La démarche d’audit informatique proposée vient palier aux lacunes des démarches classiques en mesurant le degré de l’alignement stratégique du système d’information. Pour cela, on vérifie l’existence d’un tableau de bord général afin de contrôler la fonction informatique. Nous vérifions le type de la structure de l’organisation et le taux d’informatisation des processus clés pour contrôler les pratiques internes de gestion. Et nous optons pour une méthode de découpage des sys-tèmes d’information en sous-systèmes et métiers pour l’énumération précise des projets informatiques. Fina-lement, la démarche est illustrée par des livrables analy-sant un institut de l’enseignement supérieur.
1. Résumé
La démarche d’audit informatique proposée vient
palier aux lacunes des démarches classiques en
mesurant le degré de l’alignement stratégique du
système d’information. Pour cela, on vérifie
l’existence d’un tableau de bord général afin de
contrôler la fonction informatique. Nous vérifions le
type de la structure de l’organisation et le taux
d’informatisation des processus clés pour contrôler les
pratiques internes de gestion. Et nous optons pour
une méthode de découpage des systèmes
d’information en sous-systèmes et métiers pour
l’énumération précise des projets informatiques.
Finalement, la démarche est illustrée par des livrables
analysant un institut de l’enseignement supérieur.
Mots clefs : audit informatique, alignement
stratégique, système d’information, processus-clés
Abstract
The proposed a demarche of computer audit, which
comes landing to the gaps of the classical demarches.
By measuring the degree of the strategic adaptation of
the information system, by the existence of general
dashboard, in the objective of controlling the
computer function.
We verify the type of the structure of the organization,
and the rate of computerization of the Key processes
to control the internal practices of management.
And we opt for a method of division of the
information system, for an enumeration precise of the
computer projects.
Finally, we illustrate the steps of our demarche, by
available stemming from the application of our
demarche, in a postgraduate school
Key-words: audit, strategic alignment, information
system, key process
Une démarche d’audit
informatique.
A demarche of
computer audit
Mohamed Jaouad El Qasmi
Professeur habilité, ISCAE-Maroc,
Emj37@hotmail.com
Ounsa ROUDIES
Professeur
Ecole Mohammadia D’ingenieurs - Maroc
roudies@emi.ac.ma.
2. Une démarche d’audit informatique
1. Introduction
Depuis les années 70, l’intégration de l’informatique
dans les processus de l’entreprise est devenue un levier
de génération de croissance et un support pour la mise
en œuvre de la stratégie. Cette intégration a généré au
sein de l’entreprise, les risques informatiques qui sont
relatifs aux choix des structures d’organisation, aux
modes de fonctionnement et aux méthodes de
surveillance des activités du système d’information.
L’intégration de l’audit informatique au sein de
l’entreprise permet d’initier un processus ponctuel
visant à fournir une assurance raisonnable que les
objectifs de contrôle adéquats sont atteints, identifier les
faiblesses importantes des contrôles existants et en
évaluer les risques ainsi que de conseiller les
responsables sur les actions correctives. L’audit
informatique est un jalon de l’amélioration de la
maturité du système d’information de toute entreprise en
vue d’établir un équilibre entre les risques et les
bénéfices de l’informatique et d’assurer une
amélioration quantifiable, efficace et efficiente des
processus qui s’y rapporte.
Une revue de la littérature des démarches d’audit
informatique nous renseigne que l’objectif de ces
démarches est d’évaluer la qualité d’un système existant
et de décrire les mesures qui permettront de l’améliorer.
Les points de contrôle classiques sont le poste de travail
utilisateur, le système d’information et enfin la maîtrise
du système informatique des points de vue fonctionnel,
technique et économique. La difficulté de l’audit
informatique se matérialise à notre sens par des
questions simples, claires mais non évidentes :
• Comment contrôler rigoureusement la fonction
informatique ?
• Comment découper le système d’information
existant ?
• Comment cartographier les applications
informatiques ?
• Comment évaluer les choix et les
investissements informatiques ?
• Quels sont les critères de performance des
pratiques de gestion internes ?
L’informatisation des organisations ne signifie plus
seulement l’automatisation des activités tertiaires mais
également l’exploitation de toutes les ressources d’aide
de l’outil informatique l’exécution de ces activités.
Ainsi, le vrai rôle de l’informatique est-il de développer
une architecture du système d’information qui s’enracine
dans les processus opérationnels et qui supporte les
orientations stratégiques. L’audit informatique doit
commencer à notre sens par l’évaluation de cette
fonction informatique alors que la plupart des méthodes
d’audit informatique sont orientées vers une culture de
la gestion formelle des risques dans les entreprises.
L’objectif de notre recherche est la conception d’une
démarche d’audit informatique qui ne se limite pas au
système informatique mais qui s’étende à l’audit de la
conformité du système d’information aux orientations de
la stratégie globale de l’organisation. Nous proposons
aussi de vérifier la structure de l’organisation et le taux
d’informatisation des processus-clés afin de contrôler
les pratiques de la gestion interne, laquelle est toujours
absente dans les démarches classiques.
Nous optons pour une méthode de découpage des
systèmes d’information à deux niveaux en sous-systèmes
types puis en métiers d’entreprise type, afin d’obtenir
une cartographie précise des projets informatiques. Nous
avons expérimenté notre démarche sur le cas réel d’un
institut de l’enseignement supérieur.
La suite de cet article est structurée en 4 parties. Nous
commencerons en section 2 par l’analyse des méthodes
d’audit informatiques et la mise en évidence de leurs
lacunes. Se fondant sur les besoins identifiés, nous
décrivons ensuite en section 3 notre démarche. La
quatrième section est consacrée à l’illustration de cette
démarche. Et nous terminons par dégager une discussion
et des orientations pédagogiques en section 5.
2. Limites des méthodes d’audit
informatique
L’audit informatique est un examen discontinu d’un
système d’information informatisé et des structures qui
le mettent en œuvre, dans le but de proposer un plan
d’action pour en améliorer la qualité [Colleville, 2001].
Plusieurs méthodes permettent de procéder à de tels
audits. En France, les plus connues sont Mehari, créée
par le Clusif (Club de la sécurité des systèmes
d'information français), Ebios (de la Direction centrale
de la sécurité des systèmes d'information) et MV3 (de
CF6, racheté par Telindus). Citons également la
méthode anglo-saxonne Cobit pour ses capacités de
contrôle et de présentation de l'existant. Le rôle des
méthodes d'audit informatique consiste à mesurer les
pratiques de sécurité existantes puis à dresser
l'inventaire des risques qui pèsent sur l'activité de
l'entreprise. Ces méthodes parfois similaires, parfois
opposés, sont toujours complémentaires dans leur
approche, quand il s’agit de catégoriser les risques,
déterminer les menaces et d’identifier les anomalies
(tableau 1).
Nom Signification Origine Caractéristiques
1
3. Une démarche d’audit informatique
Cobit Control objectives for
information and related
technology
ISACA Méthode accessible à tous, dans un langage simple. Les outils
fournis permettent la mesure des performances mais la méthode
est aujourd’hui davantage assimilée à une méthode de
gouvernance des SI.
Ebios Expression des besoins et
identification des objectifs
de sécurité
DCSSI Notamment déployée au sein de l’administration française,
cette méthode comprend une base de connaissances et un
recueil de bonnes pratiques. Elle est téléchargeable sur le site
de la DCSSI et s’accompagne d’un logiciel.
Feros Fiche d’expression
rationnelle des objectifs de
sécurité
SCSSI C’est un document permettant à une autorité donnée (secteur
secret défense notamment) de définir le niveau d’engagement
de sa responsabilité dans l’application d’une politique de
sécurité.
Marion Méthodologie d’analyse de
risques informatiques
orientés par niveaux
CLUSIF Elle fonctionne par questionnaires débouchant sur 27
indicateurs répartis en 6 catégories. 2 phases (audit des
vulnérabilités et analyse des risques) permettent la définition et
la mise en œuvre de plans d’actions personnalisés.
Mehari Méthode harmonisée
d’analyse de risques
CLUSIF Elle s’articule autour de 3 plans. Permet désormais d’apprécier
les risques au regard des objectifs de l’entreprise.
Tableau 1. Caractéristiques de quelques méthodes d’audit
MEHARI s’articule sur trois plans :
• le plan Stratégique de sécurité qui fixe les objectifs
de sécurité et les indicateurs de mesure et
détermine le niveau de gravité des risques
encourus.
• les plans Opérationnel de Sécurité qui définit, par
site, les mesures de sécurité à prendre.
• le plan Opérationnel d’Entreprise axé sur le
pilotage stratégique et le suivi d’indicateurs clés.
La méthode EBIOS (Expression des Besoin et
Identification des Objectifs de Sécurité) qui a été
élaborée par la DCSSI (Direction Centrale de la Sécurité
des Systèmes d’Information), est particulièrement
déployée au sein de l’administration française. Elle
comprend une base de connaissances qui décrit les types
d’entités, les méthodes d’attaques, les vulnérabilités, les
objectifs de sécurité et les exigences de sécurité. Elle
propose également un recueil des meilleures pratiques
d’élaboration de schémas directeurs SSI, la rédaction de
profils de protection, de cibles de sécurité et de SSRS
(System-specific Security Requirement Statement) qui
proviennent de l’OTAN. Cette méthode se veut un outil
de gestion des risques mais aussi de sensibilisation, de
négociation et d’arbitrage.
La méthode COBIT (Control objectives for information
and technology) vient, quant à elle, de l’ISACA
(Information Systèmes Audit and Control Association).
Elle est diffusée en France par la branche française de
cette association : l’AFAI (Association Française de
l’Audit et du Conseil Informatique).
Concernant le référentiel Cobit version 4, la principale
difficulté de son application se matérialise par l’absence
d’une démarche de découpage du système d’information
en métiers d’entreprise. Ce référentiel découpe
n’importe quel environnement en quatre domaines de
management :
- Planification et orientation ;
- Acquisition et implémentation ;
- Distribution et support ;
- Et monitoring et évaluation.
Lorsqu’on détaille le processus de chaque domaine, on
se rend compte de la difficulté d’utiliser ce référentiel
pour gérer l’ensemble des métiers d’une organisation,
surtout ceux qui découlent de son activité. En effet, les
processus de Cobit touchent les niveaux de pilotage et
de support étroitement liés à la fonction informatique
dans son aspect technique, qui renseigne uniquement sur
ce que fait l’informatique, ignorant son aspect
managérial et qui renseigne sur sa raison d’exister, c'est-
à-dire supporter la stratégie et la prise de décision.
L’une des critiques majeures formulées à l’égard de ces
méthodes est leur incapacité de fournir des réponses à la
question pertinente suivante : y a-t-il un alignement
stratégique du système d’information par rapport à la
stratégie de l’organisation? En négligeant la dimension
stratégique de l’informatique, ces méthodes se
contentent de contrôler ce que fait l’informatique,
ignorant ce qu’il doit faire et quelle sera sa finalité,
comme outil d’aide à la décision, ceci est dû à notre
sens, à la définition même de l’informatique, puisque
plusieurs spécialistes le définissent comme étant une
science et un ensemble de moyens pour le traitement
automatique de l’information. Cette définition explique
les attributions de l’informatique dans une organisation,
mais ne renseigne jamais sur sa raison d’exister.
Les travaux de Simon dédiés à la prise de décision ont
redéfinit le rôle de l’informatique comme outil d’aide à
la prise de décision.
Selon Simon, l’homme a une rationalité limitée pour
prendre les bonnes décisions, puisque les individus
commettent des erreurs de jugement et n’atteignent pas
toujours les buts qu’ils se sont fixés : « la compétence
d’un individu, est liée à la fois à la quantité
d’informations contenue dans la mémoire à long terme,
mais surtout à sa capacité à utiliser mieux sa mémoire à
court terme, c'est-à-dire sa capacité à sélectionner les
informations les plus pertinentes compte tenu de
l’objectif fixé au traitement de l’information » (Simon,
1959). Simon se demande alors : « s’il est possible de
construire un outil qui rende compte des mécanismes de
prise de décision et qui puisse être descriptif,
analytique, opérationnel et testable. Grace à
2
4. Une démarche d’audit informatique
l’intelligence artificielle, l’informatique peut palier à la
rationalité limitée de l’homme et constituer un outil
précieux d’aide à la décision » (Simon, 1969).
Partant de cette définition, l’audit informatique doit
s’étendre à l’audit des systèmes d’information, pour
mettre en évidence la dimension stratégique de cet audit
et mesurer le degré d’alignement stratégique des
systèmes d’information par rapport à la stratégie et leur
contribution à la prise de décision.
Ainsi, les deux dimensions organisation et systèmes
d’information doivent-elle être pensées simultanément
pour l’intégration rigoureuse des technologies de
l’information et des télécommunications. La dimension
organisationnelle de l’audit informatique passe par le
contrôle de l’informatisation des processus afin
d’assurer la qualité des services et des produits. La
dimension opérationnelle de l’audit informatique qui
consiste à auditer les applications informatiques, ne peut
se faire sans une méthode de découpage du système
d’information, permettant d’identifier d’abord les
projets informatiques. Or, nous relevons l’absence d’une
méthode de découpage des systèmes d’information
capable d’identifier avec précision les projets
informatiques c'est-à-dire les domaines informatisés ou à
informatiser. Il est clair que l’audit rigoureux repose sur
une vision globale de l’entreprise, basée sur une
cartographie précise de toutes les composantes du
système d’information.
Le découpage du système d’information en domaines de
gestion est la phase la plus créative dans la planification
du système d’information (Bal, 1992). Il vise les
objectifs suivants :
1. Enumérer avec précision les besoins de l’entreprise
à informatiser, c'est-à-dire les projets informatiques;
2. Assurer la compatibilité entre la définition globale
du système d’information et sa réalisation
progressive;
3. Intégrer l’évolution de la technologie;
4. Améliorer l’efficacité des utilisateurs et spécialistes
des technologies de l’information.
Ainsi, considérons-nous que les méthodes d’audit
informatiques classiques doivent intégrer trois nouvelles
dimensions : stratégique, organisationnelle et
opérationnelle.
La dimension stratégique ne doit pas se limiter à la
sécurité et consiste à auditer la fonction informatique.
Pour ce faire, il faut mesurer le degré d’alignement
stratégique du système d’information existant. Ceci
suppose l’existence de tableau de bord général, issue
d’un Datawerehouse qui relie les différentes bases de
données.
La dimension organisationnelle passe par le contrôle des
pratiques de gestion interne pour assurer la qualité de
services et de produits. Ceci est recherché notamment
par la certification ISO 9000 dont la version 2000 met
l’accent sur l’approche processus (Verdoux, 2003). Ce
contrôle consiste à vérifier la structure de
l’organisation : s’agit-il d’une structure pyramidale ou
transversale ? Une organisation traditionnelle est
souvent qualifiée de pyramidale dans le sens où elle
présente une cascade de directions qui se rapportent à la
direction générale laquelle se rapporte elle-même à la
présidence (Verdoux, 2003). Ainsi, le client est-il perdu
de vue et la satisfaction de ses exigences passe au
second plan. L’organisation doit alors se transformer en
une organisation orientée vers le client, par l’adoption
d’une version transverse. Se pose alors le degré
d’informatisation des processus- clef, de bout en bout du
besoin du client jusqu’à sa satisfaction.
La 3ème
dimension est la dimension opérationnelle de
l’audit car l’absence d’une méthode de découpage dans
les méthodes d’audit classiques complique la tâche de
l’auditeur. L’avantage d’une méthode de découpage est
d’identifier les projets informatiques existants mais
aussi les métiers et les domaines non informatisés. Nous
proposons dans ce sens un découpage en métiers
d’entreprise (El Qasmi, 2002) capable d’énumérer avec
précision les projets informatiques et d’obtenir une
cartographie de la réalité.
Cette démarche est décrite dans la section suivante.
3. Notre démarche d’audit
informatique
Pour intégrer les dimensions stratégique,
organisationnelle et opérationnelle dans la démarche
d’audit, nous proposons de procéder selon les trois
étapes :
Etape 1 : Contrôle de la fonction informatique.
(dimension stratégique)
Objectif : étudier l’adéquation du système d’information
existant avec les orientations de la stratégie globale de
l’organisation.
Moyen de mise en œuvre : Vérifier l’existence d’un
tableau de bord général, alimenté à partir des différentes
bases de données existantes.
Etape 2 : Contrôle des pratiques de la gestion interne.
(Dimension organisationnelle)
Objectif : s’assurer que le système d’information
existant contribue à la qualité des services et produits
par l’informatisation des processus clefs.
Moyen de mise en œuvre : vérifier la structure de
l’organisation et le degré d’informatisation des
processus clef qui permettent la satisfaction du client.
Etape 3 : Identification des projets informatisés
(dimension opérationnelle)
Objectifs : identifier les applications correspondant à
chaque métier de l’organisation.
Moyens de mise en œuvre : nous proposons notre
méthode de découpage des systèmes d’information en
métiers de l’entreprise (El Qasmi, 2002).
Nous commencerons par tracer les grandes lignes de
notre démarche avant de préciser le découpage du
système d’information en métiers. Ceci servira de
fondement à l’audit informatique décrit en troisième
section.
5. Sous système
d’information client-
produit
Sous système
d’information
personnel
Sous système
d’information qualité
Sous système
d’information
financier
Une démarche d’audit informatique
3.1 Schéma de la démarche
Le découpage du système d’information en métiers a
pour but d’établir une cartographie de la réalité de
l’entreprise. Le point de départ d’une telle architecture
orientée métiers est de commencer par trouver les
réponses aux événements habituels, c'est-à-dire les
processus d’activités de l’entreprise, ce qui suppose une
bonne connaissance de ces processus. Aborder
l’entreprise sous l’angle des processus, c’est d’abord
mettre en avant sa finalité exprimée en terme de produit
dans sa relation avec le client. Une première idée serait
de considérer le système Client-Produit comme un sous-
système de base du système d’information.
Notre objectif étant de mettre en évidence les métiers
d’entreprise, nous répondrons aux questions pertinentes
suivantes : qui fait quoi ? Comment ? Par quels
moyens ? La réponse à ces questions nous conduit à un
premier résultat : le sous-système Personnel répondra à
la question « qui fait quoi ? » ; le sous-système Qualité
répondra à la question : « comment ? » ; le sous-système
Finance répondre à la question « par quels moyens ? ».
Ainsi, les quatre sous-systèmes de base du système
d’information sont-ils :
Figure 1: Processus de découpage du SI en métiers (EL QASMI,
2002)
Le sous-système Personnel,
Le sous-système Client-Produit,
Le sous-système Qualité,
Le sous-système Finance.
Ces quatre sous-systèmes seront le point de départ d’un
découpage intermédiaire en métiers principaux qui
seront à leur tour découpés en d’autres métiers (Figure
4.1).
3.2 Découpage des sous-systèmes
d’information en métiers principaux
Le sous-système financier comprend les métiers
principaux suivants : optimiser le résultat de
l’entreprise, financer et gérer les recettes et les
dépenses.
Le sous-système client/produit comprend tout ce qui
touche le client, le produit ou les deux à la fois, ce qui se
traduit par les 4 métiers : Acheter, Vendre, Produire,
Livrer au client.
Le sous-système personnel est décrit à travers les
métiers : Recruter, Utiliser, Payer, Former et Motiver le
personnel.
Le sous-système qualité est abordé par ses deux
principales composantes : l’assurance de la qualité du
produit et celle des services.
3.3 Audit des applications informatiques
Objectif : Tester les programmes de l’application,
l’acceptation des données par les utilisateurs et la
pérennité de l’application.
Moyens de mise en œuvre : nous proposons de reprendre
les points de contrôles qui existent dans la plupart des
méthodes d’audit informatique, et qui sont :
- Test des programmes de l’appréciation qui consiste à
auditer :
Le logiciel de développement;
La structure des programmes;
L’existence ou non d’un dossier d’analyse;
L’existence d’un cahier des charges;
L’existence d’une méthode de conception;
Programmation structurée ou non;
Jeux de tests sur les programmes.
- Test d’acceptation par les utilisateurs qui consiste à
auditer :
Les éditions de sortie;
Les écrans de saisie;
Les modalités de la saisie;
Les résultats des éditions de sortie;
Les programmes de contrôle lors de la saisie et
de l’édition des sorties.
- Contrôle programmé qui consiste à auditer :
L’accès à une application
L’accès à une édition de sortie
L’accès à un écran de saisie
L’accès à un programme donné
Analyse des
activités de
l’entreprise = que
fait l’entreprise ?
Analyse des
moyens financiers
= par quels
moyens ?
Analyse des
ressources
humaines = qui fait
quoi ?
Analyse de la
qualité des services
et produits
Mise en œuvre
du découpage
Découpage
des métiers
principaux en
métiers
Validation
Organisationduprojetdedécoupagedusystème
d’informationglobalenmétiers
Découpage
des sous
systèmes en
métiers
principaux
4
6. Une démarche d’audit informatique
- Pérennité de l’application qui consiste à auditer :
L’existence ou non des procédures de
sauvegardes
L’existence ou non des procédures de reprise
L’accès à un programme donné
- Pérennité de l’application qui consiste à auditer :
L’existence ou non des procédures de
sauvegardes;
L’existence ou non des procédures de reprise.
4. Application de notre démarche
Cette étude de cas est extraite d’un cas réel d’audit d’un
institut d’enseignement supérieur.
Nous mettrons l’accent sur les livrables.
Etape 1 : Contrôle de la fonction informatique :
Livrable1 : l’institut de l’enseignement supérieur sujet
de notre audit ne dispose pas de tableau de bord général
alimenté à partir des différentes bases de données
auditées. Par conséquent, le système d’information
existant n’est pas aligné à la stratégie globale de l’école.
Etape 2 : Contrôle des pratiques internes de gestion :
Livrable 2 : la structure de l’institut est pyramidale, sans
aucune vision transversale permettant une veille
stratégique et qui renseigne sur l’environnement
extérieur. Aucune norme de la qualité et aucune
informatisation des processus clefs assurant la qualité
des services et des produits.
Etape 3 : Identifications des projets informatiques
informatisés ou non
Livrable3 :
Le sous-système Client- produit découpé en métiers
suivants :
- réaliser des actions de recherche et
d’expertise ;
- développer les actions de la formation
continue ;
- gérer la scolarité des étudiants ;
- gérer les stages des étudiants ;
- assurer l’accès à la documentation ;
- gérer le centre de calcul ;
- assurer l’hébergement et la restauration des
étudiants ;
- gérer le patrimoine de l’institut;
- gérer le matériel de l’école.
Le sous- système personnel découpé en métiers
suivants :
- Gérer les relations avec les étudiants ;
- Gérer personnel ;
- Payer personnel ;
- Former personnel ;
- Motiver personnel.
Le sous-système Financier découpé en métiers suivants :
- Optimiser les résultats de l’Ecole ;
- Assurer la comptabilité ;
- Gérer le budget de l’école.
Le sous-système qualité découpé en métiers suivants :
- Assurer la qualité de la formation des
ingénieurs et des docteurs ;
- Assurer l’image de marque de l’institut.
Etape 4 : Audit des applications informatiques :
Nb : L’audit de chaque application est livré sous forme
de tableau récapitulatif des différents points de contrôle
avec la mention : inexistante, pour les métiers non
informatisés.
5
7. Une démarche d’audit informatique
1 Le sous système : client- produit
Métier : Réaliser des actions de recherche et d’expertise
8. Une démarche d’audit informatique
Métier : Développer les actions de la formation continue
Intitulé de
l’application
Test des programmes
de l’application
Test l’acceptation par
les utilisateurs
Contrôles
programmés
Pérennité de
l’application
Sauvegardes et reprises
Inexistante
9. Une démarche d’audit informatique
Métier : Gérer la scolarité des étudiants
Intitulé de
l’application
Test des programmes
de l’application
Test
d’acceptation par
les utilisateurs
Contrôles programmés Pérennité de
l’application
Sauvegardes et reprises
Inexistante
Intitulé de l’opération Test des programmes de
l’application
Test d’acceptation par
les utilisateurs
Contrôles
programmés
Pérennité de
l’application
Sauvegardes et reprises
Gestion Estudiantine
L’outil de développement
est FOXPRO
Il y a une logique
d’enchaînement des
modules conformément
aux modalités
d’exploitation
Pas de contrôle
d’accès à
l’application
Inexistence des
procédures de sauvegarde
Absence d’un dossier
d’analyse
Les éditions de sorties
répondent aux besoins
des utilisateurs
Pas de contrôle de
saisie des données
Inexistence des
programmes de reprises
Méthode de conception
est : MCX
Difficulté pour gérer le
choix des matières ou
les matières par blocs
Pas de contrôle de
sorties
Inexistence des
procédures de sécurité
des données
Absence des cahiers de
charges
10. Une démarche d’audit informatique
Métier : Gérer les stages des étudiants
Intitulé de l’application Test des programmes de
l’application
Test d’acceptation par les
utilisateurs
Contrôles programmés Pérennité de l’application
Sauvegardes et reprises
Inexis
tante
Métier : Assurer l’accès à la documentation
Intitulé de l’application Test des programmes de
l’application
Test d’acceptation par les
utilisateurs
Contrôles programmés Pérennité de l’application
Sauvegardes et reprises
Gestion documentaire en
cours d’installation
Logiciel de
développement :
ALEXANDRIE
Métier : Gérer le centre de calcul
Intitulé de
l’application
Test des programmes de
l’application
Test d’acceptation
par les utilisateurs
Contrôles programmés Pérennité de l’application
Sauvegardes et
reprises
Gestion du matériel
informatique au centre du
calcul
Outil de développement :
SGBD=Access
Les états de sortie fournis
sont :
- Gestion des ordinateurs
- Gestion des imprimantes
- Gestion des logiciels
Voir NB Voir NB
Existence d’un dossier
d’analyse
NB= Cette
application n’est
pas utilisée pour le
moment
L’application ne permet pas le
suivi de la maintenance du
matériel
Métier : Assurer l’hébergement et la restauration des étudiants
6
11. Une démarche d’audit informatique
Intitulé de l’application Test des programmes de
l’application
Test d’acceptation
par les utilisateurs
Contrôles programmés Pérennité de l’application
Sauvegardes et reprises
Inexistante
Métier : Gérer le patrimoine de l’école
12. Une démarche d’audit informatique
Intitulé de l’application Test des programmes de
l’application
Test d’acceptation par les
utilisateurs
Contrôles programmés Pérennité de l’application
Sauvegardes et reprises
Inexistante
Métier : Gérer le matériel de l’école
Intitulé de
l’application
Test des programmes de
l’application
Test d’acceptation
par les utilisateurs
Contrôles programmés Pérennité de l’application
Sauvegardes et reprises
Inexistante
Métier : Gérer les relations avec les étudiants
Intitulé de
l’application
Test des programmes de
l’application
Test d’acceptation
par les utilisateurs
Contrôles programmés Pérennité de l’application
Sauvegardes et reprises
Inexistante
2 Le sous système personnel
Métier : Gérer le personnel
Intitulé de l’application Test des programmes de
l’application
Test d’acceptation par les
utilisateurs
Contrôles programmés Pérennité de l’application
Sauvegardes et reprises
Inexistante
Métier : Payer le personnel
7
13. Une démarche d’audit informatique
Intitulé de
l’application
Test des programmes de
l’application
Test d’acceptation par les
utilisateurs
Contrôles programmés Pérennité de l’application
Sauvegardes et reprises
Gestion des
salaires
SGBD = Foxpro Les éditions de sortie sont :
Etat de la paie
Etat des crédits
Etat des mutuelles
Etat des retraites
Pas de contrôle d’accès à
l’application
Inexistence des procédures
de sauvegardes
Absence d’un dossier
d’analyse
Pas de contrôle de sortie
des donnéesAbsence d’une méthode de
conception Absence de la rubrique
diplôme
Inexistence des procédures
de reprise
Absence de cahier
des charges
Absence de communication
avec la gestion des carrières
Pas de contrôle des
sorties
Métier : Former le personnel
14. Une démarche d’audit informatique
Intitulé de
l’application
Test des programmes de
l’application
Test d’acceptation
par les utilisateurs
Contrôles programmés Pérennité de l’application
Sauvegardes et reprises
Inexistante
Métier : Motiver le personnel
Intitulé de l’application Test des programmes de
l’application
Test d’acceptation
par les utilisateurs
Contrôles programmés Pérennité de l’application
Sauvegardes et reprises
Inexistante
3 Le sous système financier
Métier : Assurer la comptabilité
Métier : optimiser les résultats de l’école
Intitulé de l’application Test des programmes de
l’application
Test d’acceptation
pour les utilisateurs
Contrôles programmés Pérennités de
l’application : sauvegarde
et reprise
Suivi budgétaire
Développé par Excel Les sorties sont :
- Etat des émissions ;
- Etat des
paiements ;
- Etat des recettes.
- Pas de contrôle d’accès à
l’application
- Pas de procédures de
sauvegardes
- Absence de dossier
d’analyse
- Absence de méthode de
conception
- Pas de contrôle de saisie des
données
- Pas de procédures de
reprise
Absence de cahiers de
charges
- Pas de contrôle des sorties. - Pas de procédure de
sécurité des données
Intitulé de
l’application
Test des programmes de
l’application
Test d’acceptation pour les
utilisateurs
Contrôles programmés Pérennités de
l’application : sauvegarde
et reprise
Inexistante
8
15. Une démarche d’audit informatique
Métier : Gérer le budget de l’école
Intitulé de l’application Test des programmes de
l’application
Test d’acceptation
pour les utilisateurs
Contrôles programmés Pérennités de
l’application : sauvegarde
et reprise
Gestion du compte hors
budget
Développée par Excel Pas de logique
d’enchaînement
des modules conforment aux
modalités de saisie
Pas de contrôle d’accès à
l’application
Inexistence de procédure de
sauvegarde
Inexistence de
procédure de reprisePas de contrôle de saisie des
données
Inexistence de procédure de
sécurités
16. Une démarche d’audit informatique
4 Le sous système qualité
Métier : Assurer la qualité
Métier : Assurer l’image de marque de l’école
- Le site web de l’institut a été développé 8 ans
plutôt ;
- Il contient des informations erronées
(exemple : l’ancien organigramme) ;
- L’ergonomie n’est pas assurée ;
- L’interface homme / machine n’est pas
performant ;
- Pas de logique d’enchaînement des modules.
5. Discussion et orientations
pédagogiques
La relation entre le système d’information et la stratégie
de l’entreprise est primordiale pour la survie des
oganisations. L’alignement stratégique est devenu une
préoccupation de premier ordre des décideurs
d’entreprise. L’enjeu fondamental de l’alignement
stratégique est de faire du système d’information un
atout au service de la stratégie de l’entreprise.
Le découpage du système d’information en domaines de
gestion ou en métiers est la phase la plus créative dans
la planification des systèmes d’information dans le but
de supporter la stratégie de l’organisation.
Les méthodes d’audit classiques ne permettent pas de
contrôler l’alignement stratégique des systèmes
d’information par rapport à la stratégie de l’organisation.
Elles ne permettent pas de contrôler le type de la
structure de l’organisation à auditer car si l’organisation
est qualifiée de pyramidale, « la stratégie globale est
ainsi déclinée en autant de sous-stratégies que de
directions. Et chaque direction fonctionne en relative
autonome, avec une certaine indépendance » (Verdoux,
2003).
L’entreprise orientée processus élabore une véritable
interaction entre la stratégie de l’entreprise qui donne le
sens, les processus qui donnent la valeur ajoutée pour la
satisfaction des parties prenantes et les résultats qui
représentent la finalité attendue » (Verdoux, 2003).
Les difficultés que nous avons rencontrées lors de notre
audit sont exprimées par les questions suivantes :
Comment découper le système d’information pour une
énumération précisé des activités à informatiser ?
Comment contrôler l’alignement stratégique du système
d’information par rapport à la stratégie de
l’organisation ?
Et comment mesurer le degré de performance du
système et sa participation dans la qualité des produits et
des services ?
Les leçons tirées de cet audit se résument dans les points
suivants :
1- Le problème du découpage des systèmes
d’information est un problème majeur pour les
organisations. Il détermine les activités à informatiser, et
conditionne les choix de modélisation et les options qui
seront prise lors de l’évolution des systèmes
d’information :
En optant pour une méthode de découpage des systèmes
d’information en métiers, nous avons abordé la
complexité de l’école de l’enseignement supérieur sujet
de notre audit.
Les raisons qui nous ont poussées à opter pour le
découpage du système d’information en métiers sont les
suivants :
a) Les méthodes d’audit classiques ne permettent
pas de retrouver les activités à informatiser, et
se contentent d’auditer ce qui existe (les
Intitulé de l’application Test des programmes de
l’application
Test d’acceptation pour les
utilisateurs
Contrôles programmés Pérennités de
l’application :
sauvegarde et
reprise
Inexistante
9
17. Une démarche d’audit informatique
activités déjà informatisées). Le découpage
proposé par le référentiel de Cobit version 4 (4
domaines et 34 processus), ne permet pas
d’auditer la fonction informatique dans sa
dimension stratégique.
b) Notre méthode de découpage nous a permis de
constater que l’informatique dans l’école
supérieur sujet de notre audit est au service de
la productivité, s’éloignent ainsi d’une
architecture « client-services ».
c) Ce découpage en métiers, nous a permis
d’identifier les métiers selon lesquels on peut
capitaliser des savoirs, ce qui peut influencer
par la suite la réussite du projet de
capitalisation des connaissances.
2- L’école doit procéder à une mise en œuvre d’une
approche processus, pour améliorer son fonctionnement.
Le management par processus permettra à l’école:
- De traquer la valeur ajoutée ;
- De gérer et optimiser les interfaces ;
- D’assurer la qualité de ces produits et
services ;
- Et de faciliter le benchmarking.
3- Les activités automatisées de l’école ont donné lieu à
des bases de données éparpillées géographiquement sans
aucun lien entre elles. Relier ces bases de données par
un datawerhouse orienté métiers, va permettre d’extraire
les informations utiles pour la prise de décision, et
d’alimenter le tableau de bord général et qui va
participer à l’alignement stratégique du système
d’information par rapport à la stratégie.
4- Enfin, l’équipe du projet de l’audit informatique doit
contenir d’autres compétences dans d’autres domaines
différents de l’informatique, notamment le management
et l’organisation.
Références
• G.Ballantzian(1992).Les schémas directeurs
stratégiques .Edition :Masson
• Carlier,Alphonse.(1994).stratégie appliquée à l’audit
des systèmes d’information : les approches
méthodologiques et l’audit qualité.Paris : Hermes
• Chantal, Morley (2002). Changement organisationnel
et modélisation des processus. Actes du colloque de
l’AIM, Novembre 2000. Montpellier. France
• Collignon, Nicole ; Lorau, Yvon-Michel; Luc Verleye,
Clet. (1990).Les principes de la sécurité
informatique : guide d’audit.Paris :Hermes.
• Colleville,Luc. Réussir un projet informatique.
(2001).paris :Eyrolles.
• Colleville,Luc. (1991). La gestion d’un centre
informatique. Paris : Eyrolles.
• Club informatique des grandes Entreprises Françaises.
(2000).La sécurité à l’heure d’Internet. Paris : CIGREF.
• Club de la sécurité informatique français. (Février
1997). Evaluation des conséquences économiques des
incidents et sinistres relatifs aux systèmes
informatiques. France : La commission bancaire.
• Conseil supérieur de l’ordre des experts comptables et
des comptables agrées. Le diagnostic des
systèmes informatiques français.(1999).Préconisations
pour l’élaboration d’un Code de Déontologie
informatisés : Guide d’application des recommandations.
O.E.C.C.A.
• Derrien, Yann. Les techniques de l’organisation
informatique. Paris : DUNOD.
• Madoz, jean-Piere.(2003).L’audit et les projets. Paris :
AFNOR
• Faurie, Sylvain (1991). L’audit informatique : une
nécessité tant pour l’entreprise que pour l’auditeur
financier. Revue Economie et comptabilité, n° 176
• Laporte, Hélène ; Prudhomme, Philippe.(1999). Audit
informatique dans les entreprises : Evaluation du
contrôle interne et contrôle des comptes. Revue française
de comptabilité, n° 316.
• Mohamed Jaouad El Qasmi (2002), le système
d’information orienté dans les métiers d’entreprise.
Revue des sciences de gestion. France, n° 198, 2002.
• OUAZZANI, Adil (1999).Audit informatique : Le cas
d’une entreprise du secteur public au Maroc. Revenue
Française de Comptabilité, n°316
• Simon Herbert A. (1959) Théories of Decision Making
And Behavior Science.American economic
review,49,n°1
• Simon Herbert A. (1969).The sciences of the artificial.
American economic review71, n°2
• Simon Herbert A. (1959).Technologie is not the
problem .Princeton University Press
• Verdoux Alain, (2003), l’entreprise orientée
processus .Editions d’organisation
• http://www. AFAI.FR , site officiel de l’association
française de l’audit et du conseil informatique .visité le
13/04/2004
• http://www.scssi.gouv.fr/,serveur thématique de la
France sur la sécurité des systèmes d’information. visité
le 10/04/2004
• http://www.cigref.fr/,site officiel du club informatique
des grandes entreprises françaises.
visité le 14/05/2004
10
18. Une démarche d’audit informatique
• http://www.clusif.asso.fr/,site officiel du club
informatique de la sécurité de l’information français.
visité le 13/04/2006
• http://www.itaudit.org,The premier information
technology ressource for internal auditors visité le
17/07/2004.
11