(2/2)

UNIVERSITE DE LA MANOUBA

Institut Supérieur de Comptabilité et d’Administration des Entreprises

Commission d’Expertise Comptable

Mémoire en vue de l'obtention du diplôme d'expertise comptable

Sujet :

L’évolution des Technologies de

l’Information et de la Communication :

Impact sur l’audit financier

Préparé par : Mohamed Lassâad BORGI

Encadré par : Ahmed BELAIFA

(2/2)

Sommaire :

Introduction Générale

Partie I : Nouvelles technologies de l’information et de la communication : Impact sur l’entreprise et sur l’audit financier

Partie II : L’audit informatique dans le processus de l’audit financier

Introduction Partie II

Chapitre 1 : Le Besoin De Recours A l’Audit Informatique Et Ses Rôles Dans Une Mission D’Audit Financier

Introduction :

Section 1 : La planification d’une mission d’audit financier et la détermination du besoin de recours à l’audit informatique

Section 2 : Les rôles dévolus à l’audit informatique dans une mission d’audit financier

Conclusion

Chapitre 2 : Présentation de la Démarche de l’Audit Informatique En support à l’Audit Financier

Introduction

Section 1 : La planification de la mission d’audit informatique

Section 2 : L’examen des contrôles généraux informatiques

Section 3 : L’examen des contrôles d’application

Section 4 : La phase de finalisation

Conclusion

Chapitre 3 : Les Principales Evolutions Prévisibles des Pratiques en la Matière en Tunisie

Introduction

Section 1 : L’évolution du cadre juridique et technique

Section 2 : L’évolution de l’approche et des procédures d’audit

Section 3 : La mise à niveau de la formation des auditeurs

Conclusion

Conclusion Partie II

Conclusion Générale

Bibliographies

Introduction Générale

Partie I : Nouvelles technologies de l’information et de la communication : Impact sur l’entreprise et sur l’audit financier

Partie II : L’audit informatique dans le processus de l’audit financier

Introduction Partie II

Après avoir exposé les principaux impacts des nouvelles technologies de l’information et de la communication sur l’entreprise et sur l’audit financier, il apparaît clairement que l’audit informatique est devenu un élément nécessaire dans une mission d’audit financier.

L’audit informatique, dans son sens large, peut traiter plusieurs aspects couvrant aussi bien la fonction que les applications informatiques.

Toutefois, il est utile de préciser que, dans le cadre d’une mission d’audit financier, c’est la recherche de la fiabilité qui est privilégiée. Les autres aspects d’efficacité et d’efficience, couverts généralement par l’audit opérationnel, ne sont pas exigés par l’audit financier.

C’est ainsi que cette deuxième partie traite uniquement des aspects de l’audit informatique dans le cadre d’une mission d’audit financier.

Pour cela, nous examinons, dans un premier chapitre, la détermination du besoin de recours à l’audit informatique et à l’étude des rôles qui lui sont dévolus.

Ensuite, nous présentons, dans un deuxième chapitre, une démarche d’audit informatique qui pourrait être suivie dans le processus de l’audit financier. Cette démarche peut être aussi utilisée dans une mission spéciale d’audit informatique avec, généralement, un champ d’action plus élargi.

Enfin, nous traitons, dans un dernier chapitre, les principales évolutions prévisibles des pratiques en la matière en Tunisie.

Chapitre 1 : Le Besoin De Recours A l’Audit Informatique Et Ses Rôles Dans Une Mission D’Audit Financier

Introduction :

C’est lors de la planification de la mission d’audit financier que le besoin de recours à l’audit informatique est ressenti. Cette phase délicate de la mission est généralement conduite par le signataire du rapport ou par l’un de ses collaborateurs les plus expérimentés sous sa supervision et son entière responsabilité.

Nous rappelons dans ce chapitre la démarche à suivre pour la planification d’une mission d’audit financier et nous déterminons les cas où il y a lieu de faire recours à l’audit informatique.

En outre, nous précisons, dans une deuxième section, les rôles dévolus à l’audit informatique dans une mission d’audit financier.

Section 1 : La planification d’une mission d’audit financier et la détermination du besoin de recours à l’audit informatique

La planification d’une mission d’audit financier se compose des étapes suivantes :

L’évaluation de l’environnement de contrôle
La compréhension de l’activité de l’entreprise et de son secteur
La collecte d’informations sur les systèmes et l’environnement informatique
L’évaluation préliminaire des contrôles de direction
La définition de la stratégie d’audit et le besoin de recours à l’audit informatique

Sous section 1 : L’évaluation de l’environnement de contrôle

L’environnement de contrôle est l’ensemble des conditions dans lesquelles fonctionnent les systèmes de contrôle. Il reflète la philosophie de la direction, son attitude et son engagement démontré à établir une atmosphère positive pour la mise en œuvre et l’exécution d’opérations bien contrôlées.

Aussi, il influence profondément le fonctionnement des systèmes de contrôle contribuant ou non à leur fiabilité.

Si l’auditeur ne peut pas mesurer avec précision les aspects de l’environnement de contrôle, il est cependant possible de déceler des facteurs plus ou moins favorables à l’exercice du contrôle interne. Il s’agit, alors, d’évaluer de manière globale si l’environnement de contrôle contribue à l’efficacité des contrôles, et donc au traitement correct des informations comptables et à la prévention ou à la détection des erreurs et irrégularités.

L’inexistence ou la faiblesse de l’un de ces aspects ne signifie pas nécessairement que l’attitude globale vis-à-vis des contrôles est négative.

Toutefois, un bon environnement de contrôle a pour conséquences :

· une approche utilisant les contrôles clefs ayant de fortes chances d’être efficaces

· l’application d’un plan d’audit comportant une rotation plus grande des secteurs contrôlés

· un niveau probable de conformité (application effective des contrôles) élevé, permettant de réduire la quantité de preuves nécessaires à la formation de la conviction sur l’efficacité des contrôles généraux et des contrôles directs.

Les aspects à évaluer sont :

· les incidences de l’organisation, des rôles et des responsabilités sur l’environnement de contrôle et ce, en évaluant :

1. le rôle du Conseil d'Administration : l’auditeur doit s’assurer, s’il compte leur accorder un niveau de confiance, que la composition, les responsabilités et le comportement des membres du Conseil d'Administration ainsi que les informations dont ils disposent sont de nature à générer une ligne de conduite appropriée, conduisent à une réelle prise de décisions et à un contrôle effectif des opérations, et encouragent la direction à agir dans l'intérêt des actionnaires.

2. l'efficacité de l'organisation et de l'encadrement : l’auditeur doit s’assurer, s’il compte leur accorder un niveau de confiance, que la structure de la société, les responsabilités et l'attitude de la Direction sont de nature à permettre la maîtrise et le contrôle de l'activité. Il doit aussi s’assurer que les directeurs et les cadres dirigeants, en particulier ceux qui exercent une responsabilité financière directe, ont les compétences requises et l'expérience nécessaire pour mettre en œuvre les décisions du Conseil et faire face aux changements de l'environnement.

3. la politique et les procédures en matière de ressources humaines : l’auditeur doit évaluer et, si un niveau de confiance est accordé à ces aspects, tester si la politique et les procédures en place assurent le recrutement d'un nombre suffisant de personnes qualifiées (y compris le personnel informatique), leur épanouissement et leur fidélité, afin de favoriser l'exécution de la stratégie de l'entreprise et de prévenir les défaillances de contrôle interne ou les pertes financières.

· les incidences de l’évaluation des risques par l’entreprise sur l’environnement de contrôle et ce, en évaluant :

1. le processus de gestion des risques par la direction : l’auditeur doit évaluer et, si un niveau de confiance est accordé à ces aspects, tester :

- si la direction établit des objectifs clairs et met en place des procédures permettant d'identifier les risques qui compromettent la réalisation de ces objectifs et,

- si les procédures mises en place reposent sur une information fiable, sont appliquées par des personnes compétentes, et toute action nécessaire est menée dans les temps.

Désormais, les risques informatiques font partie de l’ensemble de ces risques.

2. le respect des lois et de la réglementation : l’auditeur doit évaluer, et si un niveau de confiance est accordé à ces aspects, tester si la direction a une connaissance adéquate des lois et de la réglementation applicable à son activité, si elle mesure le risque de leur éventuel non-respect et si elle agit pour prévenir les infractions.

· les incidences du processus de pilotage sur l’environnement de contrôle et ce, en évaluant :

1. la fiabilité du reporting financier : l’auditeur doit évaluer, et si un niveau de confiance est accordé à ces aspects, tester si des procédures de reporting financier sont en place pour produire les informations destinées à être revues par la direction et que cette revue permet de détecter d'éventuelles défaillances dans le contrôle interne ou des erreurs significatives et débouche sur des actions appropriées, si besoin est.

2. la qualité des prévisions de la direction et du contrôle budgétaire : Ceci englobe, à titre indicatif, les procédures de préparation des prévisions et des budgets, leur qualité, la pertinence et la fiabilité de l'information financière produite.

3. le rôle de l'audit interne : l’auditeur doit évaluer, et si un niveau de confiance est accordé à ces aspects, tester si l'audit interne est un rouage essentiel de l'environnement de contrôle, par sa contribution à l'évaluation des risques de l'activité (y compris les risques informatiques), et en sa qualité de garant du fonctionnement continu des règles de contrôle interne destinées à atteindre les objectifs de l'entreprise.

4. le rôle du comité d'audit : l’auditeur doit évaluer, et si un niveau de confiance est accordé à ces aspects, tester :

- si la composition, les responsabilités et le comportement du comité d'audit, ainsi que l'information dont il dispose, débouchent sur un pilotage et une revue effectifs de la comptabilité, du contrôle interne et des procédures de reporting financier et,

- si le comité contribue à la définition d'une ligne de conduite appropriée et au maintien d'un réseau de communication constructif avec les auditeurs internes et externes.

5. la fiabilité des estimations de la direction : l’auditeur doit évaluer, et si un niveau de confiance est accordé à ces aspects, tester si la direction, pour l'établissement d'estimations, utilise une méthodologie fondée sur des données actualisées et fiables, supervise la production des estimations, et s'appuie sur les personnes qui disposent des compétences nécessaires à l'établissement d'estimations raisonnables.

Sous section 2 : La compréhension de l’activité de l’entreprise et de son secteur

Une connaissance approfondie de l’activité de l’entreprise est indispensable pour que la planification de l’audit soit efficace. L’objectif n’est pas de devenir des experts dans le domaine de l’entreprise auditée mais de connaître suffisamment l’entreprise pour pouvoir déterminer les orientations stratégiques de la planification.

Les étapes à suivre peuvent se résumer comme suit :

· Prendre en considération les spécificités du secteur et ce, notamment, en consultant des spécialistes du secteur d'activité et d’autres sources d'information concernant ledit secteur.

· Comprendre ou mettre à jour la compréhension de l’entreprise et de son secteur d'activité, de façon à pouvoir appréhender les événements, les transactions et les pratiques qui peuvent avoir un impact significatif sur les états financiers ou sur le rapport d'audit. L’attention de l’auditeur devrait être focalisée davantage, si l’entreprise :

- utilise l’Internet ou une autre technologie pour la conduite de son affaire. Exemples : l’entreprise achète ou vend des produits ou des services par Internet, l’entreprise procède à des actions de publicité sur son site Web, etc.

- opère dans une industrie où les opérations sont significativement traitées par Internet (Les agents immobiliers, les agences de voyage et les tours opérateurs, etc.).

· Si l’entreprise auditée externalise certaines fonctions, focaliser l’attention sur le caractère significatif de cette externalisation et sa pertinence pour l’audit et ce, en examinant dans quelle mesure cette externalisation des services affecte la comptabilité de l’entreprise et son système de contrôle interne et en y tenant compte dans la planification de l’audit et l’élaboration du programme de travail.

· Comprendre les politiques comptables les plus significatives utilisées et considérer si elles sont appropriées pour l’entreprise auditée et en relation avec les risques que court l’entreprise et la substance économique des transactions.

· Effectuer une revue analytique préliminaire : Il s’agit d’analyser l'information financière ou non financière récente. Les procédures analytiques préliminaires sont nécessaires afin de :

- comprendre les conditions actuelles de l'activité (cash flow, résultat d'exploitation, situation financière,…),

- évaluer les risques de continuité d'exploitation,

- identifier les principales activités et les comptes concernés, la nature et le volume des transactions, les soldes comptables et les éléments inhabituels ou inattendus pouvant traduire un risque de fraude ou d'erreur

- permettre une évaluation préliminaire du seuil de signification.

Sur la base de la compréhension de l’entreprise, de son activité, de son secteur, de ses risques et des contrôles liés, ainsi que des résultats des procédures analytiques préliminaires, l’auditeur doit identifier et documenter les risques inhérents spécifiques à chaque section d'audit significative, et en tenir compte pour l'élaboration des programmes de travail.

Sous section 3 : La collecte d’informations sur les systèmes et l’environnement informatique

La compréhension des systèmes de l’entreprise et son environnement informatique est nécessaire pour une planification efficace et efficiente. Les informations collectées seront utilisées dans un objectif de détermination du degré d’appui à placer sur le contrôle interne de l’entreprise auditée et par suite de la stratégie d’audit à adopter.

Au cours de la phase de planification, la nécessité de faire appel à des experts en révision informatique doit être considérée en cas de système complexe. L’équipe intervenante sera dans ce cas mixte.

Cette phase de la planification doit apporter à toute l'équipe d’audit une identification et une compréhension suffisante :

des principaux cycles ainsi que des applications informatiques qui les supportent,
de l'organisation de la fonction informatique,
des contrôles de la direction sur la fonction informatique,
du degré de dépendance de l’activité quotidienne sur les systèmes informatiques,
des caractéristiques principales des systèmes et environnements,
des changements significatifs en termes de systèmes et d'environnement informatiques,
des problèmes antérieurs survenus au niveau des systèmes.

Elle doit permettre à l’auditeur de dégager les facteurs de risques pouvant avoir un impact sur la stratégie d'audit. Nous citons :

L’existence éventuelle de faiblesses de contrôle relatives à la fonction informatique qui empêchent d'accorder aux contrôles un niveau de confiance déterminé ;
L’existence de problèmes fondamentaux, concernant la qualité de l'information de gestion, qui pourraient remettre en cause la fiabilité des contrôles de pilotage et par conséquent, empêcher d'accorder à ces contrôles un niveau de confiance déterminé ;
Les incidences des changements de systèmes ou d'environnements informatiques sur notre connaissance antérieure de la mission et par suite sur la stratégie d'audit ;
La nécessité de faire recours à des spécialistes au cours de l'audit.
Cette étape importante de la planification fait l’objet d’une étude plus détaillée dans le chapitre suivant.

Sous section 4 : L’évaluation préliminaire des contrôles de direction

Les contrôles de direction (ou aussi les contrôles de pilotage) peuvent être définis comme étant les moyens que la direction utilise pour piloter l’affaire et en contrôler les risques, soit de façon continue tout au long de l’année, soit de façon ponctuelle. Ils peuvent être réalisés par la direction elle-même ou par la fonction d’audit interne.

Les contrôles de direction sont de nature à déceler des erreurs potentielles et/ou des fraudes qui résulteraient des défaillances des systèmes de contrôle interne (y compris les contrôles généraux informatiques) ou des systèmes comptables.

Ils peuvent procurer une certaine confiance sur les contrôles informatiques généraux ou sur les contrôles d’application. A titre d’exemple :

· La revue d’un rapport de revenu avec une connaissance globale du volume livrée

· L’examen des dépenses d’investissement sur la base d’un rapport trimestriel analysant ces dépenses par département et les comparant par rapport aux budgets

Les contrôles de direction s’apprécient au niveau d’un cycle contrairement à l’environnement de contrôle qui s’apprécie au niveau de l’entreprise dans son ensemble. Ils sont détectifs plutôt que préventifs et s’apparentent à des contrôles de vraisemblance, de cohérence, à des revues par exception, à des procédures analytiques, etc.

Les objectifs des contrôles de la direction sont variés et ne visent pas nécessairement des objectifs financiers. En particulier, ils ne visent pas directement et spécifiquement les objectifs de contrôle, mais fournissent une assurance indirecte sur la réalisation de ces objectifs.

L’évaluation préliminaire des contrôles de direction, au niveau de chaque cycle, est effectuée afin de déterminer le niveau de confiance accordé aux contrôles. A ce stade, ces contrôles sont documentés sans pour autant être testés.

Etant donné que les contrôles de direction sont moins détaillés que les contrôles d’application, ils ne peuvent fournir un niveau de confiance aussi élevé. En fait, ils permettent d’identifier qu’il y a un problème mais pas de déterminer quel objectif particulier n’est pas atteint.

En outre, il y a lieu de préciser que le niveau de confiance que l’on peut obtenir des contrôles de direction est très variable. Il dépend notamment de la compétence de la personne chargée d’effectuer le contrôle, de la rapidité avec laquelle il est effectué, de la fiabilité de l’information utilisée, de la probabilité que ce contrôle permette effectivement de déceler des défaillances, etc.

Par ailleurs, et au cas où l’entreprise auditée externalise certaines fonctions, l’auditeur devrait considérer les contrôles de direction relatifs à la fonction du prestataire de services, que ces contrôles de pilotage soient effectués par l’entreprise auditée ou par son prestataire de services.

Sous section 5 : La définition de la stratégie d’audit et du besoin de recours à l’audit informatique

Signalons tout d’abord que pour la première année ou l’année du changement, la phase de collecte d’informations est bien évidemment plus importante. En revanche, les années suivantes, compte tenu des connaissances d’audit accumulées, le processus doit être plus rapide puisque focalisé uniquement sur les changements de l’exercice.

Cette phase de collecte doit renseigner, entre autres, les éléments suivants :

Quels sont les cycles et comment l’audit sera organisé ?
Quels sont les risques inhérents spécifiques à chaque section d'audit significative ?
Quels sont les risques touchant les systèmes et les risques informatiques ?
Quelles sont les éventuelles opérations ponctuelles à considérer (hors cycle ou hors système) ?
Quel est l’impact de l’éventuelle externalisation de certains services ?
Quels sont les principaux changements de l’exercice ?

Ces différentes informations recueillies permettent à l’auditeur de définir la stratégie d’audit par cycle compte tenu du niveau de confiance accordé aux contrôles de direction, contrôles généraux informatiques et contrôles sur d’application.

La définition de la stratégie d’audit est illustrée dans le schéma[60] suivant :

Les options de stratégies d’audit

Il en découle de ce schéma que trois stratégies d’audit peuvent être envisagées. Pour chaque cycle, l’auditeur doit se poser la question suivante : « Compte tenu des éléments d’information préalables dont on dispose, envisage-t-on de s’appuyer sur les contrôles ? »

Si la réponse est non : la stratégie retenue sera « Niveau de confiance : Aucun ». Si la réponse est oui, il faut ensuite se poser la question suivante : « Sur quel type de contrôle envisage-t-on de s’appuyer ? »

Si on envisage de s’appuyer sur les contrôles de direction uniquement la stratégie sera « Niveau de confiance : Moyen ». Si on envisage de s’appuyer également sur les contrôles d’application et les contrôles généraux informatiques, la stratégie sera « Niveau de confiance : Elevé ».

Il convient de noter qu’en pratique la stratégie d’audit pour un cycle se positionne sur un continuum de « Aucun » à « Elevé ». L’idée générale étant : appuyons sur les contrôles clefs dés lors que c’est possible et dés lors que cet appui nous paraît optimal en terme de rapport efficacité/coût.

Par ailleurs, le choix de la stratégie d’audit constitue une décision préliminaire. Ce choix sera confirmé ou infirmé à l’occasion de la réalisation des tests sur les contrôles. Le schéma, qui suit, présente chacune de ces stratégies :

1. Stratégie 1 : Niveau de confiance AUCUN :

Deux types de situations peuvent conduire à ce choix : soit le cycle est mal voire pas contrôlé (mécanismes insuffisants pour assurer l’intégrité des données financières), soit des contrôles existent mais une approche substantive serait plus efficace et moins coûteuse, et donc plus appropriée en la circonstance. Exemple : des transactions individuellement significatives et peu nombreuses pouvant être vérifiées par des documents ou des confirmations.

Cette approche implique :

une documentation très succincte des contrôles existants visant uniquement la compréhension d’ensemble de l’environnement de contrôle
la non-réalisation de tests sur les contrôles clefs ni sur les contrôles informatiques généraux
des travaux d’audit constitués pour l’essentiel de tests de détail ainsi que d’éventuelles procédures analytiques.

2. Stratégie 2 : Niveau de confiance : MOYEN :

Deux types de situations peuvent conduire à ce choix :

Le cycle est contrôlé mais les contrôles clefs visant de façon détaillée les quatre objectifs de contrôle ne sont pas toujours documentés (donc difficile à tester) ou pas totalement performants. Cependant, il existe des contrôles de direction performants permettant de détecter des défaillances majeures.
Une approche « Niveau de confiance - Moyen » est jugée plus adaptée car moins coûteuse qu’une approche « Niveau de confiance - Elevé » pour un même niveau d’efficacité. En effet, la réalisation de tests sur les contrôles de direction et des tests de détail additionnels peut être, dans certains cas, plus efficace qu’évaluer et tester les contrôles généraux informatiques et les contrôles d’application et la réalisation de tests substantifs réduits.

Cette approche implique l’appui sur les contrôles de direction qui donnent une certaine évidence qu’il n'y a pas eu de défaillances majeures et réduit l’étendue, mais en général pas la nature, des tests de détail selon la confiance que l’auditeur place sur ces contrôles. Ainsi, la démarche à suivre par l’auditeur consiste à :

Documenter les contrôles de direction
Tester les contrôles clefs de direction
Ne pas tester les contrôles informatiques généraux
Réaliser des travaux d’audit constitués pour l’essentiel de tests de détail ainsi que des procédures analytiques.

3. Stratégie 3 : Niveau de confiance ELEVE :

Dans ce cas des contrôles clefs existent (de direction et d’application), sont documentés, performants et couvrent de façon détaillée les quatre objectifs de contrôle. La réalisation de tests sur ces contrôles permet à l’auditeur de s’assurer de leur fonctionnement effectif et de leur permanence.

Ainsi, cette démarche consiste à :

Documenter les contrôles de direction, les contrôles d’application et les contrôles généraux informatiques existants
Tester les contrôles généraux informatiques
Sélectionner et tester les contrôles clefs de direction et d’application
Réaliser de très larges procédures analytiques. Les tests de détail ne seront déroulés que pour les objectifs d’audit non couverts par les contrôles
Réduire les tests substantifs : L’étendue et même la nature des tests devront être réduites en conséquence selon les résultats des procédures précédentes.

Toutefois, il convient de signaler que pour la première année ou l’année de changement (exemple : installation de nouveau logiciel, modification significative d’un logiciel existant), les tests sur les contrôles clefs sont focalisés, essentiellement, sur les contrôles d’application comme base pour les années ultérieures.

Pour les années suivantes sans changements significatifs, l'étendue des tests des contrôles clés peut être réduite sur la base de la connaissance et l’expérience accumulées sur l’entreprise et sur la base de la capacité des contrôles de pilotage à détecter une défaillance au niveau des contrôles généraux informatiques ou au niveau des contrôles d'application et à détecter des problèmes existants au niveau des systèmes comptables sous-jacents. Les contrôles généraux informatiques continuent à être testés car ils permettent une assurance globale de l’intégrité de l’environnement du traitement et par suite la réduction des tests sur les contrôles clefs.

Dans un contexte de nouvelles technologies, caractérisé, entre autres, par la dématérialisation des informations, l’automatisation des contrôles et la complexité et le volume de plus en plus important des opérations, il est de plus en plus difficile pour l’auditeur financier de forger son opinion sans une approche approfondie du système informatique. Ainsi, la tendance, dans ce type d’environnement, est toujours vers une stratégie de « Niveau de confiance Elevé ».

Parmi les principaux avantages offerts par cette stratégie est qu’elle est, généralement, la plus optimale en terme de rapport efficacité / coût, en raison du fait que les tests sur les contrôles consomment, généralement, moins de temps que les tests de détail. Cette approche est d’autant plus efficace en cas d’utilisation des techniques d’audit assistées par ordinateur.

De ce fait, l’auditeur est de plus en plus confronté à mettre en œuvre une approche basée sur l’évaluation et l’examen des contrôles de direction, des contrôles généraux informatiques et des contrôles d’application.

C’est dans ce cadre qu’intervient l’audit informatique en support à l’audit financier pour assurer, entre autres, la documentation, l’évaluation et l’examen des contrôles généraux informatiques et des contrôles d’application (autres que les contrôles purement manuels).

Afin d’illustrer ces faits nous avons jugé utile de présenter l’exemple d’une Caisse de Sécurité Sociale tunisienne. Cette dernière compte des milliers de cotisants et de prestataires. Elle gère une multitude de secteurs, de régimes, de prestations etc. Le volume des opérations est important et les montants sont peu significatifs. L’ensemble des processus de gestion est automatisé : l’encaissement des cotisations, la liquidation des droits, etc., font l’objet de traitements informatiques complexes et lourds. Ainsi, une approche basée essentiellement sur les tests de détail n’est, donc, pas adaptée et ne permet pas de mettre en évidence des faiblesses de contrôle interne pouvant avoir un impact significatif sur les états financiers.

Par ailleurs, le recours à l’audit informatique peut être requis même pour une approche de « Niveau de confiance Moyen » et ce, pour s’assurer que les process de génération des rapports, sur lesquels s’exerce la fonction de pilotage, sont convenablement contrôlés.

Enfin, avant d’aborder avec plus de détails les rôles dévolus à l’audit informatique dans une mission d’audit financier, nous devons répondre à l’interrogation suivante : Quelle doit être la composition de l’équipe chargée de l’audit informatique ?

C’est suite à la phase de la collecte d’informations sur les systèmes et l’environnement informatique que l’auditeur décide si le système est considéré comme étant complexe[61] ou pas. Cette décision devrait être prise conjointement avec l’auditeur spécialiste.

Dans le cas de systèmes complexes, la composition recommandée de l’équipe pour l’exécution de la documentation, l’évaluation et l’examen des contrôles d’application est une équipe mixte d’auditeurs généraux et de spécialistes.

Toutefois, quelle que soit la complexité des systèmes, les spécialistes réservent la partie consacrée à l’examen des contrôles généraux informatiques. En effet, ce volet nécessite des compétences non évidentes chez l’auditeur financier « généraliste ».

De ce fait, dans un système de nouvelles technologies, le recours à une équipe d’audit mixte est, très souvent, nécessaire. Le tableau, qui suit, résume les situations décrites ci-dessus :

	Systèmes complexes		Systèmes moins complexes
	Auditeurs	Spécialistes	Auditeurs	Spécialistes
Recueillir des informations sur les systèmes et l’environnement informatique.	Equipe mixte		X	*
Documenter et évaluer les contrôles d’application.	Equipe mixte		X	*
Sélectionner et tester les contrôles clefs.	Equipe mixte		X	*
Documenter, évaluer, sélectionner et tester les contrôles généraux informatiques.		X		X

(*) Des spécialistes peuvent être impliqués s’il y une incertitude quant au degré de complexité ou sur l’approche d’audit à mettre en œuvre.

Section 2 : Les rôles dévolus à l’audit informatique dans une mission d’audit financier

L’audit informatique vient supporter la mission de l’audit financier dans la mesure où il permet de :

mettre en évidence des faiblesses de contrôle interne ayant un impact sur les états financiers et non détectables par une approche classique ;
limiter les travaux substantifs pour les entreprises pour lesquelles l’auditeur peut s'appuyer sur les systèmes ;
apporter une plus value à l’entreprise auditée par la mise en œuvre de travaux d'audit-conseil.

Ces objectifs sont atteints à travers la description et l’examen des contrôles généraux informatiques et des contrôles d’application.

Sous section 1 : Les tests sur les contrôles généraux informatiques

Les contrôles généraux informatiques sont les contrôles qui contribuent de manière significative à l’efficacité des contrôles directs individuels. Ils ne visent pas directement les objectifs de contrôle et ne servent donc pas par eux même à fonder la conviction de l’auditeur, mais permettent à ce dernier de savoir si les faiblesses éventuelles dégagées ne réduisent pas l’efficacité et la fiabilité des contrôles directs.

Aussi, les contrôles généraux informatiques ne s’exercent pas au niveau d’un cycle particulier et peuvent avoir, par conséquent, une incidence diffuse sur les divers traitements réalisés par le système.

En effet, «si ces contrôles ne sont pas efficaces, des erreurs peuvent se produire et passer inaperçues dans les diverses applications. C’est pourquoi des défaillances dans les contrôles informatiques généraux peuvent empêcher de vérifier efficacement les contrôles prévus pour certaines applications»[62].

Cet aspect de l’audit informatique ne s’agit pas d’examiner les contrôles généraux de façon isolée mais lors de l’évaluation de la qualité des contrôles directs. En effet, si l’auditeur estime qu’un contrôle direct constitue un contrôle clef potentiel, il doit déterminer s’il peut aussi s’appuyer sur les contrôles généraux s’y rapportant. Ainsi, il est généralement plus efficace d’examiner les contrôles généraux une fois les contrôles directs clefs identifiés.

Faire le lien entre les risques identifiés au niveau de la fonction informatique et les risques en découlant sur les applications est une tâche assez difficile qui demande de la compétence, de l’expérience et du jugement. Exemple : En cas de contrôles insuffisants des modifications de programmes, le risque d’erreurs sur le calcul des paies est relativement faible du fait que la plupart des salariés vérifient leur bulletin de paie. Par contre le risque d’irrégularités sur les bulletins de paie est théoriquement possible.

Dans le cadre de l’audit financier, l’examen des contrôles généraux informatiques englobe, notamment, l’examen des aspects suivants :

1. Organisation générale de la fonction informatique :

Le contrôle de l’organisation générale de la fonction informatique permet, notamment, d’apprécier :

le degré de sensibilisation au contrôle interne de la fonction,
le degré de séparation des tâches incompatibles,
la division des obligations et des responsabilités entre le service informatique et les différents utilisateurs.

Le contrôle de l’organisation générale de la fonction informatique ne peut donner que des indices ou des présomptions qui doivent être complétés par l’audit des différentes activités de la fonction informatique.

2. Développement, mise en place, modification et intégrité de système :

L’audit de cet aspect permet à l’auditeur de s’assurer que les systèmes sont développés en limitant au minimum les risques d’erreurs (objectif de fiabilité des traitements) et qu’ils ne peuvent être modifiés à l’insu des utilisateurs (objectif de fiabilité des traitements et de protection du patrimoine)

Les contrôles destinés à couvrir les risques liés aux modifications des programmes sont particulièrement importants du fait qu’ils affectent l’efficacité d’un bon nombre de contrôles clefs dépendants. L’existence de contrôles efficaces se rapportant aux modifications des programmes représente un moyen privilégié pour s’assurer que ces deniers restent fiables et complets.

Si ce contrôle n’est pas satisfaisant, il n’y a souvent qu’un autre moyen de savoir si les programmes qui ont été utilisés au cours de la période sont correctement approuvés et testés, c’est de les répéter à partir d’un échantillon représentatif.

3. Accès aux ressources logiques :

L’objectif de l’audit de cet aspect est de permettre à l’auditeur de porter une appréciation sur les procédures d’autorisation d’accès et de protection de l’intégrité des données.

Dans la pratique, l’auditeur est confronté à de nombreux environnements où les procédures en ce domaine sont inadéquates ou insuffisantes. Dans ces environnements, l’auditeur doit apprécier, cas par cas, l’impact de ces risques sur les applications.

La nature des risques et l’existence ou non de contrôles compensatoires guident l’auditeur dans la conception, la période et l’étendue des tests sur les applications. Par exemple, pour une application imprimant des lettres chèques, un contrôle rigoureux des utilisateurs sur les séquences et le montant des lettres chèques est un contrôle compensatoire nécessaire en cas d’absence de procédures d’accès suffisamment rigoureuses évitant toute modification non contrôlée des fichiers et des programmes.

4. Sécurité physique et procédures de sauvegarde et d’urgence :

L’examen des procédures de contrôle relatives à la sécurité physique et aux procédures de sauvegarde et d’urgence permet à l’auditeur d’apprécier si la protection du patrimoine informatique, la sécurité et la continuité des travaux sont correctement assurées eu égard à la spécificité de l’entreprise.

5. Exploitation :

L’auditeur examine l’exploitation pour apprécier la façon dont cette activité satisfait aux objectifs d’autorisation, d’exhaustivité et d’exactitude.

Sous section 2 : Les tests sur les contrôles d’application

Les contrôles d’application garantissent l’intégrité de l’information. Ils peuvent être définis comme étant des contrôles assurant que seulement les données complètes, exactes et valides sont saisies et mises à jour dans le système informatique, que le traitement a été correctement accompli, que les résultats du traitement satisfont les attentes et que l’intégrité de données est maintenue.

Nous rappelons que les principales caractéristiques des contrôles d’application sont les suivantes :

Ils s’exercent au niveau d’un cycle ou d’une transaction
Ils visent directement et spécifiquement les objectifs de contrôle (ils peuvent également viser d’autres objectifs d’audit tel que la séparation des exercices).
Ils peuvent être manuels ou automatisés

Les contrôles d’application qui sont couverts par l’audit informatique sont ceux portant sur les outputs des systèmes et sur les procédures de contrôles programmés et les contrôles manuels s’y rattachant.

L’assurance que les contrôles programmés sont correctement conçus peut être obtenue directement à travers la répétition ou indirectement à travers les résultats des tests sur les contrôles généraux informatiques portant sur les procédures de développement et de mise en place de nouveaux systèmes.

L’étendue des tests varie selon qu’il s’agit de la première année d’audit (ou l’année du changement) ou d’une année suivante sans changements significatifs.

1. La première année ou l'année du changement :

La première année ou l’année du changement se définit comme suit :

nouveau mandat,
mandat récurrent mais au cours duquel un changement s'est produit affectant le cycle de façon significative, dont par exemple :
- changements significatifs au niveau de l'activité ou des risques de l’entreprise susceptibles d'avoir un impact sur la capacité des systèmes à traiter et à assurer la fiabilité des transactions et des soldes,
- changement au niveau opérationnel ou au niveau des hommes,
- installation d'un nouveau système ou logiciel,
- modifications significatives d'un logiciel existant,
- changements significatifs au niveau de la structure organisationnelle ou au niveau des politiques ou des procédures,
la première année pour laquelle le niveau de confiance accordée aux contrôles est réévalué alors qu'il avait préalablement été estimé comme "Aucun" ou comme "Moyen".

Dans ces cas, il s’agit de sélectionner et tester tous les contrôles d'application clés qui permettent d'atteindre les objectifs de contrôle. Cette sélection doit être effectuée en liaison avec la sélection des contrôles de direction clés. La combinaison de ces deux types de contrôles (pilotage et applications) constitue l'ensemble des contrôles clés pour le cycle.

Généralement, l’attention est focalisée plus sur les contrôles d’application que sur les contrôles de direction et ce, en raison du fait que les contrôles d’application fournissent une assurance plus importante quant à la satisfaction des objectifs de contrôle et que la réalisation de tests sur ces contrôles constitue une base d’appui pour les années subséquentes.

2. Les années suivantes sans changements significatifs :

Les contrôles clefs identifiés durant la première année demeurent valables. Toutefois, l'étendue des tests des contrôles d'application clés peut être réduite sur la base de :

la connaissance et l’expérience d’audit accumulées sur l’entreprise auditée,
la capacité des contrôles de pilotage à détecter une défaillance au niveau des contrôles généraux informatiques ou au niveau des contrôles d'application, ou des problèmes existants au niveau des systèmes comptables sous-jacents.

Ainsi, dans ce cas, il y a lieu de :

sélectionner et tester tous les contrôles de pilotage clés qui permettent d'atteindre les objectifs de contrôle
Sélectionner et tester les contrôles d'application qui permettent d'atteindre les objectifs de contrôle pour lesquels les seuls tests sur les contrôles de pilotage ne fournissent pas une assurance suffisante (en tenant compte de la connaissance et l’expérience d’audit accumulées).

L’assurance que les contrôles programmés fonctionnent correctement et d’une façon permanente tout au long de la période auditée peut être obtenue indirectement à travers les résultats des tests sur les contrôles généraux informatiques portant sur les procédures de maintenance et ceux portant sur la sécurité des systèmes et sur la sécurité de l’exploitation. En effet, l’auditeur aura toujours besoin de tester les contrôles généraux informatiques pour s’assurer qu’ils demeurent les mêmes et pour s’assurer qu’il n’existe pas de nouvelles faiblesses de nature à réduire l’efficacité et la fiabilité des contrôles directs.

Sous section 3 : Exemple des rôles dévolus à l’audit informatique dans un milieu d’ERP :

Dans un milieu d’ERP, l’audit informatique couvre, généralement, les volets suivants :

· Contrôles de l’infrastructure technique

· Sécurité ERP

· Contrôles d’application

A/ Contrôle des infrastructures techniques des systèmes d'information :

Les faiblesses éventuelles de l'infrastructure technique de l'ERP peuvent remettre en cause l'environnement de contrôle constitué au sein de l'application. Il est donc essentiel que ce domaine fasse l'objet d'une revue afin de vérifier que de tels risques sont maîtrisés et limités.

Les domaines spécifiques de cette revue comprennent notamment :

Le système d'exploitation afin de s'assurer que l'accès aux objets, commandes et utilitaires sont convenablement protégés ;
Les sécurités réseau afin de s'assurer que les accès à l'ERP sont protégés ;
Les procédures de sauvegarde et de reprise afin de s'assurer que les données essentielles peuvent être récupérées en cas d’incident.

B/ Sécurité ERP :

L’auditeur doit, notamment :

valider l'existence et la mise en place d'une politique et de procédures adéquates de sécurité des données
vérifier que la séparation des tâches a été correctement définie dans chacun des modules de l’ERP
vérifier que des procédures et des directives ont été définies afin d'assurer une séparation des tâches efficace et une maintenance permanente des profils.

C/ Contrôles d’application :

L’auditeur doit couvrir quatre risques liés à l'ERP. Il doit documenter les flux des processus clés de l'entreprise et doit évaluer la pertinence des contrôles exercés sur :

la saisie des données et les interfaces avec les systèmes amont
l'identification et la correction des erreurs
les traitements et les états de sortie
les procédures concernant les données permanentes

Par ailleurs, pour la première année de mise en exploitation de l’ERP, l’auditeur doit revoir les procédures et les contrôles appliqués au cours du processus de conversion, afin de confirmer que tous les soldes et les données permanentes migrés des systèmes existants vers l’ERP ont été correctement rapprochés des systèmes sources et autorisés.

Conclusion :

Nous pouvons conclure que, dans un environnement de nouvelles technologies de l’information et de la communication, l’audit informatique fait partie intégrante de l’audit financier.

Certains auteurs affirment que l’informatique doit être intégrée à la démarche professionnelle de l’auditeur et que désormais, il n’y a plus d’audit financier sans audit informatique.[63]

Une démarche de l’audit informatique en support à l’audit financier est présentée dans le chapitre suivant.

Chapitre 2 : Présentation de la Démarche de l’Audit Informatique En support à l’Audit Financier

Introduction :

Le présent chapitre se propose d’apporter une contribution à la recherche d’une méthodologie d’audit informatique comme support à l’audit financier. Cette méthodologie est à développer et à adapter à chaque contexte technique rencontré. Elle peut être aussi utilisée dans une mission spéciale d’audit informatique avec, généralement, un champ d’action plus élargi.

Notons, tout d’abord, qu’en raison de la complexité croissante des systèmes, la majorité des cabinets internationaux ont développé des équipes internes spécialisées dans l’audit informatique. Dans leurs travaux, ces derniers entreprennent leur audit en réelle collaboration avec l’équipe d’audit financier mais d’une façon indépendante de point de vue formalisme[64]. La démarche présentée ci-après tient compte de ce fait.

Section 1 : La planification de la mission d’audit informatique

Sous section 1 : Le lancement de la mission d’audit informatique :

Le lancement de la mission d’audit informatique s’intègre dans celui de la mission principale d’audit financier. Son rôle de départ se limite à la collecte d’informations sur les systèmes et l’environnement informatique.

Le lancement de la mission consiste, essentiellement, à organiser une réunion de mobilisation comprenant les membres clefs de l’équipe afin d’aborder, principalement, les aspects suivants :

Revoir les points soulevés lors de la réunion de clôture de la dernière intervention sur l’entreprise,
Evaluer la connaissance et l’expérience d’audit accumulées sur l’entreprise et la consolider avec les connaissances acquises par l’intermédiaire des contacts réguliers avec la direction et des autres missions éventuelles menées pour l’entreprise,
Déterminer le processus de collecte d’informations le plus optimal pour mettre à jour les informations sur le système informatique de l’entreprise. Ceci suppose au préalable une parfaite coordination avec l’équipe d’audit financier et avec les différents responsables concernés de l’entreprise,
Envisager la coordination avec l’équipe d’audit interne,
Examiner les problèmes de coordination en cas d’audit sur plusieurs sites.

Sous section 2 : L’information sur les systèmes et l’environnement informatique

Cette phase se compose, essentiellement, de deux principales étapes à savoir :

L’établissement de la cartographie des fonctions et systèmes informatiques et identification des cycles
Collecte d’informations sur les systèmes et l’environnement informatique

1. L’établissement de la cartographie des fonctions et systèmes informatiques et identification des cycles :

L’auditeur doit identifier les principaux cycles et établir la cartographie des fonctions et systèmes informatiques applicables aux sections d’audit liées à chacun de ces cycles. Ces travaux permettront de :

déterminer la relation entre les états financiers et les fonctions et systèmes qui les génèrent
déterminer les environnements et les applications informatiques à aborder au cours de la revue générale des contrôles généraux informatiques
déterminer quelles fonctions et quels systèmes informatiques doivent être revus pour chaque cycle.

Ces travaux sont, généralement, menés d’une façon conjointe entre l’auditeur « généraliste » et l’auditeur « spécialiste des systèmes ».

La collecte de l’information se fait en discutant avec les responsables opérationnels, les responsables financiers et les responsables informatiques ainsi qu’en examinant la documentation correspondante existante.

La cartographie doit permettre de répondre aux questions suivantes :

Quels sont les principaux cycles ?
Quelles sont les sections d’audit clés ?
Quelles sont, parmi ces sections d’audit, celles dont les données sont principalement issues de traitements informatiques ?
Comment les sections d’audit sont-elles reliées avec les cycles ?
Quelles sont les principales activités au sein de chacun des cycles ?
Comment ces activités sont-elles initiées ?
Quels sont les documents comptables et autres documents significatifs relatifs à ces cycles ?
Quel est le processus comptable et le processus de reporting financier de l’initiation des transactions significatives jusqu’à l’inclusion dans les états financiers ?
Quels sont les systèmes sous-jacents de chacune des activités au sein des cycles ?
Sur quels environnements informatiques les systèmes fonctionnent-ils ?
Quels sont les autres systèmes à prendre en compte dans la planification de l’audit ?

Elle se présente le plus souvent sous la forme d’un diagramme ou, dans le cas de systèmes moins complexes, sous la forme d’un tableau. Toute information utile à la planification devrait y être portée, tels que les volumes, les montants et la fréquence des transactions.

Dans ce qui suit, nous présentons un exemple simple de cartographie afférent au cycle « revenu »[65] :

Cycle Revenu :

2. La collecte d’informations sur les systèmes et l’environnement informatique :

Nous distinguons, essentiellement, les axes suivants[66] :

2.1. Appréhender l’organisation de la fonction informatique :

L’auditeur doit documenter sa compréhension de l’organisation de la fonction informatique. Il doit répondre aux questions suivantes :

Quelle est l’organisation de la fonction informatique ?
Les rôles et les responsabilités au sein de la fonction informatique sont-ils clairement définis ?
Des changements majeurs sont-ils intervenus au cours de l’exercice ?
Qui assume la responsabilité opérationnelle de la fonction informatique (Directeur Général, Directeur Financier, etc.) ? A qui est rattachée la fonction informatique ?
Y a-t-il un Comité de Pilotage Informatique ? Comment les priorités sont-elles définies ?
Quels sont nos principaux interlocuteurs au sein de la fonction informatique ?
Y a-t-il d’autres départements qui assument des responsabilités en matière informatique ?

2.2. Appréhender les contrôles de la direction sur la fonction informatique :

L’auditeur doit documenter sa compréhension des contrôles effectués par la direction sur la fonction informatique. Il doit répondre aux questions suivantes :

Quels sont les indicateurs clés de performance utilisés par le service informatique dans son reporting ? Ces indicateurs sont-ils revus par des membres appropriés de la direction ?
Les développements informatiques sont-ils réalisés sur la base d’une méthodologie formalisée ?
La direction a-t-elle défini une procédure formelle pour piloter les interventions courantes de maintenance ?
Une politique en matière de sécurité informatique a-t-elle été définie et communiquée au sein de la société ?
La société a-t-elle évalué les impacts qui pourraient résulter d’une indisponibilité du système informatique ? Un plan de secours a-t-il été défini ?

2.3. Evaluer dans quelle mesure l’activité repose sur les systèmes informatiques :

L’auditeur doit documenter sa compréhension de l’importance du support informatique dans l’activité. Il doit répondre aux questions suivantes :

Quel rôle le management attribue-t-il au département informatique dans la réalisation des objectifs de la société ?
Quelle est l’évolution probable du département informatique dans l’organisation ? (i.e. quelle est la stratégie informatique) ?
Comment le management évalue-t-il la qualité de sa fonction informatique par rapport à celle d’organisations similaires ?
Quelles sont les fonctions – clés de la société qui ont une forte prédominance informatique ?
Comment les utilisateurs perçoivent-ils le service informatique ? Comment la direction informatique mesure-t-elle cette perception ?
Les informations issues des systèmes répondent-elles aux besoins de la direction ?
Dans quelle mesure la société utilise-t-elle des technologies nouvelles ou émergentes, telles que le commerce électronique ?

2.4. Identifier les caractéristiques principales des systèmes et environnements :

L’auditeur doit identifier et documenter les caractéristiques principales des systèmes et environnements. Il doit répondre aux questions suivantes :

Quels sont les systèmes que l’entreprise considère comme les plus importants pour l’activité de la société ?
Les systèmes sont-ils essentiellement des applicatifs maisons ou des progiciels ? Dans quelle mesure les progiciels ont-ils été adaptés ? Par qui sont effectuées les modifications sur ces applicatifs (internes ou externes) ?
Quels sont les principaux sites de traitement informatique ? Quels sont les principaux environnements hardware ?
Comment les environnements informatiques sont-ils interconnectés ? Quelles sont les principales connexions avec des réseaux externes (Exemple : EDI, Internet) ?

2.5. Identifier les changements significatifs en termes de systèmes et d’environnement informatiques :

L’auditeur doit identifier tout changement significatif dans les systèmes et l’environnement informatiques. Il s’agit de répondre, essentiellement, aux questions suivantes :

Quels nouveaux systèmes ont été mis en place ? Comment se sont déroulées ces opérations ?
Quel est le volume d’interventions courantes de maintenance sur les systèmes existants ? Y a-t-il eu des interventions majeures ?
Y a-t-il eu des migrations vers de nouveaux environnements ?
Y a-t-il eu des mises à jour majeures du logiciel système ?
Y a-t-il eu des changements majeurs au niveau du réseau ?
Quelles sont les principales actions informatiques planifiées, à long terme et pour les douze prochains mois ?

2.6. Comprendre les problèmes identifiés au niveau des systèmes :

L’auditeur doit documenter les problèmes identifiés au niveau des systèmes de l’entreprise auditée. Il s’agit d’observer, essentiellement, les points suivants :

Y a-t-il des problèmes significatifs ou des déficiences fonctionnelles au niveau des systèmes ? Quelles sont, le cas échéant, les mesures palliatives ?
Y a-t-il eu des incidents d’exploitation majeurs ou des problèmes d’intégrité des données ?

Sous section 3 : L’organisation et la planification de la mission d’audit informatique

A l’issue des différentes étapes de la planification, la stratégie d’audit par cycle est fixée. Si le besoin éventuel de recours aux services de l’audit informatique est exprimé, le responsable de la mission d’audit informatique établira un plan stratégique et un programme de travail qui feront l’objet d’une approbation par le responsable de la mission d’audit financier pour tenir lieu de lettre de mission interne.

Le plan stratégique indique, essentiellement, les éléments suivants :

· Un résumé des principaux éléments recueillis sur le système d’information se rapportant à la structure générale de l’organisation informatique, à la configuration du système informatique, à la nature et à l’étendue du traitement informatisé de l’information, à la complexité des systèmes et des traitements, etc.

· Un plan de rotation entre les unités opérationnelles et un plan de rotation entre les composants : Dans le cas où le système de traitement des données serait décentralisé, chaque unité a sa propre organisation de la fonction informatique, ses programmes et ses applications. L’auditeur peut avoir besoin de visiter chaque emplacement potentiellement significatif pour l’audit. Même si la politique de l'entreprise dicte l'usage de procédures identiques à chaque emplacement, l’auditeur aura besoin de considérer si les procédures sont réellement appliquées.

· L’organisation générale de la mission : Ceci consiste, essentiellement, à :

- Préparer un calendrier d’intervention qui doit contenir au minimum les dates concernant :

a) le démarrage et la finalisation de l’audit et les étapes clés de la mission,

b) la préparation par les responsables de l’entreprise des informations et documents importants nécessaires à l’audit et,

c) les réunions périodiques avec l’équipe d’audit et avec les responsables de l’entreprise.

Ce calendrier détaillé doit être discuté et accepté par le responsable de la mission d’audit financier et par les responsables de l’entreprise.

- Prévoir des réunions d’avancement régulières avec l’équipe d’audit informatique afin de s’assurer du bon déroulement de la mission et des réunions d’avancement régulières avec l’équipe d’audit financier et, éventuellement, avec les différents responsables de l’entreprise.

- Préparer la répartition des tâches avec un niveau de détail suffisant en prenant les dispositions nécessaires pour permettre une réalisation efficace des travaux d’audit informatique et une parfaite coordination avec l’équipe d’audit et les différents responsables de l’entreprise.

- Préparer le budget global et par intervenant.

- Se mettre d’accord avec l’équipe d’audit financier des procédures à suivre en cas de modifications apportées au plan d’audit informatique.

· L’évaluation des risques liés à l’environnement informatique : Il s’agit de dégager les risques liés à la fonction informatique pouvant affecter la stratégie. Exemples : des modifications ont été ou seront apportées aux systèmes informatiques durant l'exercice ; De nouveaux systèmes ou des améliorations majeures ont été ou seront mis en place pendant l'exercice.

· La démarche à suivre en cas d’externalisation : Au cas où l’entreprise externalise un ou plusieurs aspects de son système informatique, l’auditeur devrait considérer les contrôles généraux informatiques et les contrôles d’application relatifs à la fonction du prestataire de services, que ces contrôles soient effectués par l’entreprise auditée ou par son prestataire de services. En effet,

- Si le prestataire de services procède à des contrôles généraux informatiques et à des contrôles d’applications pertinents pour l’évaluation des risques, il convient de déterminer si l'auditeur du prestataire a formalisé, dans son rapport, ses conclusions sur les tests réalisés sur ces contrôles et si ce rapport est exploitable ;

- Si c'est l’entreprise qui effectue des contrôles généraux informatiques et des contrôles d’applications liés à la fonction du prestataire de services, l’auditeur doit tester ces contrôles ;

- Si le rapport de l'auditeur du prestataire de services n'est pas disponible et si les contrôles effectués par l’entreprise ne sont pas suffisants, l’auditeur doit s'interroger sur la nécessité de tester les contrôles existants chez le prestataire de services.

Sous section 4 : Le dossier permanent informatique

Le dossier permanent informatique comprend les informations permanentes se rapportant au système d’information de l’entreprise. Il peut être structuré comme suit :

1. Renseignements généraux :

Présentation générale de l’entreprise : (Raison sociale, adresse, activité, adresse du service informatique si différente, personnes à contacter, etc.)
Renseignements internes (Associé responsable, équipe, clôture comptable, code mission, etc.)
Organigramme de la société

2. La fonction informatique :

Place de l’informatique dans l’organisation générale de l’entreprise :
- Rattachement de l'informatique dans l'organigramme général, rôles et limites de la responsabilité du département ou du service informatique
- Evolution du budget informatique sur les cinq dernières années (en valeur et en pourcentage du chiffre d’affaires)
- Principaux axes du plan informatique.
Structure du service ou de la direction informatique
Schéma directeur informatique
Les comptes rendus du comité directeur informatique

3. Le (ou les) centres de traitement :

· Configuration générale

· Configuration de chaque centre de traitement : matériel, etc.

4. Les applications :

Pour chaque application en place, il y a lieu d’indiquer :

· La version

· La description : fonction, interface, etc.

· Le fournisseur

· La date d’installation de la première version

· La date de la dernière mise à jour

· Le coût de la maintenance

· Etc.

5. Historique des interventions :

· Objets de l’intervention

· Budgets

· Intervenants

6. Cartographie et description des procédures

7. Autres informations

Section 2 : L’examen des contrôles généraux informatiques

En se basant sur les informations documentées dans la cartographie durant la phase de planification, l’auditeur sélectionne les environnements et les systèmes informatiques significatifs. Il procède, ensuite, à la documentation de ces environnements et systèmes afin de dégager les contrôles généraux informatiques clefs. Ces derniers font l’objet de tests appropriés afin d’apporter la preuve qu’ils fonctionnent réellement et d’une façon permanente. Ces travaux se font, généralement, durant la phase intérimaire.

La documentation des contrôles peut être réalisée en utilisant les questionnaires standards en la matière. Elle peut être, aussi, sous forme narrative et/ou sous forme de diagrammes.

Par ailleurs, avant la sélection des contrôles clefs, l’auditeur doit assurer sa compréhension des contrôles documentés à travers, généralement, la réalisation de tests de cheminement ou la confirmation auprès des responsables de l’entreprise.

Les contrôles généraux informatiques clefs sont des contrôles qui :

fournissent l'assurance à l’auditeur de s’appuyer sur les contrôles automatisés sélectionnés comme des contrôles clefs d’un cycle ;
peuvent être testés le plus efficacement possible.

En cas d’absence de changements, les contrôles généraux informatiques clefs demeurent les mêmes d’une année à l’autre. Pour les années suivantes, l’auditeur aura toujours besoin de tester ces contrôles, mais l'étendue des tests peut être réduite sur la base de l'évaluation antérieure du risque et de l'implication des dirigeants dans le domaine de la maintenance, de la sécurité des systèmes et de la sécurité de l’exploitation.

Le mix des contrôles dépend de plusieurs facteurs :

· La largeur de couverture qu'un contrôle fournit

· L’étendue de l'assurance fournie par le contrôle sur un contrôle automatisé particulier

· La compétence requise pour exécuter les tests

· Le temps exigé pour la réalisation du test

· La complexité du test

· L'ampleur du risque et l'assurance requise.

Dans ce qui suit, nous examinons, avec plus de détails, les différentes catégories de contrôles généraux informatiques et les divers indicateurs qui peuvent être considérés par l’auditeur[67].

Sous section 1 : Les contrôles portant sur la sécurité des systèmes

L'efficacité de certains contrôles automatisés et l'intégrité des données peuvent être affectées par des contrôles insuffisants au niveau de la sécurité des systèmes. Par exemple, l'utilisation de mots de passe et de menus pour assurer la séparation des fonctions peut être rendue inefficace si la sécurité globale de l'environnement informatique s'avère peu fiable.

Ainsi, l’auditeur doit documenter, évaluer, sélectionner et tester les contrôles clefs afférents à l'administration d'ensemble et aux procédures détaillées de gestion de la sécurité de l'information.

1. Documenter, évaluer et tester l'administration d'ensemble de la sécurité de l'information :

Il s’agit d’effectuer une description générale de l'administration d'ensemble de la sécurité de l'information. En outre, et pour l’évaluation des contrôles mis en place, il y a lieu de considérer, à titre indicatif, les éléments suivants :

1.1. Administration d'ensemble de la sécurité :

La direction de l’entreprise doit établir des procédures de contrôle d'accès en fonction du niveau de risque résultant de l'accès aux programmes et aux données. Ainsi, l’auditeur doit considérer, à titre d’exemple, les indicateurs suivants :

Quelle est l'approche de la direction pour évaluer les risques liés à la confidentialité, à l'intégrité et à la disponibilité de l'environnement informatique ?
La direction a-t-elle clairement identifié les informations et les actifs informatiques qu'il convient de protéger ?
La direction a-t-elle pris en compte les obligations réglementaires et légales ?
La direction a-t-elle pris en compte le risque d'intrusion en provenance de l'extérieur y compris via des connections à des réseaux externes ?
La direction a-t-elle pris en compte le risque de fraude informatique, les éventuels actes de sabotage ou de vandalisme sur les installations informatiques ?
Quelle est l'attitude de la direction à l'égard de la sécurité ?
La politique de sécurité est-elle appropriée ?
Les descriptions de postes définissent-elles les rôles et les responsabilités en termes de sécurité informatique ?
Quelle est la procédure de sélection des candidats à des postes impliquant un accès à des systèmes informatiques gérant des informations sensibles ?
Les utilisateurs sont-ils soumis à une clause de confidentialité ?

1.2. Définition des rôles, des responsabilités et des procédures :

La direction de l’entreprise doit définir les rôles et les responsabilités en termes de sécurité informatique et s'assurer que les responsables mettent en place des procédures adéquates. Ainsi, l’auditeur doit considérer, par exemple, les indicateurs suivants :

Les rôles et les responsabilités sont-ils clairement définis et compris et ce en matière de configuration des systèmes, de gestion de la sécurité, de propriété des données et de sécurité physique des installations informatiques ?
Si la taille de l'organisation est importante, comment les mesures en matière de sécurité informatique sont-elles coordonnées et communiquées ?
Les paramètres de configuration système sont-ils clairement documentés ?
Les procédures d'administration de la sécurité (par exemple pour la création de nouveaux utilisateurs, la modification ou la suppression d'utilisateurs existants) sont-elles définies et communiquées ?

1.3. Sensibilisation et formation des utilisateurs à la sécurité :

La direction doit s'assurer que les utilisateurs sont suffisamment sensibilisés et formés dans le domaine de la sécurité informatique, et qu'ils comprennent les enjeux et les actions à mener. Ainsi, l’auditeur doit considérer, à titre d’exemple, les indicateurs suivants :

- La direction a-t-elle mis en place une procédure pour s'assurer que les utilisateurs ont suivi une formation de sensibilisation aux enjeux de la sécurité informatique ?

- Les formations utilisateurs sont-elles adaptées ?

1.4. Moyens informatiques à la disposition des utilisateurs :

Les moyens informatiques mis à la disposition des utilisateurs finaux ainsi que leur utilisation doivent être contrôlés de manière à assurer la compatibilité des systèmes et à garantir l'intégrité des données. Ainsi, l’auditeur doit considérer, par exemple, les indicateurs suivants :

Comment identifie-t-on et contrôle-t-on l'utilisation des ordinateurs et des autres moyens informatiques laissés à la disposition des utilisateurs ?
Comment est contrôlée l'acquisition des matériels et des logiciels informatiques destinés aux utilisateurs ?
Les utilisateurs bénéficient-ils d'une formation adéquate et d'un support technique suffisant ?
Quels contrôles ont été mis en place par la direction pour prévenir le risque de virus informatiques (y compris celui provenant de l’usage d’Internet) ?
Quels contrôles ont été mis en place par la direction pour prévenir les risques de non-respect de la réglementation des droits sur les licences de progiciels ?

1.5. Contrôle des incidents en matière de sécurité et du respect des procédures :

La direction doit contrôler les incidents liés à la sécurité ainsi que le respect des procédures de sécurité. L’auditeur doit considérer, par exemple, les indicateurs suivants :

Comment sont répertoriés les incidents ou les événements survenant dans le domaine de la sécurité ? Comment la direction en est-elle informée ? Ces événements et ces incidents font-ils l'objet d'un suivi ?
Combien d'incidents ou d'événements liés à la sécurité se sont-ils produits au cours de la période auditée ?
Quelles sont les vérifications régulières effectuées sur les paramètres de configuration du système, afin de s'assurer de leur conformité ?
Quel type de contrôle (ou procédure d'audit) garantit l'efficacité du processus d'administration de la sécurité ?
Des problèmes de non-respect des procédures de la sécurité se sont-ils produits ?

2. Documenter, évaluer et tester les procédures détaillées de gestion de la sécurité de l'information :

Après avoir effectuer une description générale des procédures détaillées de gestion de la sécurité de l'information, l’auditeur doit documenter et évaluer les contrôles mis en place et ce en considérant, à titre indicatif, les éléments suivants :

2.1. Administration de la sécurité logique des accès utilisateurs au système d'exploitation :

L'accès des utilisateurs au système d'exploitation et aux programmes doit être contrôlé. L’auditeur doit considérer, par exemple, les indicateurs suivants :

Les utilisateurs et les administrateurs ont-ils un identifiant spécifique (ID) ?
Quelle procédure permet de contrôler la création d'un nouvel identifiant ?
Existe-t-il des procédures assurant une mise à jour rapide des autorisations d'accès en cas de changement, d'affectation ou de départ du personnel ?
Quelles mesures permettent de prévenir les accès non autorisés suite à l'utilisation d'identifiants par défaut (par exemple, identifiants créés automatiquement lors de la mise en place du système d'exploitation) ?
Quelles mesures permettent d'identifier les identifiants inactifs et de minimiser le risque d'accès non autorisés liés à l'utilisation de ces identifiants ?
Quels sont les contrôles périodiques effectués afin de garantir l'adéquation du profil d'accès des utilisateurs avec leurs fonctions ?
La saisie des mots de passe est-elle obligatoire pour l'ensemble des identifiants ?
Quelle est la longueur minimale des mots de passe ? Et quelles mesures permettent de prévenir l'utilisation de mots de passe faciles à deviner ?
Quelle est la périodicité de renouvellement des mots de passe ?
Quel est le niveau de protection du fichier contenant les identifiants et les mots de passe ?
Quelles sont les mesures permettant d'empêcher l'accès aux commandes des systèmes par les utilisateurs ?
La structure de détermination des groupes d'identifiants est-elle appropriée et l'affectation d'un utilisateur à un groupe est-elle pertinente ?
Quel est le processus de connexion ?
Quels sont les messages d'avertissement lancés au moment de la connexion, afin de prévenir tout accès non autorisé dans l'environnement ?
Quelles sont les procédures permettant d'éviter l'usurpation des mots de passe par essais successifs ou à la suite d'une erreur ?
Y a-t-il des procédures d'identification de terminal permettant d'authentifier les postes sur lesquels sont effectuées les connexions ?
Le nombre de connexions simultanées par utilisateur est-il limité à un ?
Existe-t-il des restrictions d'accès des utilisateurs en termes de nombre de connexions par jour, ou de jours par semaine, ou d'horaires ?
Y a-t-il une procédure de déconnexion automatique ou de mise en veille des écrans inactifs après une période de non-utilisation ?

2.2. Administration de la sécurité logique des données :

L'accès aux données doit être contrôlé de manière adéquate. L’auditeur doit considérer, par exemple, les indicateurs suivants :

Comment les fichiers systèmes/répertoires sont-ils protégés contre des modifications non autorisées ?
Les droits d'accès accordés par défaut sur les nouveaux fichiers sont-ils pertinents ?
Les droits en création/modification sur les répertoires sont-ils justifiés ?
Comment les droits d'accès des utilisateurs sur les fichiers sont-ils contrôlés ?

2.3. Administration de la sécurité au niveau applicatif :

Les moyens informatiques et les procédures en place doivent permettre de restreindre les accès aux différentes fonctions applicatives (par exemple : approbation des règlements fournisseurs) afin d'assurer une séparation des tâches adéquates et d'empêcher les accès non autorisés. Dans ce cadre, l’auditeur doit considérer, par exemple, les indicateurs suivants :

Comment les accès utilisateurs sont-ils limités au sein des applications ?
La gestion des mots de passe au sein des applications est-elle efficace ?
Quelle est la qualité des "pistes d'audit" issues des systèmes ?
Comment le paramétrage de nouveaux utilisateurs est-il contrôlé ?
Existe-t-il des procédures assurant une mise à jour rapide des autorisations d'accès en cas de changement d'affectation ou de départ de personnel ?
Quels contrôles réguliers permettent de garantir l'adéquation des profils d'accès des employés avec leurs fonctions ?

2.4. Administration des systèmes et des profils privilégiés :

L'utilisation de ressources sensibles, telles que les mots de passe système, les utilitaires puissants et les outils de gestion du système, doit être contrôlée de façon appropriée. A cet effet, l’auditeur doit considérer, par exemple, les indicateurs suivants :

Le nombre de personnes ayant des profils d'administrateurs système est-il approprié ?
Comment l'activité des administrateurs système est-elle contrôlée ?
Quelle est la fréquence de renouvellement des mots de passe pour les administrateurs système ?
Le nombre de profils privilégiés est-il approprié ?
Comment l'usage des profils privilégiés est-il contrôlé ?

2.5. Sécurité physique :

L'accès physique aux installations informatiques et aux données doit être contrôlé de manière appropriée. A cet effet, l’auditeur doit, à titre indicatif, considérer les indicateurs suivants :

Comment l'accès au site/bâtiment comportant les installations informatiques est-il restreint ?
Comment l'accès à la salle informatique est-il contrôlé ?
Comment les supports informatiques (cassettes, cartouches, etc.) sont-ils protégés ?
Comment les documents confidentiels sont-ils classés et protégés ?
Comment la documentation relative aux systèmes est-elle protégée ?
Comment la mise au rebut des équipements informatiques et des supports de données est-elle sécurisée (destruction, reformatage des supports physiques) ?

2.6. Contrôle des accès réseaux informatiques / accès distants :

Les accès distants aux systèmes informatiques, via des connexions par réseau informatique ou téléphonique, doivent être restreints de façon appropriée. A ce niveau, l’auditeur doit considérer, par exemple, les indicateurs suivants :

Comment les connexions avec des sites distants sont-elles authentifiées ?
Si le réseau est étendu, est-il divisé entre plusieurs domaines distincts ? Si oui, quels sont les contrôles permettant de s'assurer que les utilisateurs n'accèdent qu'aux domaines relevant de leurs fonctions ?
Comment les transferts de données par les réseaux sont-ils protégés ?
Le nombre d'utilisateurs ayant un accès distant est-il approprié ?
Comment ces utilisateurs sont-ils authentifiés ?
La disponibilité des connexions distantes au réseau est-elle limitée à certaines périodes de la journée /semaine ?
Quels sont les contrôles mis en place sur la télémaintenance ?

2.7. Contrôle des connexions avec des réseaux externes (par exemple : Internet, EDI, etc.) :

Les connexions avec des réseaux externes doivent être convenablement protégées. Des contrôles doivent être mis en place afin de prévenir le risque d'une faille dans la sécurité du système. A titre indicatif, les indicateurs suivants devraient être considérés par l’auditeur :

Des conditions de sécurité adéquates ont-elles été définies dans les contrats signés avec des tiers concernant les transferts de données via des réseaux externes ?
Quel est le niveau de sécurité de la messagerie électronique ?
Comment le point d'entrée entre l'environnement informatique de la société et le réseau Internet est-il contrôlé ?
Comment les connexions externes utilisées pour des liaisons EDI sont-elles protégées ?
La société utilise-t-elle l’encryptage ou toute autre procédure de sécurité équivalente pour assurer l’intégrité des transactions réalisées à travers Internet et pour protéger les transmissions de l’authentification de l’utilisateur et des informations de vérification ?
Des tests périodiques de pénétration sont-ils réalisés ? (Ces tests utilisent les mêmes méthodes de pénétration que celles des pirates informatiques).

Sous section 2 : Les contrôles portant sur la sécurité de l’exploitation

L’examen des contrôles portant sur la sécurité de l’exploitation nécessite la documentation, l’évaluation et l’examen de l’administration d’ensemble de l’exploitation des systèmes d’une part, et des procédures détaillées de l’exploitation d’autre part.

1. Documenter, évaluer et tester l'administration d'ensemble de l'exploitation des systèmes :

L’auditeur doit effectuer une description générale de l'administration d'ensemble de l'exploitation des systèmes informatiques relative à tous les environnements. Il doit documenter et évaluer les contrôles mis en place par l’entreprise. Pour cela, il doit considérer, à titre indicatif, les éléments suivants :

1.1. Définition des rôles, des responsabilités et des procédures :

La direction doit définir les rôles et les responsabilités des personnes chargées de l'exploitation et s'assurer que les procédures sont clairement définies et comprises.

L’auditeur doit s’assurer que les rôles, les responsabilités et les procédures relatifs aux domaines suivants sont clairement définis et compris :

Les traitements
Les traitements des sauvegardes et des restaurations
La maintenance des logiciels systèmes

Par ailleurs, l’auditeur doit s'assurer que le personnel impliqué dans l'exploitation informatique a reçu une formation adéquate et dispose d'une documentation appropriée.

1.2. Procédures de continuité d'exploitation :

Des plans de continuité d'exploitation couvrant tous les aspects de la fonction informatique doivent être en place. Pour cela, l’auditeur doit considérer par exemple les indicateurs suivants :

La direction a-t-elle évalué le risque qui pourrait résulter des défaillances des équipements ou d'un sinistre ?
Existe-t-il un plan de secours servant à limiter les pertes tangibles et intangibles associées à une interruption ou catastrophe majeure et à planifier le retour aux opérations normales ?
Le plan de secours fait-il l'objet d'une procédure d'actualisation et de test ?

1.3. Gestion du réseau :

Les réseaux hardware et software doivent être conçus de façon adéquate afin de répondre aux besoins de disponibilité, de performance et d'adaptabilité. Ainsi, l’auditeur doit considérer, par exemple, les indicateurs suivants :

Quelle est la documentation réseau disponible ?
Quelle est la procédure d'approbation, de contrôle et de test des modifications apportées au réseau ?
Quelles sont les procédures en place en matière de gestion de la capacité et de suivi du niveau de performance ?

1.4. Suivi des performances opérationnelles et du respect des procédures :

La direction doit assurer le suivi des performances et contrôler le respect des procédures d'exploitation. Ainsi l’auditeur doit considérer, par exemple, les indicateurs suivants :

Sur la base de quelles informations la direction contrôle-t-elle les opérations d'exploitation et le bon déroulement des traitements « batch » ?
Selon quelle fréquence la direction dispose-t-elle de ces informations ?
Y a-t-il eu des problèmes dans la performance du système ou dans le bon déroulement des traitements « batch » ?
Quel type de contrôle (ou procédure d'audit) garantit l'efficacité du processus d'exploitation ?
Des problèmes de non-respect des procédures d'exploitation se sont-ils produits ?

2. Documenter, évaluer et tester les procédures détaillées de l'exploitation :

L’auditeur doit effectuer une description générale des procédures détaillées de l'exploitation. Ensuite, il procédera à la documentation et à l’évaluation des contrôles mis en place. A titre indicatif, les éléments suivants peuvent être étudiés :

2.1. Planification, préparation et exécution des traitements batch :

Les traitements batch qui doivent être exécutés à des périodes définies (quotidiennement, hebdomadairement, mensuellement, annuellement) doivent être documentés, planifiés et mis à jour régulièrement. A titre indicatif, les indicateurs suivants peuvent être considérés :

Les opérateurs d'exploitation disposent-ils de consignes d'exploitation documentées ?
Quelles procédures garantissent la qualité de la planification et de l'ordonnancement des traitements batch ?
Comment s'assure-t-on que les données nécessaires à l'exécution des traitements batch sont effectivement disponibles (par exemple : disponibilité au début de traitement de données provenant de différents sites) ?
Existe-t-il des comptes-rendus de traitement permettant d'assurer aux opérateurs le suivi de l'exécution et le contrôle de l'exécution ?
Comment s'assure-t-on que l'activité des opérateurs est conforme à leur définition de fonction ?

2.2. Sauvegarde :

Des sauvegardes à jour des programmes et des données doivent être disponibles pour assurer la continuité de l'exploitation en cas de besoin. L’auditeur doit examiner, à titre indicatif, les points suivants :

Les procédures de sauvegarde des données et des programmes sont-elles satisfaisantes ?
Les supports de sauvegarde sont-ils répertoriés et conservés dans un lieu sûr ?
Quelles sont les procédures garantissant le bon fonctionnement des sauvegardes et la reprise des données ?

2.3. Gestion des incidents :

Des procédures doivent être définies afin de garantir que les incidents d'exploitation (par exemple : crash de disques, défaillances des programmes) sont identifiés et résolus de manière adéquate.

A titre indicatif, l’auditeur doit observer les indicateurs suivants :

La protection physique des équipements est-elle correctement assurée (par exemple : contre le feu, la fumée, l'eau, les poussières, les éléments chimiques, les radiations électromagnétiques) ?
Les équipements informatiques bénéficient-ils d'une maintenance adéquate ?
Quels sont les contrôles permettant d'éviter la survenance d'incidents opérationnels liés au matériel ?
Comment l'alimentation électrique des équipements informatiques est-elle sécurisée ?
Quelles sont les procédures permettant d'assurer l'adéquation des niveaux de ressources et des performances avec les besoins de l'entreprise ?
Comment les incidents sont-ils répertoriés ?
Quelles sont les procédures permettant de résoudre les incidents opérationnels ?

2.4. Mise à jour des logiciels systèmes :

La sélection de nouveaux logiciels systèmes et la mise à jour des logiciels existants (par exemple : système d'exploitation et tout autre logiciel système dans les domaines de la sécurité) ne doivent pas causer d'incidents de traitements ou déstabiliser les mécanismes de contrôle des systèmes.

L’auditeur doit, par conséquent, considérer les indicateurs suivants :

Comment le processus de sélection / mise à jour des versions des logiciels systèmes est-il contrôlé ?
Qui est habilité à effectuer la maintenance des logiciels systèmes ?
Quelles procédures garantissent que seules les mises à jour appropriées sont effectuées sur les logiciels maintenus en interne ?
Comment les modifications apportées aux logiciels de base maintenus en interne sont-elles testées avant leur mise en exploitation ?
Comment s'assure-t-on que les nouveaux logiciels ou les mises à jour ont été testés de manière appropriée avant transfert dans l'environnement d'exploitation ?
Des procédures sont-elles prévues pour permettre le retour à l'ancien environnement en cas de problème survenu lors de la mise en place d'une nouvelle version d'un logiciel ?

Sous section 3 : Les contrôles portant sur les procédures de maintenance des applications informatiques

Les procédures de maintenance en place doivent permettre, essentiellement, d'assurer le contrôle que les programmes modifiés opèrent comme prévu et qu’ils ne peuvent être manipulés pour des raisons non autorisées durant le processus de maintenance.

En terme d'audit, ces procédures sont importantes pour assurer la pérennité des contrôles automatisés. Ainsi, l’auditeur doit documenter et évaluer les activités de maintenance des systèmes et sélectionner et tester les contrôles clés correspondants en considérant, à titre indicatif, les éléments suivants :

1. La gestion de la maintenance :

La direction doit établir une procédure dès lors que des modifications de système sont envisagées et s'assurer du respect de cette procédure. Dans ce cadre, l’auditeur peut examiner les indicateurs suivants :

La direction a-t-elle mis en place une procédure afin de contrôler les modifications apportées aux systèmes informatiques ?
La direction est-elle impliquée dans la revue et l'approbation des changements relatifs aux systèmes informatiques ?
La direction effectue-t-elle une revue régulière de ces changements ?
Lorsque la maintenance de la nouvelle application est assurée directement par le fournisseur, quelles précautions sont prises dans le cas où celui-ci ne serait plus en mesure de fournir ce service ?
Les qualités fonctionnelles et opérationnelles des systèmes sont-elles mesurées et suivies par la direction informatique ?
Le management opérationnel dispose-t-il de rapports et de statistiques pour apprécier les qualités opérationnelles des systèmes ?
Le management opérationnel est-il directement impliqué dans le test des modifications apportées au système ?
La direction dispose-t-elle de rapports sur les résultats de ces tests ?

2. La définition, l’autorisation et la gestion des demandes de modifications

Les demandes de modifications de programmes informatiques doivent être correctement examinées et traitées. Ainsi, l’auditeur doit examiner, par exemple, les indicateurs suivants :

Les équipes de développement sont-elles en liaison étroite avec les utilisateurs ?
Comment les demandes de modifications sont-elles transmises aux équipes de développement ?
Quelles procédures permettent d'assurer que les équipes de développement ont bien compris les besoins des utilisateurs avant d'entamer toute modification des systèmes ?
Existe-t-il une procédure adéquate permettant de répertorier et de suivre les demandes de modifications ?
Qui approuve et hiérarchise les demandes de modifications ? Dans quelle mesure l'ordre de réalisation des modifications est-il conforme à l'ordre des priorités qui leur a été affecté ?
Quelles sont les procédures permettant, d'une part d'assurer que les modifications approuvées sont mises en œuvre dans les délais impartis et d'autre part de suivre l'avancement des projets ?
Le nombre de programmeurs est-il suffisant pour assurer la maintenance des systèmes ?
Les programmeurs ont-ils les compétences nécessaires pour assurer la maintenance des systèmes ?
Les programmeurs ont-ils une compréhension suffisante des enjeux liés aux systèmes d'information de l'entreprise ? Depuis combien de temps les programmeurs assurent-ils la maintenance des systèmes ?

3. Les tests unitaires, les tests d'intégration et les tests utilisateurs :

Les modifications apportées aux programmes doivent être testées pour s'assurer qu'elles répondent aux attentes des utilisateurs et qu'elles n'ont pas d'incidences négatives sur les traitements existants. A titre indicatif, les indicateurs suivants devraient être considérés par l’auditeur :

La séparation des environnements informatiques de développement, de test et d'exploitation est-elle respectée ?
Quelle est la nature et l'étendue des tests réalisés par l'équipe de développement préalablement aux tests d'intégration dans le système et aux tests utilisateurs ?
Quelle est la nature des tests d'intégration et des tests utilisateurs réalisés sur les changements applicatifs mineurs et sur les changements applicatifs majeurs ?
Les utilisateurs sont-ils en nombre suffisant pour assurer un contrôle adéquat sur les systèmes ?
Quelles procédures permettent de s'assurer qu'aucune modification non autorisée ne peut être effectuée entre la phase des tests et la mise en production des programmes ?
Quels contrôles permettent de s'assurer que la version de code source utilisée est la plus récente et que les modifications faites par plusieurs programmeurs sont coordonnées ?

4. L’autorisation de mise en production :

Seuls les changements dûment autorisés et testés doivent être transférés dans l'environnement d'exploitation. A titre d’exemple, l’auditeur doit examiner les indicateurs suivants :

Qui réalise les migrations courantes (pour les modifications routinières) ?
Dans quelle mesure les développeurs peuvent-ils avoir accès à l'environnement d'exploitation ?
Une procédure d'autorisation pour les corrections urgentes de programmes ou de données est-elle définie ?
Garde-t-on la trace des accès à l'environnement d'exploitation par les programmeurs dans le cadre de corrections urgentes ?
Comment s'assure-t-on que les mises à jour sont réalisées sur les bonnes bibliothèques de programmes et avec la dernière version des programmes développés ?
Lorsque les applications sont installées sur plusieurs sites, quelles procédures permettent d'assurer la correcte mise à jour des programmes sur l'ensemble des sites concernés ?

5. La formation et la mise à jour de la documentation technique et de la documentation destinée aux utilisateurs :

La documentation technique doit être mise à jour en fonction des modifications effectuées. Quand les modifications affectent l