrle interne comprennent :

* lenvironnement de contrle : Ceci englobe lintgrit, lthique et la comptence


des diffrents intervenants de lentreprise
* lvaluation des risques : Ceci englobe lidentification et lanalyse des risques aussi
bien internes quexternes rattachs la ralisation des objectifs de lentreprise
- les activits de contrle : Cest la mise en place des actions ncessaires pour faire
face aux risques pouvant affecter la ralisation des objectifs de lentreprise
* linformation et la communication : Cest dvelopper et communiquer
linformation temps et dans une forme permettant aux diffrents intervenants de
comprendre et dassurer leurs responsabilits
* la direction (monitoring) : Cest une activit continue afin dassurer que les
procdures fonctionnent comme convenu.

Ces composants oprent travers lensemble des aspects de lorganisation. En


outre, tant donn quils forment un systme intgr, les forces dans un domaine

30

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


peuvent compenser des faiblesses souleves dans dautres domaines et permettent
davoir un niveau appropri de contrle contre les risques de lorganisation.
Par ailleurs, dans le cadre dun audit financier, il est vident que les objectifs et les
composants du contrle interne prcits ne sont pas tous pertinents.

Ainsi, dans ce qui suit, on va se focaliser uniquement sur les aspects importants
pour laudit financier et susceptibles dtre significativement affects par les systmes
dinformation.

2-2 Les caractristiques du systme comptable dans un milieu


informatis
Lintgration des systmes informatiques est une des caractristiques majeures de
lvolution actuelle des systmes dinformation de lentreprise. Le systme comptable est au
cur de cette mutation : il devient une pice matresse du systme dinformation de
lentreprise en assurant un rle fdrateur et en garantissant la cohrence des informations
de gestion usage aussi bien interne quexterne.

Ainsi la prsence de linformatique influence :

La structure organisationnelle

La nature des traitements

 La structure organisationnelle
Linformatisation croissante des entreprises a des impacts plus ou moins
significatifs sur la structure organisationnelle de la socit. Les principaux se
rsument dans:

Lorganisation gnrale de lentreprise

La mise en place dun systme dinformation au sein dune entreprise, engendre


des changements importants rattachs aux flux des informations et laccs aux

31

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


donnes. On assiste, dsormais, des centres de dcision moins centraliss, des
utilisateurs finaux plus concerns par les nouvelles volutions, une implication et
une appropriation des systmes par le top management et une augmentation du
nombre de personnes accdant linformation. Par ailleurs, linformatisation peut
engendrer une redfinition des responsabilits des employs.

Toutefois, il y a lieu de prciser que vu la complexit de plus en plus importante


des nouvelles technologies de linformation et de la communication, la matrise
convenable de loutil informatique dans son sens large, cest dire linterdpendance
entre la source des donnes, leur mode de traitement, leur sortie et leur utilisation,
est limite un nombre de personnel trs rduit. Ces personnes connaissent
normalement un nombre suffisant de faiblesses de contrle interne pour modifier les
programmes, les donnes, leur traitement et leur conservation.

La sparation des tches incompatibles

La sparation des tches incompatibles est parfois plus difficile dans un milieu
informatis en raison, essentiellement, des facteurs suivants :

_ Rduction du nombre de personnes intervenantes, auparavant, dans le traitement


manuel des oprations contre une augmentation du staff informatique centralisant,
gnralement, de nombreux aspects des systmes.

_ Les informations comptables et de gestion et les programmes dapplication de


lentreprise sont stocks sur des mmoires lectroniques et accessibles beaucoup de
personnes au moyen de terminaux. En labsence de contrle daccs appropris, les
personnes ayant accs des traitements informatiques ou des fichiers peuvent tre

32

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


en mesure de raliser des fonctions qui devraient leur tre interdites ou de prendre
connaissance de donnes sans y tre autorises et sans laisser de traces visibles.

_ Quand le service informatique est important, il est en gnral plus facile de sparer
les tches incompatibles. Toutefois, dans les entreprises de taille moyenne, la
formalisation des tches lintrieur des diffrentes fonctions est beaucoup moins
dveloppe que dans un service dune taille plus importante.

Ainsi, il convient de prciser que la sparation classique des tches dans un


environnement non informatis, nest pas totalement efficace dans un systme
informatis, mais peut tre renforce par diffrents types de logiciels destins
limiter laccs aux applications et aux fichiers. Il est donc ncessaire dapprcier les
contrles portant sur laccs aux informations afin de savoir si la sgrgation des
tches incompatibles a t correctement renforce.
Pour les petites entreprises, il est difficile de mettre en place une sparation
convenable des tches.
Toutefois, limplication plus importante de la direction peut compenser cette
dficience.
Signalons quau regard du systme informatique, il existe trois types dutilisateurs :

1. Les utilisateurs non autoriss : Il sagit des intrus externes comme par exemple : les
pirates des systmes (hackers) et les anciens employs. Des contrles prventifs,
particulirement des contrles dauthentification des utilisateurs, rpondent ce type
de risque. Des contrles dtectifs complmentaires permettent de rvler les
ventuels accs russis.
2. Les utilisateurs enregistrs : Laccs de ces utilisateurs devrait tre limit aux
applications et aux donnes rattaches leurs fonctions. Des contrles prventifs
33

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


pour ce type dutilisateurs se prsentent sous forme de contrle dauthentification
des utilisateurs et dallocations de droits limits aux applications ncessaires
lexcution de leurs tches.
3. Les utilisateurs privilgis : Il sagit de ladministrateur systme, les dveloppeurs,
les responsables de lexploitation. Ces utilisateurs ncessitent des privilges de
systme ou de scurit pour la ralisation de leurs travaux.

Bien que les organisations aient besoin de confier les clefs de leur royaume
quelqu'un, c'est tout de mme important de rappeler que le privilge et le contrle ne
doivent pas tre mutuellement exclusifs.

Les privilges doivent tre assigns avec la mise en place de contrles afin de
sassurer que ces privilges ne sont pas abuss. Les contrles dtectifs, tels que
lexamen des vnements de la scurit et des changements de statut, sont
ncessaires pour rpondre aux abus potentiels de privilges spciaux.

Par ailleurs, lintrieur du dpartement informatique, si les fonctions


incompatibles ne sont pas correctement spares, des erreurs ou irrgularits
peuvent se produire et ne pas tre dcouvertes dans le cours normal de lactivit. Des
changements non autoriss dans des programmes dapplication ou dans des fichiers
peuvent tre difficiles dtecter dans un environnement informatique. Cest
pourquoi, des mesures prventives touchant en particulier le respect de la sparation
des fonctions principales de programmation et dexploitation deviennent
indispensables pour assurer la fiabilit de linformation financire. A titre indicatif,
les dispositions suivantes devraient tre respectes :

34

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


_ Interdiction aux analystes fonctionnels et programmeurs de mettre en marche le
systme et de lexploiter

_ Interdiction aux programmeurs daccder aux environnements de production

_ Interdiction aux oprateurs deffectuer des modifications de programmes ou de


donnes.

Dans les dpartements informatiques plus petits, l o la sparation des tches


nest pas possible, la capacit viter toute opration non autorise lintrieur du
dpartement informatique est diminue.
Dans ce cas, les contrles de compensation deviennent particulirement
importants. Ces contrles compensatoires peuvent tre des contrles puissants lors
de la saisie des donnes, un traitement correct et complet exerc par les dpartements
utilisateurs et une forte supervision de lexploitation en cours.

 La nature des traitements

Les traitements peuvent tre effectus en temps rel (real time processing) ou en
temps diffr. Ce dernier mode de traitement est souvent appel traitement batch
ou traitement par lot. Le plus souvent les traitements sont mixtes et font
alternativement appel au temps rel et au temps diffr, ce quon appelle aussi la
mise jour mmorise (Memo update).

Traitement en temps rel

35

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


Le traitement en temps rel est un mode de traitement qui permet ladmission des
donnes un instant quelconque et lobtention immdiate des rsultats.

Le traitement en temps rel permet un retour dinformation instantan. Les


qualits essentielles de ce type de traitement sont la restitution immdiate du rsultat
demand, labsence den-cours dans le systme et la possibilit de corriger
immdiatement les erreurs. En contrepartie, les arrts de priodes sont difficiles du
fait de lalimentation permanente et continue du systme. En consquence, il devient
difficile de reconstituer une situation antrieure.

Nanmoins, ce traitement prsente les inconvnients suivants :

* possibilit de mise jour des fichiers ou des bases de donnes sans autorisation en
labsence de procdures appropries de scurit ;
* possibilit de dgradation de lintgrit du systme dinformation et plus
particulirement des bases de donnes, si les procdures daccs, de validation et
contrle a posteriori ne sont pas appropries ;
* pas de chemin de rvision en labsence de procdures de journalisation
spcifiques. En temps rel, la mise jour entrane, sauf option ou programmation
approprie, la disparition de la donne prime par la mise jour ;
* complexit des procdures de sauvegarde, de restauration et de reprise.

Traitement par lot

Le traitement par lot est dfini comme le traitement suivant lequel les
programmes excuter ou les donnes traiter sont groups par lot.

36

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


La caractristique essentielle des traitements par lots est que la mise jour des
fichiers nest pas immdiate. Pour mettre jour un ou des fichiers, il faut procder
successivement la ralisation des phases de saisie, de validation, de recyclage des
anomalies et finalement de mise jour.
Dans ce genre de systme, le retour dinformation est diffr, et lutilisateur ne
connat les rsultats du traitement quune fois ce dernier ralis. Lavantage du
traitement en temps diffr est la facilit de gestion des arrts de priode, toutes les
oprations tant rattaches un lot dorigine. La restitution dune situation
antrieure est donc relativement aise.

Traitement mixte: Mise jour mmorise

Cest une association du traitement en temps rel et du traitement par lot. En effet,
les transactions mettent immdiatement jour un fichier mmo qui contient les
informations extraites de la dernire version du fichier matre. Ultrieurement, le
fichier matre sera mis jour par un traitement par lot.

En fait, les anciens systmes, souvent raliss en temps diffr, sont trs rpandus
pour des raisons historiques. Ils ont souvent t moderniss par le dveloppement en
temps rel de la saisie des donnes et de certaines interrogations. Les calculs et les
mises jour de fichiers sont demeurs en temps diffr, ce qui est pratiquement
transparent pour les utilisateurs, habitus disposer des rsultats attendus en aval
des traitements.
Certaines applications informatiques rcentes, et notamment certains progiciels,
conservent des traitements en temps diffr, notamment ceux effectus aprs les
cltures de priode. Ces traitements en temps diffr ont t conservs en raison de
leur ct utile et pratique.
37

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Cela confirme lintrt des systmes mixtes. Ils permettent une saisie contrle en
temps rel, des interrogations rapides, galement une grande fiabilit des
traitements, le temps diffr tant plus facile grer que le temps rel.

De nos jours, la majorit des systmes oprationnels sont des systmes temps rel. Les
transactions sont traites une fois produites, les informations sont mises jour
immdiatement et les donnes figurant sur les fichiers sont changes avec les donnes de la
nouvelle transaction.
Toutefois, il convient de noter que certains systmes continuent utiliser le systme de
traitement par lot. Dans ce systme, les saisies soprent quotidiennement, tandis que la mise
jour des fichiers se fait la nuit ou une date spcifie (lors de labsence de transactions).

2-3 Les caractristiques du contrle interne dans un milieu


informatis
Comme les organisations sorientent de plus en plus vers un modle de contrle
interne bas sur les risques, conforme lapproche du COSO (Committee of
Sponsoring Organizations), la mise en uvre du contrle interne dans les
environnements informatiss continue voluer. Comme les systmes informatiques
deviennent de plus en plus complexes et intgrs, souvent par Internet, les difficults
de fournir des contrles appropris deviennent de plus en plus ressenties.
Les activits de contrles englobent gnralement une combinaison des
procdures de contrles programms qui permettent la gnration de rapports et
des procdures manuelles de suivi et dinvestigation des lments figurants sur ces
rapports. Ces deux oprations sont ncessaires pour aboutir aux objectifs de contrle.

38

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


En effet, sil nexiste aucune personne qui fait le suivi des rapports prvus par le
systme, on peut dire quil ny a pas de contrle.

Le mix de ces contrles dpend de la nature et de la complexit de la technologie


utilise. La croissance de la vitesse et de la capacit en mmoire a permis de mettre
en place plus de procdures de contrle intgres dans le hardware et/ou dans le
software que par le pass.

Outre les contrles directs, les contrles gnraux informatiques sont ncessaires
pour assurer lintgrit des ressources dinformation et pour garantir que les
procdures de contrles programms (ainsi que les procdures comptables
programmes) sont correctement mises en place et sont oprationnelles et
quuniquement les changements autoriss sont oprs sur les programmes et sur les
donnes. Par exemple, dfaut de contrles gnraux informatiques appropris, il
ny a aucune assurance que les rapports dexception soient exacts et exhaustifs.
 Les contrles gnraux informatiques :

Les contrles gnraux informatiques se rattachent la fonction informatique et


ont pour objectif dtablir un cadre de contrle global sur les activits informatiques
et de fournir un niveau dassurance raisonnable que les objectifs de contrle interne
sont atteints.
Les qualits attendues dun bon contrle interne de la fonction informatique sont :
la fiabilit des informations produites, la protection du patrimoine et la scurit et la
continuit des travaux.
Par ailleurs, les contrles gnraux informatiques portent sur plus dune
application et leur mise en uvre est essentielle pour assurer lefficacit des contrles
directs.
39

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


Ils touchent, essentiellement, les domaines suivants :
- Lorganisation et la gestion
- La maintenance des programmes
- Lexploitation
- Le dveloppement et la modification des programmes
- La scurit (sauvegarde, plan de secours, etc.)
Ces contrles peuvent tre diviss en quatre catgories :
*La scurit des systmes : Il sagit des procdures et des mcanismes en place
destins sassurer que laccs lenvironnement informatique et aux programmes
et donnes (physiques et logiques) est convenablement contrl.
*La scurit de lexploitation : Ce sont des contrles permettant de sassurer que les
donnes sont traites dans les bons fichiers, que les lments rejets sont
convenablement identifis et corrigs et que les programmes sont correctement mis
en place et excuts.
*La maintenance des applications informatiques : Ce sont les contrles permettant de
sassurer que les changements dans les programmes informatiques sont autoriss,
correctement conus et effectivement mis en place.
*Le dveloppement et la modification des applications : Ce sont les contrles sur les
nouvelles applications ou sur les modifications significatives des applications
existantes permettant de sassurer que les procdures programmes sont
convenablement conues et correctement mises en place.

 Les contrles directs :


Les contrles directs sont des contrles conus pour prvenir ou dtecter les
erreurs et les irrgularits pouvant avoir un impact sur les tats financiers.
On distingue trois catgories de contrles directs :
40

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Les contrles dapplication :

Les contrles dapplication sont des contrles permettant de sassurer que toutes
les oprations sont autorises, enregistres, et traites de faon exhaustive, correcte et
dans les dlais. Ces contrles peuvent tre dfalqus en :
*Contrles portant sur les donnes dentre : Ces contrles visent fournir une
assurance raisonnable que toutes les transactions sont dment autorises avant dtre
traites et quelles ne sont pas perdues, ajoutes, dupliques ou indment modifies.
Ils visent aussi assurer que les transactions incorrectes sont rejetes, corriges et, si
ncessaire, soumises en temps voulu un nouveau traitement.
* Contrles sur les traitements et les fichiers de donnes informatiss : Ces contrles
visent fournir une assurance raisonnable que les transactions, y compris celles
gnres par le systme, sont correctement traites par lordinateur et quelles ne sont
pas perdues, ajoutes, dupliques ou indment modifies. Ils visent, aussi, assurer
que les erreurs de traitement sont dtectes et corriges en temps opportun.
* Contrles sur la production des rsultats : Ces contrles visent fournir une
assurance raisonnable que les rsultats des traitements sont exacts, que laccs aux
informations produites est limit aux personnes autorises et que ces informations
sont communiques aux personnes autorises en temps voulu.
Avec les nouvelles technologies, beaucoup de contrles, auparavant manuels assurs
par le personnel informatique, par les utilisateurs du systme ou par un groupe de
contrle indpendant, sont ds lors raliss par ordinateur.
Exemple 1 : Les logiciels de l'E-Business incluent, gnralement, des contrles pour
prvenir la rpudiation ou la modification des enregistrements qui initient les
transactions. Ces contrles peuvent tre une signature lectronique et des certificats
du serveur qui authentifient les parties de la transaction.

41

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


Exemple 2 : Lautorisation de lentre peut tre assure par des contrles
programms dautorisation (par exemple : approbation dune commande qui ne
dpasse pas le plafond de crdit consenti pour un client donn).

Une fonction de traitement informatise peut constituer un contrle clef si elle


effectue un aspect essentiel du traitement des oprations de la socit et des
informations sy rapportant.
Toutefois, il est noter quil nest pas toujours facile dtablir une distinction claire
entre les contrles et les fonctions intgres. Certains traitements, comme ldition, la
validation ou la comparaison participent, en effet, au contrle interne puisquils
servent prvenir ou dtecter les erreurs ou irrgularits. Dautres comme
lenregistrement, le calcul et laddition ne sont pas des contrles proprement parler,
puisquils nont pas pour but la prvention ni la dtection des erreurs et irrgularits,
mais sont des fonctions de base pour le systme dinformation pouvant affecter
directement les tats financiers.

Par ailleurs, dans un milieu informatis, les contrles se basent, de plus en plus,
sur des rapports informatiques (intituls : rapports dexception ou logs daudit) qui
sont, gnralement, suffisamment dtaills pour faire ressortir les oprations
inhabituelles ou anormalement importantes ainsi que dautres problmes ventuels.
Ils sont tablis en temps voulu selon une prsentation qui souligne les points
importants et facilite leur comprhension. Ces oprations, mises en valeur dans les
rapports dexception, peuvent tre soient acceptes par le systme, enregistres dans
un fichier dattente ou rejetes par le systme.
Mais pour lefficacit de ce contrle, encore faut-il que ces rapports soient
convenablement conus, paramtrs et contrls manuellement. Exemple : La chane
fournisseurs peut diter une liste des bons de rception manquants, que lon
42

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


examinera afin de savoir pourquoi ces bons nexistent pas. En outre, ce contrle nest
efficace que si la liste sortie de lordinateur est exhaustive et fiable.

Les contrles de direction :

Ces contrles, qui portent sur des informations finales, sont raliss posteriori
par des personnes indpendantes du processus de traitement. Leur but est de
dtecter des erreurs ou irrgularits susceptibles de stre produites en amont.
Le systme informatique peut offrir la direction plusieurs informations utiles au
pilotage de lentit et une palette doutils analytiques permettant dexaminer et de
superviser ses activits.
Les contrles de direction peuvent consister en la revue et le suivi des rapports
dexception sur les oprations et les soldes anormaux et des rsums des oprations
traites, en la vrification de la squence des oprations traites, etc.

Les contrles visant protger les actifs :

Ces contrles consistent en des mesures de contrle et de scurit assurant un


accs limit aux personnes expressment autorises et dans la limite de leurs
responsabilits.
Ils doivent aussi apporter la garantie que les actifs de la socit sont labri de toute
cration de documents qui en autoriseraient lutilisation ou la cession.
Sous le terme actifs , on entend aussi bien les actifs inscrits dans les comptes que
les informations confidentielles ou non contenues dans les fichiers informatiques.
Il est vident que les contrles visant protger les actifs sont encore plus
ncessaires si ces actifs sont confidentiels, aisment transportables, convoits et/ou de
valeur importante.

43

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Section 3 : Risques lis aux systmes dinformation


Aprs avoir prsent les systmes dinformation et leur importance au sein des
entreprises, on a jug utile de rappeler les diffrents risques auxquels les entreprises
sont confrontes face la mise en place des systmes dinformations
dinformations par les
entreprises.

3-1 Les risques gnraux lis aux systmes dinformations

Risque humain

Risque naturel

Risque
technique

Risque d'activit

Risque lgal

-1-1 Risque humain


Les risques humains sont les plus importants, mme s'ils sont le plus souvent
ignors ou minimiss.. Ils concernent les utilisateurs mais galement les
informaticiens eux-mmes
 La maladresse :
Comme en toute activit, les humains commettent des erreurs ; ils
ils leur arrivent
donc plus ou moins frquemment d'excuter un traitement non souhait, d'effacer
involontairement des donnes ou des programmes, etc.

44

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


 L'inconscience et l'ignorance :
De nombreux utilisateurs d'outils informatiques sont encore inconscients ou
ignorants des risques qu'ils encourent aux systmes qu'ils utilisent, et introduisent
souvent des programmes malveillants sans le savoir. Des manipulations
inconsidres (autant avec des logiciels que physiques) sont aussi courantes.
 La malveillance :
Certains utilisateurs, pour des raisons trs diverses, peuvent volontairement
mettre en pril le systme d'information, en y introduisant en connaissance de cause
des virus (en connectant par exemple un ordinateur portable sur un rseau
d'entreprise), ou en introduisant volontairement de mauvaises informations dans
une base de donnes. De mme il est relativement ais pour un informaticien
d'ajouter dlibrment des fonctions caches lui permettant, directement ou avec
l'aide de complices, de dtourner son profit de l'information ou de l'argent.

 L'ingnierie sociale :
Lingnierie sociale (social engineering en anglais) est une mthode pour obtenir
d'une personne des informations confidentielles, que l'on n'est pas normalement
autoris obtenir, en vue de les exploiter d'autres fins (publicitaires par exemple).
Elle consiste se faire passer pour quelquun que lon nest pas (en gnral un
administrateur) et de demander des informations personnelles (nom de connexion,
mot de passe, donnes confidentielles, etc.) en inventant un quelconque prtexte
(problme dans le rseau, modification de celui-ci, heure tardive, etc.). Elle peut se
faire soit au moyen dune simple communication tlphonique, soit par mail, soit en
se dplaant directement sur place.

45

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


 L'espionnage :
L'espionnage, notamment industriel, emploie les mme moyens, ainsi que bien
d'autres, pour obtenir des informations sur des activits concurrentes, procds de
fabrication, projets en cours, futurs produits, politique de prix, clients et prospects,
etc.

3-1-2 Risque naturel


Toutes les entreprises sont exposs des dsastres naturels, mais la nature exacte
de ces dsastres (tremblement de terre, incendie, inondation, tempte, cyclone, etc)
dpend de beaucoup de facteurs. Historiquement, les plans tablis pour de telles
circonstances ont toujours mis laccent sur la prparation et la raction. Les dsastres
naturels ont souvent un effet dvastateur trs marqu en raison de leur amplitude.

Le stockage de linformation en dehors du site de lentreprise est la doctrine de


base pour que lentreprise puisse survivre un dsastre naturel. Toutes les
informations ncessaires la reconstruction du systme dinformation doivent tre
conserves en un lieu sr situ en dehors du site de lentreprise .Comme un tel
accident dtruit les locaux et les matriels, il est ncessaire de pouvoir assurer la
conduite de lentreprise depuis un autre site dans lequel seront prserves toutes les
informations ncessaires.

3-1-3 Risque dactivit


Ces risques sont engendrs par la nature mme de lactivit de lentreprise, son
march, son positionnement, son organisation. Ces risques sont pourtant rels et
peuvent provoquer de graves perturbations. En effet, la ncessit dalignement et de
ractivit de lentreprise face des marchs trs actifs augmente le niveau de
contraintes sur le systme dinformation.
46

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

La perte de capacit est lie un accroissement des flux de donnes engendrant une
saturation au niveau des moyens de traitement et de stockage. Elle affecte le
fonctionnement de lentreprise par un effet de ralentissement dont la frquence et
lamplitude augmente avec le temps.

3-1-4 Risque technique


Les risques techniques sont tout simplement ceux lis aux dfauts et pannes
invitables que connaissent tous les systmes matriels et logiciels. Ces incidents sont
videmment plus ou moins frquents selon le soin apport lors de la fabrication et
des tests effectus avant que les ordinateurs et les programmes ne soient mis en
service. Cependant les pannes ont parfois des causes indirectes, voire trs indirectes,
donc difficiles prvoir.

47

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


 Incidents lis au matriel : si on peut le plus souvent ngliger la probabilit
d'une erreur d'excution par un processeur (il y eut nanmoins une exception
clbre avec l'une des toutes premires gnrations du processeur Pentium
d'Intel qui pouvait produire, dans certaines circonstances, des erreurs de
calcul), la plupart des composants lectroniques, produits en grandes sries,
peuvent comporter des dfauts et finissent un jour ou l'autre par tomber en
panne. Certaines de ces pannes sont assez difficiles dceler car intermittentes
ou rares.

 Incidents lis au logiciel : ils sont de trs loin les plus frquents ; la
complexit croissante des systmes d'exploitation et des programmes ncessite
l'effort conjoint de dizaines, de centaines, voire de milliers de programmeurs.
Individuellement ou collectivement, ils font invitablement des erreurs que les
meilleures mthodes de travail et les meilleurs outils de contrle ou de test ne
peuvent pas liminer en totalit. Des failles permettant de prendre le contrle
total ou partiel d'un ordinateur sont rgulirement rendues publiques et
rpertories sur des sites comme Security Focus ou Secunia. Certaines failles
ne sont pas corriges rapidement par leurs auteurs.

Incidents lis l'environnement : les machines lectroniques et les rseaux de


communication sont sensibles aux variations de temprature ou d'humidit
(tout particulirement en cas d'incendie ou d'inondation) ainsi qu'aux champs
lectriques et magntiques. Il n'est pas rare que des ordinateurs connaissent
des pannes dfinitives ou intermittentes cause de conditions climatiques
inhabituelles ou par l'influence d'installations lectriques notamment
industrielles (et parfois celle des ordinateurs eux-mmes !).

48

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

3-1-5 Risque lgal


Il est essentiel que les organisations informatises prennent en compte le cadre
rglementaire impos par la lgislation, ladministration fiscale, comme les
recommandations mises par les diffrentes organisations professionnelles
concernes par la prsentation des comptes.
Comme les auditeurs doivent informer lentreprise des risques quelle encoure, il
leur est indispensable de se forger une premire opinion sur la conformit du
systme informatique contrl avec les diffrents textes rglementaires en vigueur.

49

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Conclusion de la premire partie


En guise de conclusion de cette partie, on peut dire que les systmes dinformation
ont une importance vritablement stratgique (dcider du bon systme mettre en
place, des nouvelles technologies implanter, etc.). En outre, la gestion efficace de
linformation et des technologies associes est dune importance critique pour le
succs et la survie dune organisation.
En effet, tout au long de cette premire partie, nous avons dmontr dune part,
comment lintgration des systmes dinformation dans une entreprise, peut elle
affecter lorganisation et les procdures utilises par lentit pour satisfaire la mise
en place dun contrle interne fiable.et dune autre part, nous avons essay de relever
les diffrents risques inhrents, induit de la complexit des systmes dinformation.
De ce fait, les questions qui peuvent se poser sont :

comment lintgration des systmes dinformation pourrait elle affecter la


dmarche daudit financier ?

et comment se droulerai une mission daudit financier au sein dun milieu


informatis ?

Pour rpondre ces questions, nous prconisons dans la seconde partie de notre
mmoire, une dmarche daudit des systmes dinformations dans le cadre dune
mission daudit financier, prenant en compte les enjeux du nouveau contexte.

50

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Partie II : Laudit des systmes dinformation : une dmarche


intgre la mission daudit financier

51

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Introduction de la deuxime partie

Il apparait clairement que dans un nouveau contexte caractris par une


volution accrue, permanente et complexe des systmes dinformations, il est de
plus en plus difficile pour lauditeur financier de forger son opinion sans une
approche approfondie du systme dinformation
Les auditeurs financiers ne peuvent plus ignorer le phnomne de
l'informatisation des entreprises devenue de plus en plus complexe. S'ils ont estim,
au dpart, qu'il fallait traiter les systmes dinformations part, ils sont convaincus,
aujourd'hui, que l'audit des systmes dinformations devrait tre intgrer dans leur
dmarche professionnelle et dans chacune de leurs proccupations. Ainsi, l'approche
d'audit devrait rpondre ce nouveau contexte et aux risques nouveaux ns.
Limpact des systmes dinformation sur lorganisation de laudit financier et sur
les comptences de lauditeur est certain, en effet ce nouveau cadre dintervention
exige de la part de lauditeur de nouvelles aptitudes et comptences et une nouvelle
organisation de la mission pour faire face la complexit des systmes
dinformations.
Dans cette partie, nous nous intresserons aux consquences des systmes
dinformation sur la conduite de la mission et nous proposerons par la suite une
nouvelle mthodologie simple et prcise pour mener une dmarche daudit financier
en milieu informatis

52

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Chapitre 1 : Impact des systmes dinformation sur laudit financier


Section 1 : Organisation de la mission
Lors de lorganisation de sa mission, lauditeur doit prendre en considration
certains lments, facteurs impactant le droulement de la mission daudit. A savoir,
la taille de lentreprise, le secteur o elle opre et bien videmment la complexit des
systmes y intgrs.

En fait, les degrs des risques induits par les dfaillances informatiques diffrent
dun secteur un autre, selon le niveau de dpendance de lentreprise envers ses
systmes dinformations : Ces risques sont, en effet, plus levs dans les secteurs
bancaires, de tlcommunications et des assurances que pour dautres secteurs de
lconomie parce quils peuvent entraner des consquences fcheuses pour les
autres socits qui sont en relation avec eux, et mme, la limite, avoir des
rpercussions pour lconomie nationale.

Pour les tablissements de crdit et tlcommunication, linformatique est un outil


de production principal et incontournable .
Si une entreprise industrielle perd son informatique, il lui restera, en stock, sa
production, quelle pourra toujours vendre en attendant de rebtir un nouveau
systme informatique : celui-ci tant moins intgr au mode de production, une
reprise plus ou moins totale de lactivit de lentreprise pourra intervenir. En
revanche la banque, les tlcommunications ou les assurances, possdent la
particularit davoir largent en input et en output . Si elles perdent leur
informatique, comme leur matire premire est largent et linformation - ce qui
est immatriel -, elles auront perdu leur outil de production.

53

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


Lauditeur ne peut pas donc rester insensible ces constatations et par voie de
consquence, il devra donc de plus en plus se reposer sur lapprciation qualitative
du contrle informatique de lentreprise pour dterminer ltendue des travaux
ncessaires la bonne excution de sa mission daudit dans cet environnement
informatis.

En effet, lorganisation dune mission audit en milieu informatis repose sur les
lments suivants :

Approche du systme: Lapproche du systme doit tre ralise


simultanment la prise de connaissance de lentreprise. Cette approche aura
principalement pour objectif dvaluer, dune part, limportance du systme
et, dautre part, sa complexit ;

La comprhension globale de lintgration et de la complexit du systme


auront permis de dfinir la nature et le volume des travaux : rpartition entre
les travaux daudit classiques et les travaux sur informatique ; dfinition
des zones de risques ncessitant un examen au niveau des procdures et/ou
lors du contrle des comptes.

En fonction de ces lments, les budgets et les calendriers seront tablis. Le


planning devra prvoir les contraintes lies au contexte informatique et, en
particulier :

les besoins ventuels en formations complmentaires de lauditeur et en


documentation sur le systme de lentreprise (matriel, logiciels utilitaires,
logiciels dapplications)

la disponibilit des ressources de lentreprise lors de lintervention.


54

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Section 2 : Comptences requises


La nature des comptences requises au sein du cabinet dpendra de plusieurs
lments :


Lorganisation du cabinet et en particulier sa structure et son effectif : Si les


cabinets de grande taille disposent gnralement dune cellule spcialise en
informatique, ceci nest pas possible pour les cabinets de petite structure

La typologie de la clientle, la taille des entreprises audites, les spcificits de


leur exploitation, la complexit de leur systme dinformation sont des critres
dterminants quant aux besoins en comptences informatiques au sein du
cabinet.

La nature des missions : missions lgales ou contractuelles, audit, conseil,


expertise.

En fonction de ces critres, diffrentes solutions peuvent tre retenues pour


dvelopper les comptences ncessaires laudit en milieu informatis.

2-1 La formation des auditeurs aux techniques informatiques


Dans un environnement fortement marqu par les nouvelles technologies de
linformation et la communication, lintervention dune personne ayant des
connaissances informatiques est ncessaire.
Lauditeur financier doit veiller avoir un niveau minimum de formation pour
quils soient en mesure dintgrer un environnement informatis. En se formant,
Lauditeur financier disposera donc dune double qualification pour effectuer au
mieux des audits dans un environnement informatis.
Lauditeur financier possdera les connaissances ncessaires en informatique
pour :
55

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier




Planifier, diriger, superviser et contrler dans un milieu informatis

Obtenir une comprhension suffisante des systmes comptables et de contrle


interne influencs par l'environnement informatis

Dterminer l'incidence des systmes dinformation sur l'valuation des risques

Concevoir et mettre en uvre des tests de procdure et de contrle


approfondis.

2-2 La composition dune quipe mixte


Il est souhaitable que la mission daudit soit mene par une quipe mixte
compose du responsable de la mission classique daudit et dun auditeur
plus spcialis en matire informatique pour faire face la complexit des
systmes dinformation de lentreprise audite.

La perception des choses et les questions poses par chacun des membres
sont gnralement trs profitables lquipe. De mme la revue
macroscopique des domaines couverts par linformatique sera plus bnfique
si elle est ralise en commun par cette quipe mixte, plutt que par lun ou
lautre des intervenants.

Le responsable de lquipe doit tre unique et la rpartition des tches entre


les diffrents intervenants est trs importante. Elle doit tenir compte du niveau
de comptence de chacun tout en sachant que certaines parties de la mission
doivent tre menes en commun.

Dans le cadre dune mission daudit en milieu informatis, une quipe mixte
compose dauditeurs classiques et dauditeurs plus spcialises en

56

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


informatiques semble la meilleure solution mais ceci nest possible que dans
les cabinets de grande taille disposant de ressources suffisantes en interne.

2-3 Le recours des spcialistes externes


Dans ce cas, lauditeur doit prendre en compte :


La comptence du spcialiste

Quand lauditeur compte utiliser le travail dun spcialiste, il doit sassurer que
celui-ci possde la comptence suffisante en vrifiant ses qualifications
professionnelles, son autorisation dexercer ou tout autre signe de reconnaissance de
sa comptence.
Si le spcialiste fait partie dun groupement professionnel dictant des normes que
ses membres doivent respecter, lauditeur peut se contenter de savoir que cette
personne a bonne rputation au sein de ce groupement.

Lobjectivit du spcialiste

Lauditeur doit prendre en considration toutes les circonstances pouvant affecter


lobjectivit de lexpert. Le risque de manque dobjectivit est plus lev si le
spcialiste est employ par lentit audite ou a avec elle une liaison directe ou
indirecte.
En rgle gnrale, il vaut mieux faire appel un spcialiste indpendant de lentit
audite et par consquent plus objectif mais, si les circonstances lexigent, on peut
envisager dutiliser le travail dun membre du personnel de la socit audite,

57

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


condition que celui ci possde la comptence requise. Dans ce dernier cas, il est plus
judicieux de mettre en uvre des procdures plus approfondies pour vrifier les
hypothses, les mthodes ou les conclusions du spcialiste employ par la socit.

Dfinition des termes de lintervention du spcialiste

Lauditeur doit prciser clairement au spcialiste les conditions de son intervention


et ce, en indiquant notamment lobjectif et ltendue de ses travaux, les points
spcifiques traiter dans le rapport, lutilisation que compte faire lauditeur de ses
travaux, les limites ventuelles daccs aux documents et aux dossiers ncessaires,
etc.

De son ct le spcialiste a la responsabilit de :


o comprendre la porte de son travail sur lensemble de laudit
o porter rapidement la connaissance du personnel daudit appropri
toutes les conclusions pouvant avoir une incidence significative sur
laudit ou devant tre communiques la direction de lentreprise

Lvaluation des travaux du spcialiste :

Ceci englobe lassurance que les travaux du spcialiste constituent des lments
probants appropris au regard de linformation financire et ce, en examinant
ladquation de la dmarche suivie et la suffisance, la pertinence et la fiabilit des
donnes utilises pour aboutir aux conclusions formules.
Bien que ce soit au spcialiste de garantir la pertinence et la vraisemblance de ses
hypothses et de ses mthodes, lauditeur doit comprendre comment il les met en
58

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


uvre, afin de dterminer si elles sont raisonnables et identiques celles qui ont t
prcdemment appliques. Lauditeur se basera sur sa connaissance des activits de
lentreprise ainsi que du rsultat des autres procdures daudit.

La mention de lintervention du spcialiste dans le rapport daudit :

Lorsque lauditeur met une opinion sans rserve, il doit viter de faire allusion
dans son rapport de lintervention du spcialiste car elle peut tre interprte comme
une rserve ou comme un partage de responsabilit. Dans le cas contraire, si le
rapport ou les conclusions du spcialiste amnent lauditeur mettre des rserves
dans son rapport daudit, il peut tre utile den expliquer les raisons en faisant
rfrence au travail du spcialiste et ce, avec laccord de ce dernier et en citant son
nom.
Si lauditeur conclut que les travaux du spcialiste ne confirment pas linformation
figurant dans les comptes annuels ou ne constituent pas des lments probants
suffisants et appropris, il doit, selon le cas, mettre une opinion avec rserve ou
mettre une opinion dfavorable.

59

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Chapitre 2 : Proposition dune dmarche daudit financier dans un milieu


informatis
Section 1 : Orientation de la mission daudit
La mthodologie informatique daudit propose ici est lapproche par les risques.
Rappelons que cette dmarche consiste rvler les points forts sur lesquels
sappuyer, sachant que labsence de ces points forts rvle la prsence de risques non
couverts. La mission sera oriente de manire valider lexistence relle des points
forts pressentis, sans quil soit ncessaire de prvoir des diligences tendues sur ces
points forts. En revanche, les risques non couverts feront lobjet de diligences plus
compltes destines sassurer quaucune anomalie significative nest survenue dans
les domaines sujets risques potentiels.

1-1 Revue analytique gnrale


Lobjectif de la revue analytique gnrale est de prendre rapidement connaissance
de lentreprise et du champ dapplication de laudit, et de dresser une premire carte
des zones risques. Pour parvenir cet objectif, les auditeurs procdent par
entretiens gnraux, ils recueillent une documentation succincte, puis ils passent en
revue les principaux systmes informatiques.

1- 2-Mthodologie
Si une revue analytique plus gnrale a dj t ralise, les auditeurs prennent
pralablement connaissance du dossier. Ils procdent ensuite par entretiens
successifs, plus ou moins cibls. Cest au cours de ces entretiens quils se feront
prciser lexistence de la documentation susceptible de les aider dans leur mission.


Entretiens gnraux

60

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


La premire difficult rencontre par les auditeurs est souvent le choix des
personnes avec lesquelles mener les entretiens qui leur permettront ensuite
dorienter la mission daudit. Il est rare quune personne unique ait une
connaissance suffisante de lentreprise pour apporter une premire rponse
lensemble des questions. Le responsable de linformatique, ou parfois le responsable
administratif et comptable est en gnral la personne la plus comptente pour que
ces premiers entretiens savrent productifs.
En premier lieu, les entretiens vont porter sur le risque li lutilisation de
linformatique dans la marche de lentreprise. Puis les entretiens vont successivement
aborder :

La politique informatique de lentreprise

La structure informatique

Les oprations traites

Lattitude de la direction face linformatique

Pour apprcier la politique informatique de lentreprise, il faut connatre son


volution historique, les objectifs poursuivis jusquici en la matire, enfin les objectifs
futurs. Les auditeurs se proccupent de savoir sil existe un schma directeur
informatique, voire plus simplement un plan informatique court et moyen terme.
En bons professionnels, les auditeurs confortent leur opinion par lexamen des faits
qui leur sont rapports en demandant connatre les manifestations pratiques de la
politique dcrite. Le lien entre la politique informatique et les risques courus est
important, car certaines attitudes sont gnratrices de risques substantiels.
-politique aventureuse ;
-course perptuelle aux dernires techniques ;

61

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


-remise en question permanente en faisant table rase du pass ;
-insuffisance de formation du personnel.
Les auditeurs prennent connaissance de la structure informatique de lentreprise,
notamment du rle des hommes qui la grent. Ils dressent linventaire des diffrents
systmes utiliss en se faisant prciser les matriels et les techniques informatiques
retenus. Ils se font dcrire les principales mesures prvues en matire de scurit
physique et logique.
Les auditeurs recueillent enfin le degr de satisfaction des utilisateurs souvent
rvlateur des risques rels.
Toujours au cours des entretiens, les auditeurs prennent connaissance des
oprations traites. Ils se renseignent sur les domaines couverts, le volume des
oprations, leur frquence, et leur impact sur la marche de lentreprise. Ces lments
seront fondamentaux pour tablir le programme de travail dtaill.
Enfin les auditeurs se font prciser lattitude de la direction gnrale de lentreprise
et de la direction informatique afin de mieux apprcier leurs influences respectives
dans les diffrentes dcisions.


Recueil dune documentation succincte

Les auditeurs vont demander le schma gnral du systme dinformation de


lentreprise et celui des applications informatiques en service. Dans la pratique, ces
informations existent presque toujours sous une forme ou une autre. Nanmoins, en
cas dabsence de ce document, il conviendra de ltablir, car il est quasiment
indispensable pour comprendre le fonctionnement des systmes informatiques.

62

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


Au cours de la revue analytique, les auditeurs recherchent les documents essentiels
qui vont les guider dans leur approche. Cest ainsi quils vont demander, ou faire
tablir les listes suivantes :
-documents et informations qui sont saisies dans le systme ;
- transactions proposes aux utilisateurs ;
- principaux fichiers utiliss, avec leur contenu sommaire ;
-rsultats essentiels, ayant une incidence sur les chiffres produits ;
-manuels opratoires, informatique et utilisateur.
Et toute autre liste dont lopportunit leur sera apparue au cours des diffrents
entretiens dapproche de la mission. Il est conseill dessayer dobtenir ces diffrents
documents au cours des entretiens. Lintrt de cette dmarche est de pouvoir se
faire expliquer immdiatement certains points relevs lors de leur examen.


Revue des systmes informatiques

Chaque grand domaine informatis de lentreprise fait son tour lobjet dune
revue rapide. Lobjet de cet examen est de connatre le mode de dveloppement des
applications principales et leur fonctionnement actuel.
Les auditeurs se font dcrire lapplication examine de faon macroscopique, sans
entrer dans un trop grand niveau de dtail. Ils passent rapidement en revue les
points suivants :
o Quelles sont les donnes en entre ?
o Comment ces donnes sont-elles achemines ?
o Quels sont les traitements essentiels ?
o Quels sont les principaux fichiers utiliss en amont ?
63

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


o En aval, quelle est lincidence des traitements sur les fichiers ?
o Quels sont les rsultats et les tats produits les plus significatifs ?
o Quels sont les principaux contrles prvus ?
o Comment la correction des anomalies est-elle suivie ?
o Dans quelles conditions seffectuent les dversements en comptabilit ?
Naturellement, ce dernier point est essentiel dans le cadre de la certification de
comptes en milieu informatis et fait lobjet dun examen un peu prcis.
Ensuite, les auditeurs se font communiquer ou tablissent eux mme un schma de
synthse de chaque application, afin dapprhender les grandes lignes de leur
fonctionnement. Pour chaque application, ils examinent ensuite plusieurs points bien
cibls :
o Les normes et techniques de dveloppement de lapplication
o Les tests de mise en uvre, notamment de la part des utilisateurs
o Les conditions de ralisation de la maintenance
o La qualit du fonctionnement en exploitation courante
o Les difficults rencontres au plan informatique
Une mauvaise ralisation de ces points ou une insatisfaction des utilisateurs sont
une source de risques potentiels. A cette occasion, les auditeurs sinforment des
conditions dans lesquelles ils pourront mettre en place les tests destins vrifier que
les risques non couverts nont pas produit deffets. Pour cela, ils rvlent :
o les matriels successifs ventuellement utiliss
o La nature des bases de donnes ou la structure des fichiers
o Lexistence doutils dinterrogation propres aux systmes vrifis
o La possibilit de connecter un micro ordinateur

64

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Les auditeurs sinquitent du dlai de conservation des donnes sur lesquelles


porteront leurs travaux de vrification, notamment le contrle final sur les comptes
de lexercice. Le cas chant, ils demandent lentreprise de conserver telle ou telle
information dans des conditions de dure adapte et sur des supports exploitables.


Conduite de la revue analytique

La revue analytique fait partie de lapproche de la mission, en amont du


programme de travail, qui prcisera les points qui feront lobjet de diligences plus
approfondies. Un premier rendez vous, vraisemblablement avec la direction gnrale
de lentreprise ou le responsable financier permettre daborder :
o La politique informatique de lentreprise
o La structure informatique
o Les oprations traites
o Lattitude de la direction face linformatique
Pour les auditeurs, il nest donc pas question de chercher se forger une opinion
dfinitive au cours dune premire srie dentretiens, ni au vu de la documentation
sommaire recueillie. La revue est un tour dhorizon relativement complet, mais qui
reste global, sans atteindre un niveau de dtail prcis, sauf dans des cas trs
ponctuels.
Dans le cadre de laudit financier, il est souhaitable que cette revue analytique soit
mene par une quipe mixte compose du responsable de la mission classique
daudit et dun auditeur plus spcialis en matire informatique.la perception des
choses et les questions poses par chacun des membres sont gnralement trs
profitables lquipe. De mme la revue macroscopique des domaines couverts par

65

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


linformatique sera plus bnfique si elle est ralise en commun par cette quipe
mixte, plutt que par lun ou lautre des intervenants.
Aprs les entretiens gnraux, les auditeurs peuvent valablement raliser de leur
ct ltablissement du schma gnral des traitements informatiques et la revue des
applications informatiques par domaine. Le rsultat de leurs travaux sera
communiqu au responsable de la mission daudit.


Temps consacrer la revue analytique

Pour la dure dun entretien, lexprience montre quil est difficile de dpasser
deux heures, tant pour la personne interroge que pour les auditeurs.
Pour la personne interroge, souvent de haut niveau, cette dure maximale permet
de garder le niveau gnral voulu. La dure prvue pour lentretien doit avoir t
annonce auparavant.
Au plan pratique, il est ncessaire pour les auditeurs de sisoler ds la fin de
lentretien, afin den rdiger immdiatement le compte rendu. Il est prfrable que les
auditeurs nenchainent pas les diffrents entretiens mais se mnagent le temps
ncessaire pour en tirer rapidement le meilleur profit.
La base dvaluation du temps passer pour une revue analytique est donc de
quatre heures par entretien, deux heures de rendez vous et deux heures pour
exploiter pleinement linformation reue.
La dure de la revue analytique dpend essentiellement de la taille de lentreprise.
Pour les petites entreprises ou les grandes entreprises peu informatiss, la revue peut
gnralement tre mene bien avec deux ou trois entretiens.

66

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


Un second rendez vous qui runira sans doute le responsable informatique de
lentreprise et les auditeurs permettra de faire le tour des diffrents applications
informatiques.
Sil sagit dorganisations informatiques importantes, il faudra vraisemblablement
prvoir plusieurs entretiens pour lapproche gnrale. Comme il est probable que les
responsabilits soient partages, les interlocuteurs risquent dtre plus nombreux. Si
le nombre dapplications informatiques en service est important, il faudra prvoir un
entretien par application, sinon deux pour les plus complexes dentre elles .cest
naturellement au terme des premiers entretiens dapproche gnrale que lon peut
estimer le nombre dentretiens ncessaires la couverture des applications
informatiques.

1-3 Tableau dorientation


Une fois la revue analytique termine, les auditeurs dressent le tableau
dorientation de la mission, dont lobjectif est de hirarchiser les diffrents risques,
tels quils ont t ressentis dans la phase dapproche.


Tableau dorientation

Lorsque le domaine audit est fortement automatis, le tableau dorientation


informatique remplace avantageusement le tableau dorientation classique.
Le tableau dorientation est prsent par grands cycles conomiques de lentreprise,
et chacun de ces cycles correspond gnralement une ou plusieurs applications
informatiques. Dans une entreprise industrielle ou commerciale, les cycles classiques
sont :

67

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


o Clients, ventes, gestion des stocks de produits finis ;
o Achats, fournisseurs, gestion des stocks de matires premires ;
o Production et gestion des travaux en cours ;
o Gestion de la trsorerie ;
o Gestion et paie du personnel ;
o Gestion des immobilisations et calcul des amortissements.
Ces cycles sont prsents dans la premire colonne. Les colonnes suivantes du
tableau sont regroupes ainsi :
Critres dimportance relative
o Volume des oprations traites
o Montant global des enjeux financiers
Evaluation du risque informatique
o Risque li lutilisation de linformatique
o Qualit de la saisie des informations
o Qualit des traitements
o Qualit des contrles
o Importance relative
o Risque global informatique, synthse des colonnes prcdentes
Diligences prvues
o Lors du contrle intrimaire
o Lors du contrle final
Evaluation du temps
o Lors du contrle intrimaire
68

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


o Lors du contrle final
o Total des temps de lintrim et du final
o Pourcentage du total des temps allous
o Rappel des temps de lexercice prcdent
Rpartition du temps
o Du cabinet titulaire de la mission
o Dun ventuel deuxime intervenant
A compter de lvaluation des temps, les dernires colonnes nappellent pas de
commentaire particulier, puisquelles sont la consquence directe de lvaluation des
risques et des diligences retenues.
Lorientation de la mission dpend pour lessentiel de lvaluation des risques et de
leur hirarchisation. Chaque risque reprsent fait lobjet de cotation :
o F pour faible
o M pour moyen
o I pour important
Les auditeurs valuent la qualit des saisies, face aux risques associs. Ils estiment
ensuite la qualit des traitements, toujours selon les critres dapprciation dcrits.
Les auditeurs valuent la porte relle des contrles prvus. Enfin, ils apprcient
limportance relative de ces risques, c'est--dire leur impact potentiel sur les rsultats
certifier.
Une fois toutes ces valuations cibles ralises, les auditeurs portent dans la
colonne prvue cet effet le risque global informatique. Cette colonne formalise donc
le risque synthtique de chacun des cycles conomiques voqus ci-dessus.

69

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Note dorientation

La note dorientation complte le tableau dorientation. Elle prcise la raison du


classement des risques, importants, moyens ou faibles. La note dorientation permet
surtout de commenter les raisons qui ont conduit au choix des diligences retenues.

1-4 choix des diligences


Le choix des diligences dpend essentiellement de la nature des risques pressentis.
Les diligences classiques sont :
o La revue de scurit, ou le contrle interne de loutil informatique
o Ltude dapplication informatique, ou lapproche par les systmes
o Les tests informatiques ou lapproche par les rsultats
Enfin le contrle manuel traditionnel sans tenir compte de lordinateur


La revue de scurit

La revue de scurit pourra tre propose systmatiquement. Il sera difficile de ne


pas la raliser ds lors que lapproche analytique aura rvl labsence de points forts
en matire de scurit physique ou logique, ou des insuffisances dans lorganisation
de la fonction informatique qui pourraient remettre en cause le fonctionnement
gnral du systme.


Ltude des applications informatiques.

Lobjectif de ltude des applications informatiques est de dceler les points forts
sur lesquels les auditeurs pourront sappuyer. Au cours de cette tude, les points
forts pressentis seront tests pour sassurer de leur existence et de leur permanence.

70

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


Comme pour toute tude de procdure, ltude des applications informatiques est
par essence une diligence raliser lors des contrles intrimaires, en cours
dexercice.

Les tests informatiques

Les tests informatiques seront requis en labsence de points forts, pour sassurer
que les risques potentiels nont pas produit deffet. A ct de cette utilisation
principale, des traitements analogues aux tests informatiques pourront tre raliss
pour faciliter le travail des auditeurs, en prsentant les informations de manire
augmenter la productivit de leurs contrles. Il importe de rappeler que les tests
informatiques doivent porter sur lintgralit de la population prsente dans les
fichiers, et non pas sur un chantillon comme les sondages. Lidal est de prparer et
de mettre au point les tests pendant la phase des contrles intrimaires et de les
relancer au final sur les comptes de lexercice entier.


Lapproche hors informatique

Dans certains cas, lapproche informatique nest pas la plus opportune notamment
lorsque le volume dinformations est peu important. Dans ces conditions, un
traitement manuel peut savrer plus productif. Enfin, dans certaines circonstances,
le temps ncessaire la ralisation de tests informatiques est plus consommateur de
ressources que des tests manuels quivalents.


Cas de faiblesses flagrantes

Enfin, lhypothse extrme est de suspendre la poursuite des diffrentes diligences


prvues, ds que les auditeurs ont acquis la certitude quil nest plus possible de
certifier. De mme, certains dysfonctionnements peuvent savrer rdhibitoires. Dans
71

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


une telle hypothse, pourquoi mettre en uvre des ressources importantes quand on
est sr daboutir la non certification.

1-5 Gestion du budget


Les ressources alloues aux auditeurs pour mener bien leur mission ne sont
infinies. Il leur faut respecter le budget ngoci, condition bien entendu que ce
dernier soit suffisant. Lors de la premire intervention dans une entreprise, la
ngociation du budget est souvent une tche difficile, car il faut prvoir ltendue de
la mission en amont de la prise de connaissance relle du contexte.

1-6 Le programme de travail


Le programme de travail dtaill est rdig aprs llaboration du tableau et de la
note dorientation. Ce programme de travail prcise :
o Les objectifs poursuivis
o La rpartition des tches entre auditeurs selon leur qualification
o Le dtail des diligences effectuer
o La forme des rsultats attendus
o Les moyens mis en uvre
o Le budget imparti

72

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Section 2 : Apprciation du contrle interne


Les applications informatiques ne fonctionnent correctement que lorsquelles sont
mises en uvre dans de bonnes conditions. Cest gnralement le service
informatique qui est charg de mettre les diffrentes applications la disposition des
utilisateurs.

1-1 Principes et objectifs


Pour fonctionner avec le niveau de scurit ncessaire, les services informatiques
doivent prsenter un contrle interne de qualit. Celui-ci repose sur les mmes
principes gnraux dorganisation que tous les services oprationnels dune
entreprise :
o existence de procdures claires et rellement appliques,
o sparation de certaines fonctions
o recours du personnel comptent.
Des procdures prcisent doivent rgir la gestion courante dun service informatique.
Les principales procdures concernent :
o Les tests de recette des nouvelles applications ;
o La mise en service dune nouvelle application ;
o La maintenance des applications en service ;
o Le planning douverture des diffrentes applications en temps rel ;
o Le calendrier de fonctionnement des applications en temps diffr ;
o Le planning des vacations dchange dinformations entre ordinateurs ;
o Les copies de scurit ou sauvegardes ;
o Les procdures de fonctionnement dgrades suite incidents ;
o Le renouvellement des droits daccs des diffrents utilisateurs ;
73

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


o La conservation et larchivage des donnes
Certaines fonctions gagnent tre spares. Cest notamment le cas des services
dtude et de dveloppement, qui doivent demeurer indpendants des services
dexploitation courante. Il est toujours prfrable de disposer dun environnement de
production. Il est bien vident que dans les trs petites structures, laspect de
sparation des fonctions devient tout fait thorique. En consquence, il importe de
renforcer les diligences.
Linformatique volue rapidement et il est important de coller aux techniques
modernes, car lemploi des mthodes obsoltes est dangereux. Par ailleurs, le retard
technologique est de plus en plus difficile rattraper avec le temps. Pour disposer en
permanence de personnel comptent, la direction de lentreprise doit mener une
politique volontariste de formation permanente du personnel informatique. A
linverse, le changement systmatique, sans jamais attendre que la nouvelle
organisation soit stabilise, sanalyse comme un vrai danger.

1-2 Mthodologie
Pour se forger une opinion sur la qualit des procdures en vigueur au sein dun
service informatique, les auditeurs sappuient sur un programme de travail type.
Cette mthode permet de ne pas oublier de points majeurs. Le canevas prend la
forme dun mmento de revue de scurit informatique, qui est adapt chaque
entreprise pour tenir compte de ses particularits.

1-3 Revue de scurit


La revue de scurit informatique est conduite par entretiens, visite de locaux
informatiques et examen des manuels de procdure. Les entretiens ont gnralement

74

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


lieu avec les diffrents responsables du service informatique. Les auditeurs
recherchent les manifestations qui prouvent le respect des procdures dcrites.
Aprs un rapide historique de linformatisation de lentreprise, la revue de scurit
va successivement aborder les points suivants.


Gestion de la scurit et continuit de l'exploitation

*Comment sont grs les sauvegardes, existe-t-il un plan de secours?


Procdure de sauvegarde : lauditeur doit s'assurer que les donnes de la socit
sont correctement sauvegardes et qu'en cas de dfaillances du systme
d'information, ces donnes sont facilement rcuprables.
Lauditeur est tenu de vrifier :

o La description gnrale de la procdure de sauvegarde


o Les procdures rgulires
o Les procdures de fin de priode

Plan de secours : lauditeur doit s'assurer que la structure audite a analys les
consquences sur ses activits et sa prennit d'une disponibilit longue du systme
d'information suite un sinistre majeur.
*Comment est dfinie et mise en uvre la scurit logique ?
La scurit logique correspond aux risques d'accs aux donnes par des personnes
non autorises (internes ou externes), ainsi qu'aux risques d'altration des donnes
par des virus.
Lauditeur s'assure que l'entreprise a mis en place un dispositif adapt la
prvention de ces risques.
*La scurit physique est elle satisfaisante ?
75

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


Au travers de l'examen de la scurit physique, lauditeur va chercher identifier
s'il existe :
-un risque de destruction physique des outils informatiques
-un risque qu'une personne extrieure puisse s'introduire sans autorisation dans les
locaux de la socit afin d'accder aux informations contenues dans le systme
d'information.

Un niveau de scurit insuffisant peut entraner, en cas de sinistre, une


indisponibilit plus ou moins importante des systmes d'information. Dans les cas
les plus graves, le commissaire aux comptes peut tre amen dclencher une
procdure d'alerte.


Conception et acquisition des solutions informatiques

*Comment sont achetes ou dveloppes les solutions informatiques ?


Lauditeur doit s'assurer que la structure respecte les procdures permettant
d'identifier les besoins informatiques de la structure et de mener leur terme les
projets d'achats ou de dveloppement de solutions. Les solutions informatiques
mises en place doivent rpondre prcisment aux besoins des utilisateurs. Lauditeur
doit s'assurer que les outils informatiques dvelopps et gnralement scuriss sont
correctement utiliss par les utilisateurs. Ces derniers ont tendance dvelopper des
outils parallles lorsque les applications existantes ne sont pas adaptes leurs
besoins.

*Comment sont installs et valids les nouveaux systmes informatiques ?


Pour chaque installation d'un nouvel outil ou d'une nouvelle application, lauditeur
doit s'assurer que des procdures de gestion de projet sont appliques
76

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


*Comment est assure la maintenance des systmes d'information ?
En vue de donner une opinion sur la continuit d'exploitation de la structure,
lauditeur doit s'assurer de la prennit de son systme d'information: ce titre il
doit s'assurer que la structure met en uvre les procdures permettant de garantir la
capacit de ses systmes voluer en les maintenant. Dans tous les cas, des
procdures doivent prvoir le suivi des performances des applications et systmes,
un programme de rvisions rgulires, une procdure en cas de dfaillance du
systme ou d'une application.


Distribution et support informatique

*Quelle est la qualit du support fourni aux utilisateurs ?


Lauditeur doit s'assurer que les utilisateurs ont les connaissances ncessaires pour
l'utilisation optimale des outils dont ils ont l'usage dans le cadre de leurs fonctions.
Ainsi pour chaque nouvel outil un support aux utilisateurs et/ou une formation
doivent tre dispenss afin de rduire les risques de mauvaises utilisations (erreurs,
traitements inadapts...)
*Comment sont grs les problmes d'exploitation quotidiens ?
L'administrateur du systme d'information est responsable du bon fonctionnement
du systme d'information et de son contrle. C'est lui de centraliser les anomalies
ou dysfonctionnements du rseau. Il gre les habilitations d'accs aux donnes et doit
pouvoir dtecter les tentatives d'intrusion. Son rle est primordial dans la prvention
des risques informatiques. Dans le cadre de sa mission, lauditeur doit s'assurer que
l'ensemble de ces tches sont rgulirement effectues par un administrateur dsign
afin de garantir la prennit du systme d'information ainsi que sa fiabilit et sa
disponibilit de l'information.

77

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


*Comment sont gres les fonctions externalises ?
Un certain nombre de fonctions peuvent tre externalises par la structure audite.
Pour chaque fonction externalise, lauditeur doit s'assurer qu'un contrat crit prcise
les rles et responsabilits de chaque partie, le niveau de prestation de services
attendu.
Lauditeur doit aussi tudier la fiabilit du prestataire choisi, l'adquation de ses
comptences avec les besoins de la socit, la qualit des services rendus ainsi que la
prennit du prestataire. Un contrat de prestation de services peu formalis ou un
prestataire peu fiable peuvent entraner des risques de perte pour la socit audite
et des risques sur sa continuit d'exploitation.

La gestion des projets informatiques

L'utilisation d'une mthodologie est le gage d'une bonne matrise de la gestion


d'un projet et permet, si elle est correctement applique, de limiter les drapages lors
de la mise en place d'une nouvelle application. Lauditeur doit s'assurer que
l'entreprise audite suit une mthodologie qui lui permet de mener bien ses projets
informatiques. Un projet rat peut gnrer des surcots menaant la sant de
l'entreprise et une perte de matrise du systme d'information de l'entreprise.


Les obligations externes

Un certain nombre d'obligations lgales, rglementaires ou fiscales s'imposent aux


socits: celles-ci peuvent concerner les systmes d'information. L'auditeur doit
s'assurer que la structure qu'il analyse est en accord avec l'ensemble des obligations
qui la concernent. Le non respect de certaines dispositions peut avoir une incidence
sur sa mission de certification des comptes.

78

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

1-4 Prsentation des recommandations


Un rapport est systmatiquement tabli au terme de la revue de scurit. Lorsque
les auditeurs constatent quun des aspects passs en revue ne donne pas satisfaction,
ils dcrivent le point relev, expliquent les risques courus, et mettent une
recommandation destine apporter la correction ncessaire.
Dans la majorit des cas, les risques mis en vidence par la revue de scurit sont
sans incidence sur la conformit des chiffres produits par le systme informatique.
Ces risques peuvent toutefois mettre en cause la prennit de lentreprise, et il
importe de rappeler que les auditeurs ne peuvent passer ct dun risque majeur
sans le signaler.
En face de risques de natures diffrentes, les auditeurs doivent avoir une approche
adapte: Approche par les rsultats ou par les systmes.
Lapproche par les rsultats consiste vrifier que les informations produites par les
traitements informatiques sont conformes aux donnes initiales entres dans le
systme. Dans certaines entreprises, cette approche par les rsultats est prfrable
lorsque les auditeurs sont en prsence de systmes indpendants juxtaposs. En
revanche, lapproche par les systmes est bien plus efficace pour les systmes
intgrs. Cela sapplique aussi bien que lorganisation soit centralise ou non, et que
lentreprise dispose de moyens concentrs ou rpartis.

1-5 Approche par les systmes ou tude des applications informatiques


Lapproche par les systmes consiste prendre connaissance de la procdure
informatique, pour bien apprhender les points forts et les risques potentiels. Cette
dmarche est la diligence la mieux adapte face des volumes importants

79

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


doprations rptitives et homognes. En toute logique, labsence de tels points forts
rvle lexistence des risques potentiels.


Principes et objectifs

Lobjectif de lapproche par les systmes, ou tude des applications, est dapprcier
la qualit et la prennit des applications informatiques en service. Cette valuation
doit naturellement prendre en compte la qualit de lorganisation du service
informatique.


Mthodologie

Une dmarche structure permet de se forger une opinion sur la qualit dune
application informatique. En premier lieu, les auditeurs doivent prendre
connaissance de lapplication pour rechercher en priorit les points forts, qui leur
permettent de valider certaines oprations. Les points forts pressentis ne sont
recevables que si les tests dexistence et de permanence prouvent leur ralit.
Labsence de vritables points forts est rvlatrice des risques rels et les auditeurs
devront articuler en consquence leurs contrles sur ces risques effectifs.


Approche globale

Comme toujours, lapproche seffectue en deux temps. Pour illustrer cette


dmarche, prenons le cas de la visite dune exposition ou dun muse. La dmarche
squentielle, prvue par les organisateurs, laisse au visiteur le choix du temps quil
consacre chacune des salles. Il lui appartient ds lors de ralentir lorsquun sujet
retient davantage son attention, sans pouvoir mesurer son intrt relatif. De ce fait,
son temps rsiduel nest plus maitris. Lheure de fermeture rappellera lordre le
visiteur dmuni dobjectif. Un premier tour, juste destin classer les diffrents
objets du muse ou de lexposition par ordre dimportance dgressive, permettrait

80

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


daccorder chaque sujet dintrt une part du temps global dvolu la visite. La
premire approche globale donne une vue densemble, et elle permet dorienter la
suite de la dmarche en fonction de lintrt du visiteur. La dmarche de lauditeur
obit aux mmes principes.
Lapproche analytique prcde ltude dtaille de ces procdures.
Ltude doit tre mene en deux temps :
-macro description de lapplication
-recherche des points forts, suivie de lanalyse dtaille des zones risques non
couvertes par des points forts.
Les moyens de ralisation de la macro description sont les entretiens, la prise de
connaissance ou llaboration dun schma densemble de lapplication, le
recensement des principaux fichiers utiliss et tats produits essentiels. Les auditeurs
tablissent un tableau de recoupement des diffrents tats entre eux, afin de sassurer
que les totaux significatifs concordent.
A titre dexemple, le chiffre daffaire nest pas toujours homogne sur diffrents tats,
selon quils prennent en compte ou non :

Les ventes lexportation

Les ventes au comptant

Les ventes directes, sans commissionnement du reprsentant

Les livraisons de marchandises en dpt

Certaines remises diffres

Les gratuits

81

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


Les demandes dexplication sur les ventuels carts sont gnralement trs
instructives et parfois rvlatrices de disfonctionnement.


Etude dtaille

Toujours dans la logique de lapproche par les risques, ltude dtaille sera
particulirement cible sur les zones risques rvles par lapproche globale. Le but
de la dmarche est de confirmer ou dinfirmer les risques pressentis. Les moyens
dinvestigation demeurent analogues.
La prise de connaissance dtaille seffectue par entretiens, par recueil de schmas
et revue de documentation. Les auditeurs formalisent leur travail par llaboration
dun schma gnral de lapplication conforme leurs besoins, et dune description
de lapplication plus dtaille sur les points sensibles.


Critres de qualit

Pour tre de qualit, une application informatique doit possder certaines


caractristiques premires. Elle doit tre

conforme aux besoins

exempte de disfonctionnements

contrlable et contrle

Derrire ces termes trs gnraux, la qualit dune application informatique


sapprcie laide des critres beaucoup plus prcis.
Application conforme aux besoins
La conformit dune application informatique aux besoins ne sanalyse pas comme
la simple facult de grer les fonctions attendues. Il faut galement que cette
application comporte :
82

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Une prsentation des rsultats exploitables

Une maille danalyse adapte

Une priodicit matrise

Un dlai de diffusion correcte

La couverture des besoins ncessite que toutes les oprations courantes fassent
lobjet de transactions bien adaptes. Les auditeurs tablissent une liste des
transactions conomiques possibles. De leur ct, les auditeurs plus spcialiss en
informatique dressent linventaire des transactions informatiques offertes aux
utilisateurs. Ces deux inventaires sont ensuite rapprochs.
Cela permet dune part de dterminer de quelle manire sont traites les
transactions conomiques non prvues par lapplication, et dautre part danalyser
quoi peuvent servir les transactions informatiques dont lutilit ne semble pas
justifie par un fait conomique.
Pour tre exploitables, il faut que les rsultats prsents fassent tat dinformations
compltes, suffisantes et significatives. Il faut galement que lordre de prsentation
des informations obisse une certaine logique. A titre dexemple, que dire dune
application de gestion commerciale qui ne traiterait pas :
o Toutes les factures
o Tous les avoirs de retour de marchandises
o Tous les avoirs
o Toutes les sorties de stock sans facture, quel quen soit le motif
La maille danalyse est adapte ds lors que linformation est prsente avec le
niveau de dtail suffisant. Il est galement ncessaire que les diffrentes totalisations
soient significatives et se recoupent entre elles. Enfin et surtout, il faut que le
chemin de rvision demeure explicite.
83

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


La priodicit est rellement matrise lorsque les rsultats sont bien le reflet de
lintgralit des oprations dune priode bien dfinie. Les oprations qui ne
correspondent pas la priode de rfrence doivent tre isoles et ces encours
matriss, cest le cut-off . Les oprations enregistres avec retard, comme les
oprations rtroactives, doivent pouvoir tre distingues en permanence.
Le dlai de diffusion doit tre conforme aux besoins des utilisateurs, cohrent avec
les autres rsultats, et effectivement respect. Les rsultats qui ne sont pas produits
aux dates voulues perdent une grande partie de leur intrt.
Application exempte de disfonctionnement
Une application informatique est exempte de disfonctionnement lorsquelle ne fait
pas tat doprations non faites, mal faites ou prises en compte hors dlai.
Il est relativement ais de relever les traitements mal faits ou faits hors dlai, car il
existe des manifestations de ces disfonctionnements, que les auditeurs diligents
doivent logiquement dcouvrir en appliquant avec rigueur la mthodologie
propose. Parfois, les traitements mal faits ou raliss hors dlai peuvent avoir une
incidence sur les critres dvaluation dune application informatique, expose
ci-aprs.
Le non fait est beaucoup plus difficile percevoir, car il ne prsente pas de
manifestation qui conduise lidentifier.
Avant daborder laudit dune entreprise, les auditeurs doivent se documenter sur
le secteur conomique en question. Ils ralisent ainsi linventaire de ce qui est
normalement attendu dans lentreprise audite.
La prise de connaissance du domaine se fait gnralement partir douvrages de
rfrences, ou par entretiens avec des personnes ayant lexprience souhaite.
84

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


Linformation ncessaire doit se trouver logiquement dans le dossier permanent,
dment mis jour et complt au fil des interventions.
Application contrlable et contrle
Pour prouver sa qualit, une application informatique doit non seulement pouvoir
tre contrle, mais ce contrle doit sexercer effectivement plusieurs niveaux. Le
contrle seffectue :
-par le logiciel lui-mme, cest son propre contrle interne
-Par le service informatique, qui vrifie la bonne excution
-Par les utilisateurs, pour apprcier la bonne fin des traitements,
-Enfin par les auditeurs, quils sagissent dauditeurs internes ou externes
Le contrle interne propre lapplication informatique gagne tre intgr ds la
conception de lapplication. Il sapplique notamment au contrle des saisies, au
comptage des oprations, la cohrence des totaux, la permanence du chemin de
rvision. Le contrle interne permet galement de suivre lvolution de lapplication,
en mmorisant les modifications successives qui lui sont apportes.
Un des rles essentiels du contrle interne de lapplication est le contrle daccs,
qui dfinit les diffrents profils utilisateurs, pour autoriser ou non lemploi de
certaines transactions. Si le contrle du paramtrage nest pas rigoureux, il devient
presque impossible de sassurer de la permanence des mthodes, sauf vrifier
lintgralit des oprations, cest le full audit . Le plus souvent, cette vrification
exhaustive est ralise laide de tests informatiques.
Le secteur production du service informatique ne saurait se contenter de lancer les
traitements informatiques en temps diffr, ni de mettre les applications
85

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


informatiques en temps rel la disposition des utilisateurs. Il doit donc exercer un
contrle de qualit, et dispose souvent dune cellule spcialise dont cest la fonction.
La vrification de bonne fin des traitements conduit contrler la concordance des
totaux et le suivi en volume des oprations traites. Au sein du service informatique,
une des meilleures mesures de contrle interne consiste en une bonne sparation des
fonctions entre les domaines de production et de contrles des rsultats.
Les utilisateurs ne doivent pas accepter passivement les rsultats qui leur sont
fournis. Il leur appartient de vrifier que ces rsultats sont conformes aux entres,
quils sont cohrents et quils sont produits dans des dlais acceptables. Les
utilisateurs doivent galement vrifier le respect des priodes traites.
Malheureusement, force est de constater que les utilisateurs abandonnent le plus
souvent ces vrifications au fil du temps, du moment que le service rendu semble de
qualit. Ds lors, ils ne ragissent plus quen cas de dysfonctionnement apparent.
Chacun doit pourtant assurer un minimum de contrles son niveau et formaliser
ces vrifications.
Enfin les auditeurs sassurent leur tour que lapplication informatique quils
contrlent est bien conforme aux besoins, exempte de dysfonctionnement, et
effectivement contrlable. Un examen men par les auditeurs peut mettre en relief
des carences auxquelles les oprationnels se sont habitus. Que les auditeurs soient
internes ou externes lentreprise, ils doivent tenir compte des mesures de contrle
intgres au systme, et ne pas mener leurs vrifications comme si ces mesures
nexistaient pas.

86

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier




Tests dexistence et de permanence

Aprs la phase de prise de connaissance, les auditeurs effectuent les indispensables


tests dexistence et de permanence. Ils nont pas vocation confirmer les chiffres
produits, linstar dun sondage sur un chantillon rduit. Ils ont pour unique
objectif de sassurer de la ralit et de la qualit des procdures dcrites.
Pour sassurer de la ralit des procdures, ces tests nont pas besoin dtre
nombreux, mais doivent valider chacune des branches et des tapes successives de la
procdure contrle.
Toujours sans tre trs nombreux, ces tests sont rpts diffrentes priodes de
lexercice comptable, pour vrifier leur permanence dans le temps. De manire
gnrale, ces tests de permanence sont positionns en dbut et en fin dexercice.
Le plus souvent, ces tests dexistence et de permanence demeurent manuels,
puisquil sagit de vrifications ponctuelles.


Critres dvaluation

Finalement les critres dvaluation dune application informatique servent


sassurer que cette dernire tient effectivement des buts de contrles habituels
daudit. Le fait quune procdure soit fortement informatise ou non est sans
incidence sur les objectifs de vrification.
La dmarche des auditeurs consiste se forger une opinion fonde sur le respect
des buts de contrle daudit, limits au nombre de sept qui veulent que la
comptabilit fasse tat :
o doprations relles
o concernant bien la socit

87

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


o sans oubli
o sans double emploi
o

correctement imputes

o pour le bon montant


o dans la bonne priode de rfrence
Les deux premiers buts de contrle concernent la matrialit de lopration, les
deux suivants sont relatifs lexhaustivit des oprations. Les deux buts de
contrle qui suivent concernent laspect technique de la comptabilisation. Enfin
le dernier but de contrle est le positionnement dans le temps de lopration.
La logique et lexprience montrent que tout autre critre rejoint les prcdents.les
sept buts de contrle sont les seuls critres que les auditeurs doivent prendre en
considration pour valider les comptes qui lui sont soumis.


Synthse de la couverture des risques

La synthse de la couverture des risques fait lobjet dun tableau, qui prsente en
regard de chaque but de contrle, le mode de prvention et de correction de ces
erreurs.
Ce tableau de synthse de la couverture des risques est un document interne. La
dernire colonne, baptise index, permet de noter la rfrence des documents de
travail qui ont conduit au tableau de synthse.
Souvent, le tableau de synthse de la couverture des risques est valid avec
lentreprise audite.
Ds lors, il est difficile de ne pas les communiquer, dautant plus que ces tableaux
matrialisent bien la dmarche daudit, et sont aucun doute la concrtisation de la
prestation rendue.
88

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

1-6 Approche par les rsultats


Par opposition lapproche par les systmes, qui porte un jugement sur la qualit
des procdures concourant la production des rsultats, lapproche par les rsultats
est en fait un examen analytique des rsultats produits pour se forger une opinion
sur leur qualit. La certification des comptes en milieu informatis fait appel des
tests informatiques pour sassurer de la qualit des rsultats produits. Ces tests sont
galement appels tests informatiques daudit financier.


Principes et objectifs :

En rgle gnrale, les tests informatiques sont mis en uvre en labsence de points
forts, donc l o il existe des risques potentiels. En plus de cet usage principal, les
techniques utilises pour les tests informatiques peuvent galement servir
amliorer la productivit du travail des auditeurs, en leur prsentant linformation
sous une forme ou selon des critres mieux adapts pour mener leurs diligences.
Le principe des tests informatiques est dutiliser les fichiers de lentreprise audite,
ou une copie de ces fichiers, pour effectuer des traitements de contrle. Les auditeurs
utilisent pour cela des outils informatiques adapts, dont la mise en uvre obit
des principes dsormais connus. Enfin, le choix de la mthode est dterminant en
fonction des rsultats recherchs.


Mthodologie

Les tests informatiques servent raliser des contrles vrais, des contrles de
cohrence, des recherches dexception. Ils servent galement prsenter les donnes
dans un ordre destin aider les auditeurs.

89

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


Contrles vrais
Un contrle vrai consiste rapprocher linformation vrifier dun rfrentiel
extrieur ou situ en amont dans la chane logique. Les contrles de rapprochement
de donnes issues de la mme saisie ou du mme traitement ne sont pas des
contrles vrais.
La vrification de lexistence dun titre de placement dans une base de donnes
externe est un contrle vrai. Dans ce cas le rfrentiel, extrieur et indpendant, a t
cr hors de la chane logique.
A linverse, il est insuffisant de rapprocher les salaires pays au personnel et
constats en charges avec la dclaration des salaires pays. Les informations qui ont
servi produire ces rsultats sont gnralement les mmes. Dans ces conditions, il
sagit dune fausse redondance, en aucun cas dun contrle vrai.
Contrles de cohrence
Lobjectif des contrles de cohrence est de comparer la conformit de rsultats,
obtenus partir dune mme saisie, mais laide de traitement diffrents. En rgle
gnrale, ces contrles ne prouvent que la qualit des traitements, pas celle des
donnes.
Les contrles de cohrence sont frquemment utiliss dans les traitements intgrs.
Ils sont galement utiles pour prouver le bon fonctionnement du dversement
dinformations entre applications indpendantes.
La comparaison des totaux du journal de paye, tablis par lapplication de paye,
avec les totaux du journal de paye de la comptabilit gnrale prouvera que la
centralisation des informations sest droule de manire correcte.

90

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


Recherche dexceptions
Les techniques utilises pour les tests informatiques sont souvent employes pour
classer les oprations selon certains critres, ou pour rechercher des oprations
atypiques.
Le travail des auditeurs est grandement facilit si les oprations leur sont
prsentes dans un ordre dtermin, comme un classement par valeur dgressive ou
par antriorit.
Les inventaires sont le plus souvent prsents par famille de produit, puis par
articles. Prenons lexemple dun inventaire que les auditeurs ont souhait prsent
ainsi :

Les cent plus grandes quantits par ordre dgressif,

Les cent plus grandes valeurs par ordre dgressif,

Les cent plus petites quantits par ordre progressif,

Les quantits ngatives,

Les quantits nulles.

Les quantits manifestement trop importantes se retrouveront en tte du tri. Il peut


sagir derreur de conditionnement, les emballages groups tant dcompts comme
articles, et comme des paquets unitaires. A son tour, lexamen de linventaire par
valeur dgressive permet aux auditeurs de concentrer leurs travaux sur les lments
les plus significatifs, et couvrir ainsi une plus grande partie de la valeur du stock. Les
quantits ngatives peuvent soit tre des erreurs, soit rvler une mauvaise
procdure qui conduit enregistrer le sortie dune marchandise avant son entre.

91

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


Lexamen de crances ou de dettes ventiles par antriorit conduit galement les
auditeurs orienter leurs travaux vers les cas sensibles, o le risque, est
probablement le plus fort.
La recherche dexception est galement une aide prcieuse pour les auditeurs. Ces
exceptions peuvent tre :

Des doublons ;

Des manquants ;

Des valeurs ou dates hors fourchette prvue ;

Des variations au-del dun seuil donn ;

Des oprations contre courant ;

Des contreparties anormales.

Supposons que lont veuille sassurer que lon na pas pay deux fois la mme
facture. Il est possible de parcourir le fichier des achats de lexercice ou dune priode
plus restreinte en recherchant les oprations concernant un mme fournisseur, pour
un mme montant. Une fois ces oprations isoles, il devient facile de sassurer quil
sagit doprations justifies ou non.
Lanalyse des oprations contre courant est facilit lorsque ces dernires sont
isoles sur des listes par nature, comme par exemple :

Les avoirs marchandise avec remise en stock,

Les avoirs marchandise sans remise en stock,

Les avoirs financier, par code motif sil existe,

Les retours sans avoir,

Les valeurs hors date permettent souvent de faciliter le contrle du respect des
priodes. Les contreparties anormales sont gnralement rvlatrices du non- respect
de la procdure prvue.
92

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


Travaux daide la rvision
Bien que proches de la recherche dexceptions, ces travaux nont pas pour objectif
de rvler directement des anomalies, mais de faciliter les travaux des auditeurs. Ils
permettent notamment de :

Editer le chemin de rvision,

Regrouper des lments provenant de plusieurs fichiers distincts,

Classer les oprations dans lordre de leur archivage,

Calculer les variations dun exercice par rapport au prcdent,

Effectuer des rapprochements, comme les rapprochements bancaires,

Crer des chantillons et procder des slections alatoires.

Ce dernier cas est de moins en moins utilis, puisque lutilisation de tests


informatiques permet de traiter lintgralit dune population. Dans ce cas, pourquoi
vouloir raliser des traitements plus restrictifs, qui dailleurs ne savreront pas
ncessairement plus conomiques.
Enfin, la possibilit de refaire certaines tches, comme les rapprochements
bancaires laide doutils informatiques, rduit les incertitudes qui peuvent peser sur
ces travaux sensibles. En dehors de doutes srieux sur la qualit des rapprochements,
ce type de diligence tait rarement entrepris manuellement, en raison de la charge de
travail correspondante.


Outils informatiques

Les outils informatiques utiliss pour raliser ces tests informatiques sont
nombreux et le choix de loutil le mieux adapt nest pas toujours simple. Parfois, on
utilise successivement plusieurs des outils informatiques disponibles. Les logiciels
utiliss sont le plus souvent :

93

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Les progiciels spcialiss daudit,

Les progiciels classiques dinterrogation,

Les logiciels utilitaires fournis par les constructeurs,

Les outils micro-informatiques

Le dveloppement de logiciels spcifiques spcialement destins laudit est de


plus en plus exceptionnel. Il ne sapplique qu des cas bien cibls, lorsque lon a
atteint la limite des autres moyens et que le risque pressenti justifie cette dmarche,
toujours trs onreuse.


Mise en uvre

La mise en uvre des tests informatiques doit respecter une certaine procdure. En
premier lieu, lobjectif de la diligence doit tre clairement dfini par le responsable de
la mission daudit et conforme la dmarche adopte.
Le choix de la mthode appartient aux auditeurs plus spcialiss en informatique,
qui ont pralablement pris connaissance des conditions dans lesquels les tests
informatiques pourraient tre raliss. Il leur faut installer les logiciels requis, sils ne
sont pas disponibles de faon permanente. Il leur appartient ensuite didentifier les
fichiers ncessaires et den obtenir la copie, pour les rendre exploitables dans
lenvironnement de test.
Cest ce moment que dmarre la boucle de test, car il sagit dune dmarche
itrative, qui ncessite la prsence permanente dune quipe mixte :

Rdaction de la requte dans le langage attendu,

Traitement des difficults techniques,

Prise en compte des contraintes comme des opportunits,

94

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Vrification de lemploi du bon fichier par totalisation de contrle,

Traitement et sortie des rsultats.

Vraisemblablement, les rsultats ne donneront pas satisfaction ds le premier tour.


Il faudra sans doute modifier la requte et relancer le traitement. Cest bien une
dmarche itrative. La prsence du responsable de laudit est indispensable ce
niveau, si lon dsire relancer le traitement immdiatement aprs les modifications
rendues ncessaires. La boucle de test prendra fin ds que les rsultats obtenus
seront exploitables. Il importe alors de conserver le traitement et de constituer un
dossier pour une prochaine utilisation.
Les difficults techniques sont nombreuses et souvent lies lorganisation des
fichiers (bases de donnes, fichiers de longueur variable, formats de donnes
condenss, etc.). Dautres difficults peuvent provenir de linsuffisance des
ressources disponibles.
La prise en compte dopportunits peut savrer trs positive. Ainsi, avant
deffectuer un travail danalyse des avoirs, les auditeurs ont examin le fichier
informatique dans lequel figuraient les avoirs. A cette occasion, ils ont dcouvert la
prsence dun code motif de lavoir.
Dans dautres cas, les auditeurs tentent dutiliser une codification quils croient
pertinente comme critre danalyse, mais cette dmarche savre strile ds lors que
la codification sollicite na pas t applique avec la rigueur voulue. Ce cas de figure
se rencontre relativement souvent lorsque la codification prvoit une rubrique
divers , et que cette dernire est utilise abusivement ou par dfaut.
Enfin, certaines pratiques perverses et anormales peuvent rendre beaucoup plus
complexe le travail des auditeurs. Ainsi la cration dun avoir, suivi de la gnration
95

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


dune nouvelle facture dun montant quivalent, permet de masquer lantriorit des
factures dorigine. Lavoir simpute naturellement sur les crances anciennes et la
nouvelle facture fait tat dune crance rcente.


Exploitation des rsultats

La fin des tests informatiques est matrialise par la rdaction dun compte- rendu
crit, rdig en termes comprhensibles par tous les intresss. Ce document rappelle
lobjectif poursuivi, dcrit les rsultats et donne les conclusions de ces tests.
Au plan technique, ce compte-rendu dcrit les conditions de droulement des tests,
et signale les difficults rencontres. Il fait part de tous les faits significatifs
susceptibles de faciliter un nouvel emploi de ces tests. Enfin ce document fait tat des
temps passs par les auditeurs et des ressources informatiques consommes.

96

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Section 3 : Obtention dlments probants


Lobtention dlments probants sur les comptes est effectue sur la base de
lvaluation des risques, afin de pouvoir aboutir des conclusions fondant
lmission de lopinion.
Si lapprciation du contrle interne est mene tout au long de lexercice, lobtention
dlments probants au moyen de contrles substantifs intervient dans la priode de
clture des comptes.
La norme prcise ce qui suit :
Les objectifs daudit restent identiques, que les donnes comptables soient traits
manuellement ou par informatique. Toutefois, les mthodes de mise en uvre des
procdures daudit pour runir des lments probants peuvent tre influences par le
mode de traitement utilis. Le commissaire aux comptes peut appliquer des
procdures daudit manuelles, des techniques assistes par ordinateur, ou combiner
les deux pour rassembler suffisamment dlments probants. Toutefois, dans
certains systmes comptables utilisant un ordinateur pour traiter des applications
importantes, il peut tre difficile, voir impossible, pour le commissaire aux comptes
de se procurer certaines donnes des fins dinspection, de vrification ou de
confirmation externe sans utiliser linformatique .

1-1 Lien avec les obligations lgales du commissaire aux comptes


Aprs avoir effectu les contrles substantifs ncessaires et disposant des lments
probants suffisants et appropris recherchs, le commissaire aux comptes peut
mettre une opinion sur les comptes de lentreprise. Cette opinion est fonction
notamment du caractre significatif des anomalies ventuellement releves.

97

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


Le commissaire aux comptes dtermine galement limpact des conclusions de ses
travaux sur les autres aspects de la mission, tels que linformation des dirigeants ou
de lorgane de direction.

1-2 Emission de lopinion sur les comptes


Les travaux d'audit des systmes d'information peuvent mettre en vidence des
anomalies, insuffisances ou ajustements qui auront un impact sur l'opinion du
commissaire aux comptes. Les lments probants recueillis permettront d'alimenter
le rapport gnral sous forme d'observations, de rserves ou de refus de certifier les
comptes ou de mentions dans la deuxime partie du rapport gnral.
Exemples danomalies lies aux contrles applicatifs, identifies lors de lvaluation
des systmes comptable et de contrle interne, qui pourraient avoir une incidence sur
l'opinion du commissaire aux comptes :

Oprations ou montants significatifs non transmis par une interface entre


deux applications et qui n'ont pas t enregistrs en comptabilit,

Identification d'une anomalie significative lors de l'analyse d'un fichier


informatique (provision mal calcule, erreur de valorisation des stocks, ),

Absence ou erreur dans la mise jour du rfrentiel dune application


(exemples : ventes, paie),

Absence d'archivage des donnes et/ou programmes impliquant un risque


significatif de taxation d'office en cas de contrle fiscal (loi sur le contrle fiscal
informatis),

Absence de procdure de sauvegarde des donnes et/ou programmes


impliquant un risque de perte financire en cas de sinistre majeur (incendie,
acte de malveillance, intrusion, ),
98

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Contrle interne dficient ou absent, au sein d'une application qui gre un


processus majeur de l'entreprise,

1-3 Information des dirigeants ou de l'organe de direction


Une meilleure connaissance du contrle interne, notamment du point de vue
systme d'information, permet de relever des faiblesses ou anomalies qui devront
tre communiques aux dirigeants.
Les remarques du commissaire aux comptes concernant le systme d'information
de l'entreprise sont porteuses d'une forte valeur ajoute qui intresse les dirigeants.
En outre, l'information des dirigeants, leur permettra de mettre en uvre des
solutions palliatives, correctives de faon traiter le plus rapidement possible les
faiblesses en matire de contrle interne.
Toutes les faiblesses lies une dfaillance ou une absence de contrle interne
identifies lors de la revue gnrale informatique ou de la revue d'application
peuvent et doivent dans certains cas, tre signales aux dirigeants.

99

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Conclusion de la deuxime partie


Pour mener bien leurs missions dans un milieu informatis, les auditeurs
financiers doivent matriser les systmes dinformation. Ces derniers sont de plus en
plus complexes et diversifis.
En effet, la prsence des systmes dinformation a un impacte significatif sur les
diffrentes phases de la mission :
*La prise de connaissance,
* Lapprciation du contrle interne,
*Et lobtention dlments probants.
Face un contexte caractris, entre autres, par la dmatrialisation des
informations et lautomatisation des contrles, il est de plus en plus difficile pour les
auditeurs financiers de forger leur opinion sans une approche approfondie du
systme informatique. Il leur appartient donc dadopter une dmarche adapt ce
nouveau contexte. Sans oublier tout de mme quils doivent disposer des
qualifications et aptitudes ncessaires pour la bonne conduite de leur mission.

100

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Conclusion
Les systmes dinformations sont devenues lune des proccupations majeures des
entreprises et ce, compte tenu des phnomnes de globalisation et de libralisation
ainsi que lmergence dune nouvelle conomie. Ils irriguent tous les services des
entreprises. Ils constituent des leviers stratgiques qui accompagnent les entreprises
dans leur mise niveau et leur dveloppement.

Cependant, la forte intgration des systmes dinformation dans le processus de


traitement des entreprises cause de nouveaux risques celles-ci.

Lauditeur, qui est tenu de forger une opinion sur la fiabilit de linformation
comptable et financire issus directement de ces systmes, se trouve alors confront
la complexit et la diversit des systmes dinformation.

Il en rsulte que lauditeur va prouver de plus en plus de difficults forger son


opinion sans une approche approfondie des systmes dinformations, il est donc
amen apprcier la fiabilit du fonctionnement du systme dinformation dans
lentreprise. Une nouvelle dmarche daudit comptable et financier doit donc tre
propose pour la comprhension et lvaluation des systmes dinformations.

Mais cette nouvelle dmarche nest pas sans soulever des problmatiques
particulires, notamment en termes de formation et de sensibilisation des auditeurs

101

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


du cabinet, de documentation des travaux daudit. Cest lensemble de lorganisation
de la mission de lauditeur qui doit tre repens.

Heureusement, lauditeur va pouvoir disposer lui aussi lavenir de moyens


performants pour vrifier le fonctionnement des systmes dinformation, en utilisant
les fonctions daudit intgres dans des logiciels et en employant des logiciels daudit
spcialiss.

Dans ce cas lavenir reposera-t-il sur le dossier lectronique du commissaire aux


comptes? Sans doute en partie, mais lhomme et son jugement professionnel reste
indispensable.

102

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Bibliographie
Ouvrages

Les techniques de laudit informatique, Yann Derrien, Edition


Dunod ,1992
Stratgie applique laudit des systmes dinformation , Alphonse
Carlier, Edition Lavoisier , 2006
Audit et certification des comptes en milieu informatis , Jean Paul
Lamy, les
ditions d'organisation ,1996
Audit comptable -Audit informatique , Hugues Angot - Christian
Fischer- Baudouin Theunissen, Edition Boeck-Wesmael , 1994
L'audit informatique , Marc Thorin, Editions Hermes sciences
publication ,
2000
Systme dinformation et management des organisations , Robert
Reix, Edition Vuibert ,2004
Performance du systme dinformation , Yves Caseau, Edition
Dunod ,2007
Scurit des systmes dinformation , Donald L Pipkin, Edition
Pearson Education 2000
Audit & gestion stratgique de linformation, Pierre Morgat , Les
ditions
Dorganisation ,1995
Audit et contrle interne Aspects financiers oprationnels et
stratgiques, Lionel
Collins Grad Valin, Edition Dalloz ,1992

103

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Guide
I.S.A.C.A. Guide cobit : Third edition
Guide CNCC : Prise en compte de lenvironnement informatique et
incidence sur la dmarche daudit, Collection guide dapplication,
dition avril 2003

Mmoires
-Extraction et Exploitation des donnes du systme dinformation dans
le cadre du commissariat aux comptes : Mthodologie et outils, RIVIERE
Benot-Ren, Mai 2008
Rvision dans un environnement informatis : Proposition dune norme
daudit pour le commissariat aux comptes : Leila Falaki, Novembre 2003
Informatisation de la mission daudit comptable et financier,
Abdelhakim Soudi, 2005

104

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

Webographie
http://www.scribd.com/doc/4062787/auditcomptableetfinancier
http://books.google.fr/books?id=GQsPSA2JKoC&pg=PA13&lpg=PA13&dq=audit+informatiqu
e%2Bm%C3%A9moire&source=bl&ots=66fMN9R989&sig=jmToo46UMqpbzE6xb1HYa6mnwS
A&hl=fr&ei=IGXySfmWIcSK_QaLjoXSCQ&sa=X&oi=book_result&ct=result&resnum=3#PPA28
8,M1

http://209.85.129.132/search?q=cache:pbMiBqRzSeUJ:concours.eco.univrennes1.fr/capet/sujets/suj_orl/Option%2520B/sysinfo.htm+les+vuln%C3%A9rabilit%C3%A9
s+dans+les+syst%C3%A8mes+d%27information&cd=85&hl=fr&ct=clnk&gl=fr
http://books.google.fr/books?id=F3fwtdWLTZQC&pg=PA590&lpg=PA590&dq=les+vuln%C3%
A9rabilit%C3%A9s+dans+les+syst%C3%A8mes+d%27information&source=bl&ots=jLl6smA6u&sig=fgAkn0GohF1knW6y1axLHcN3FXQ&hl=fr&ei=v8SStiFLYaU_Qa_xMC0Dw&sa=X&oi=bo
ok_result&ct=result&resnum=7#PPA59,M1

http://books.google.fr/books?id=yRU9eq0RVuoC&pg=PA118&lpg=PA118&dq=les+risques&s
ource=bl&ots=pVqQjpt2__&sig=cV7BSrf8EjplDxivXrz5JoWhSQ&hl=fr&ei=Kg8TSrjIE5qN_AaPy
NmfDw&sa=X&oi=book_result&ct=result&resnum=9#PPA9,M1

105

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

LEXIQUE DU SYSTEME
DINFORMATION
Linformatique est dfinie par le dictionnaire de la langue franaise comme suit :
Science et technique du traitement automatique de linformation au moyen des
Ordinateurs . En effet, cest un ensemble doutils et de mthodes qui permettent de
saisir, stocker et changer les donnes, et de traiter ces dernires afin dobtenir des
rsultats pertinents un problme donn ;

Le systme dinformation (SI) est constitu d'un ensemble de moyens, de


ressources et d'lments organiss en vue de recueillir, traiter, stocker et diffuser
linformation. Cest un ensemble complexe, souvent htrogne car constitu
d'lments qui se sont juxtaposs au fil du temps au gr des choix stratgiques, des
volutions technologiques des systmes informatiques en place, et du
dveloppement de l'organisation elle-mme.

Laudit informatique est effectu par une ou des personnes indpendantes internes
ou externe lentreprise, en vue de donner une assurance sur la ralisation des
objectifs du contrle interne de la fonction informatique, et des conseils visant
amliorer le fonctionnement des systmes dinformation.

Laudit comptable et financier est dfini par le manuel des normes professionnelles
marocaines, comme une mission ayant pour objectif de permettre lauditeur
d'exprimer une opinion selon laquelle les tats de synthse ont t tablis, dans tous
leurs aspects significatifs, conformment un rfrentiel comptable identifi et quils
traduisent dune manire rgulire et sincre la situation financire de la socit,
ainsi que le rsultat de ses oprations et les flux de sa trsorerie.

Application
Programme contenant les traitements appliquer aux donnes dentre (input) pour
obtenir un rsultat dsir (output).

106

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier

ERP : il sagit dun ensemble de modules structurs autour d'une base de donnes
unique et couvrant l'ensemble des domaines fonctionnels de l'entreprise, de la
gestion de production la gestion financire.

Base de donnes (Database)


Logiciel qui permet de stocker, classer, retrouver des donnes, et de raliser des
calculs sur ces donnes.

Commerce lectronique (Electronic Commerce)


Ralisation du processus de la relation commerciale par voie lectronique (rseau,
ordinateurs) : prsentation des produits, prise de commande, paiement, gestion de la
logistique de livraison. Dans le cas des documents ou des logiciels, la livraison ellemme peut se faire par voie lectronique

Donne Data Une donne, cest un couple logique form par (a) une dfinition, (b) la
spcification dune mthode de mesure, dobservation ou de calcul (" Mtadonne").
Raliser la mesure (ou lobservation pour les donnes qualitatives ou le calcul pour
les donnes agrges) permet de connatre la valeur prise par la donne dans un
contexte particulier (lieu, date).

EDI (Echange de donnes informatises) (Electronic Data Interchange)


Communication entre applications informatiques dentreprises diffrentes ou non,
par le moyen de messages dont le format et le codage auront t fix par un accord
dinterchange. La norme Edifact dfinit le format gnral des messages. LEDI facilite
les changes rptitifs dinformation (commande, facture, etc.) entre un fournisseur
et un client assidu. L " EDI-ouvert " procure une norme pour dcrire les rles de
diverses entreprises dans les montages complexes dingnierie daffaire, et garantit
que leurs applications sont capables de communiquer par messages EDI.

Extranet
Mise en rseau de plusieurs entreprises qui connectent leurs Intranets. LExtranet est
le moyen idal pour les relations avec les partenaires, fournisseurs et clients.

Information
Une information, cest une donne observe par un acteur que cette donne intresse.
107

Anne universitaire 2008-2009

Audit des systmes dinformations : Approche dans le cadre daudit financier


Lobservation par un acteur implique la comparaison au moins implicite dautres
donnes, car sans comparaison il ny a pas dinterprtation possible. Passer du rang
de donne celui dinformation suppose que la connaissance de la donne contribue
laction de celui qui lobserve : la notion dinformation recle donc un ct subjectif
et un ct objectif.

Interface
Mise en forme des donnes permettant leur passage dune tape lautre du
traitement. Equipement assurant la transcription des donnes dun langage dans un
autre. Linterface homme-machine assure la communication entre lhomme et
lordinateur grce des supports (cran, clavier, haut-parleurs) accessibles aux sens
de ltre humain. Linterface graphique (Graphical User Interface ou GUI), qui
permet dafficher et de crer des images, fait partie de lergonomie standard en 1997.

Internet
Rseau dinterconnexion dordinateurs utilisant le protocole de transmission de
donnes TCP/IP (qui permet aussi le transfert des images, fixes ou animes, et du
son).
Efficace, robuste et peu coteux grce aux qualits de TCP/IP, lInternet a t dabord
utilis par des chercheurs, puis a servi de support des services devenus populaires
(messagerie, forums, Web, commerce lectronique, tlchargement de logiciels) qui
ont fait de lui un phnomne de socit. Cest dsormais le rseau mondial de
communication lectronique.

Intranet
Utilisation de lInternet des fins internes une entreprise. LIntranet permet
lentreprise de bnficier de lconomie dchelle acquise par les logiciels sur
lInternet, et doutils de dveloppement orients-objet comme Java. On peut raliser
maintenant sur lIntranet la totalit des applications de groupware. LIntranet
ncessite toutefois une administration soigneuse des droits daccs, et la mise en
place de " Firewalls " pour protger les donnes de lentreprise.

Micro-ordinateur (Micro Computer)


Ordinateur dont lunit centrale est constitue dun microprocesseur. Le
microordinateur contient dautres circuits intgrs ralisant des fonctions de
mmoire et dinterface.

Ordinateur (Computer)
Appareil lectronique capable de recevoir des donnes et dexcuter sur ces donnes
des instructions programmes lavance

108

Anne universitaire 2008-2009

Оценить