P 04-18 AUDIT*:Mise en page 1 11/05/07 9:58 Page 10 DossierDossier : Audit Analyse de ...©néfices/Documents/Audit... · 2013-06-25 · l’image de marque de l’audit. En effet,

La Revue / Mai 07

(10)

Analyse de donnéesDossierDossier : Audit

1. Présentation succincte de l’Audit Informatique du Groupe La Poste

L’audit Informatique du GroupeLa Poste est une structure

dont le rôle consiste à évaluer lesprocessus de management desrisques et de gouvernance des sys-tèmes d’information du Groupe età apporter des conseils pour ren-forcer leur efficacité. Le périmètredu service s’étend à la maisonmère et à l’ensemble des filiales duGroupe. Les missions d’audit réali-sées peuvent être de différentes natures : audit de SI, audit de sécurité, audit de thématique… Lestechniques d’analyse de données,utilisées depuis 1998 au sein del’Audit Informatique du Groupe LaPoste, constituent un outil d’auditpuissant dans la panoplie des au-diteurs pour la réalisation de cesmissions.

2. Pourquoi l’analyse de données ?

L’analyse de données, au senslarge, consiste à récolter et

exploiter des données quelles quesoient leur origine (documents papier, chiffres clés, relevages oucomptages manuels, système d’in-formation…) pour étayer une opi-nion d’audit. Dans le cas qui nousintéresse, il s’agit plus particuliè-rement de l’exploitation des don-nées du système d’information àdes fins

d’audit, on parle alors d’« audit parles données », pratiqué au moyende techniques d’audit assisté parordinateur (TAAO ou CAATs).

Les nouvelles normes pour la pra-tique professionnelle de l’audit interne applicables depuis le 1er jan-vier 2004 précisent que les auditeursinternes doivent posséder une bonneconnaissance des principaux risqueset contrôles liés aux technologiesde l’information et des techniquesd’audit informatisées susceptiblesd’être mises en œuvre dans le cadredes travaux qui leur sont confiés(norme 1210.A3). De même, lanorme CNCC 2-302, promue par laCNCC (Compagnie Nationale desCommissaires aux Comptes) en2003, consacre la nécessité d’éva-luer systématiquement les risquesliés au système d’information et recommande l’utilisation destechniques d’audit assistées parordinateur. Enfin, la Loi de SécuritéFinancière (LSF) du 1er août 2003induit de nouvelles obligations decontrôle interne pour les entre-prises qui doivent rendre comptedans un rapport annuel des procé-dures de contrôle interne mise enplace pour garantir une meilleuretransparence. Cette obligation cou-vre le contrôle interne informatiqueen tant que rouage essentiel ducontrôle interne général.

Pour l’auditeur, l’analyse de donnéesaccroît considérablement la valeurajoutée de ses travaux et, de fait,l’image de marque de l’audit. Eneffet, elle permet de gagner enproductivité, d’étendre le périmètredes tests et de fiabiliser l’audit. Il n’y a plus besoin de contrôlesmanuels longs et fastidieux, lestests portent sur l’exhaustivité dela population, laissant de côté lesondage et l’extrapolation. Enfin,les travaux d’analyse de donnéespermettent d’obtenir des élémentsprobants opposables avec un chif-frage direct des anomalies à traversune démarche auditable.

3. L’analyse de données, mode d’emploi !

Deux approches peuvent êtreenvisagées pour positionner

les travaux d’analyse de donnéesdans le processus d’audit (Fig. 1) :

• En amont de la mission pour ciblerles zones à risques ou éliminer desrisques hypothétiques non avérés.

• Dans la phase d’investigationpour apporter des constats chiffrésou étayer une opinion d’audit.

En termes d’organisation, diffé-rentes approches sont égalementenvisageables. Le service peutfaire le choix de la généralisationou celui de la spécialisation. Il est vrai que la première option demande un investissement plusimportant en termes de formationet d’acquisition de logiciels mais la

Les techniques d’analyse des données, utilisées depuis1998 au sein de l’Audit Informatique du Groupe La Poste, constituentun outil d’audit puissant et indispensable pour la réalisation desmissions. Cet article présente la démarche utilisée dans ce cadre, etfournit quelques exemples concrets de mise en œuvre.“ ”Mathieu Laubignat

CISA, Auditeur informatique

P 04-18 AUDIT*:Mise en page 1 11/05/07 9:58 Page 10

La Revue / Mai 07

(11)

deuxième qui paraît plus écono-mique présente cependant certainsdésavantages. En effet, un auditeurcantonné aux travaux d’analyse de données risque de se lasser rapidement. D’autre part, si lescompétences en la matière sontconcentrées sur un nombre restreintd’individus, il y a un risque plus important en cas d’absence ou dedépart.

C’est pourquoi, l’Audit Informatiquedu Groupe La Poste a fait le choixde développer cette compétencesur l’ensemble des auditeurs dupôle ASI. Ainsi, les nouveaux arri-vants doivent maîtriser les tech-niques d’analyses de données aumême titre que les travaux d’auditclassiques. Cette montée en compé-tence s’effectue à travers une for-mation de base assurée par lesauditeurs plus expérimentés en in-terne. De plus, le service disposed’un outil destiné à capitaliser l’ex-périence engrangée en matièred’analyse de données. Au sein duGroupe, des services d’audit « géné-ralistes » ont mis en œuvre lamême démarche.

Les travaux d’analyse de donnéesdoivent être structurés. En consé-quence, le processus se décomposeen plusieurs phases :

Phase 1 : Prise de connaissance

Cette phase constitue le préalableà l’ensemble des travaux d’audit.Elle consiste à identifier les acteursdu SI (MOA, MOE,...), connaître ledomaine et les objectifs attendusdu SI et obtenir sa description(Cartographie applicative, chrono-logie des traitements, modèle dedonnées,…).

date précise. Il convient alors detransmettre à l’audité par écrit lesobjectifs de test et les donnéeschoisies. Ainsi, celui-ci est informédu périmètre d’extraction et peutvalider la sélection, la date, lemode de transmission, le format etla structure des fichiers.

Pour l’extraction, différentes ap-proches sont envisageables enfonction de l’interlocuteur (proprié-taire des données, maîtrise d’œuvre,exploitant), du mode employé(mieux vaut privilégier une extractiondes données de production à l’étatbrut mais il peut s’agir égalementdu résultat d’une requête ou dedonnées obtenues à partir d’un info-centre).

Phase 4 : Préparation des données

Une fois les données récupérées, ilfaut organiser l’environnement detravail (espace d’importation / espacede travail / espace de résultats) ety déposer les fichiers en prenantsoin de faire une archive des donnéesde départ afin de pouvoir repartirde zéro le cas échéant.

Ensuite, l’importation des fichiersest réalisée sans oublier d’effectuerun contrôle immédiat pour chaquefichier (validation des totaux decontrôle et du nombre d’enregis-trements, contrôles de cohérence,…)dans l’outil d’analyse. Il peut s’agird’outils de type base de données(Access, Visual Foxpro,....), de logi-ciels « généraux » (IDEA, ACL), ouencore d’un tableur de type Excel.Cependant, les logiciels « géné-raux » allient une capacité de trai-tement importante à une mise enœuvre rapide tout en garantissantl’intégrité des données et la conser-vation de la piste d’audit (Fig. 3). Àtitre indicatif, l’Audit Informatiquedu Groupe La Poste utilise IDEAdepuis 1998. Il reste maintenant à formaliser les programmes detravail.

> Fig. 1 : les travaux d’analyse de données dans le processus d’audit

Phase 2 : Définition des scénariosd’analyse

À partir des objectifs de la mission,les tests les plus pertinents sontidentifiés. Il peut s’agir de vérifierl’application d’une procédure oul’implémentation d’une règle degestion, de vérifier une piste d’audit...

Pour valider les scénarios d’analyse,il faut tenir compte des capacitésde l’outil d’analyse utilisé et réaliserune approche de faisabilité enconsidérant la complexité, la volu-métrie et la disponibilité des don-nées (planning compatible, accordde l’audité).

Phase 3 : Récupération des données

Après validation et en fonction desobjectifs des tests, les donnéesutiles aux travaux d’analyse sontidentifiées, les fichiers de départqui contiendront les champs néces-saires sont définis et arrêtés à une

> Fig. 2 : tests d’analyse de données – comparaison des entrées et sorties


La Revue / Mai 07

(12)

Attention, l’étape de préparation desdonnées peut être la plus fastidieusesi les étapes de prise de connais-sance et de définition des scénariosn’ont pas été correctement réali-sées. En effet, une mauvaise défini-tion des objectifs et des donnéescibles peut aboutir à des demandesd’extraction complémentaires oudes travaux de remise en forme desfichiers obtenus qui allongent signi-ficativement le processus.

Phase 5 : Réalisation des tests

Pour chaque test, les étapes misesen œuvre sont décrites et notammentles fichiers ou champs créés. Il fautégalement prévoir des modalités decontrôle pour vérifier les résultatsobtenus.

La réalisation d’un document desuivi chronologique des travaux(description de ce qui est fait et cequi reste à faire) constitue égalementun élément important durant cettephase. Cette démarche peut per-mettre éventuellement de priorisercertains travaux en recadrant parla suite avec l’audité.

Phase 6 : Interprétation et présentation des résultats

La dernière phase consiste à ana-lyser et valider les résultats parrapport à ceux attendus en relationavec les acteurs du SI audité. Puisviennent la conclusion et la resti-tution des résultats sous formegraphique de préférence (attention,il est parfois difficile de représentercertains résultats d’analyse dedonnées). Pour gagner en valeurajoutée dans les conclusions et lesrecommandations émises, il est

Caractéristiques Tableurs Bases de données ACL/IDEA

Capacité volumétrique Limitée (65536 Illimitée Illimitéepour Excel)

Capacité de traitement Limitée Illimitée Suffisante

Types des fichiers Majorité des fichiers Majorité des fichiers Tout type de fichiersimportés ASCII ASCII

Intégrité des données Impossible À réaliser Garantie

Piste d’audit Impossible À réaliser Garantie

> Fig. 3 : Comparaison des principaux outils d’analyse de données

Phases du processus % de la charge de travail totale

Phase 1 : Prise de connaissance 10 %

Phase 2 : Définition des scénarios d’analyse 10 %

Phase 3 : Récupération des données 15 %

Phase 4 : Préparation des données 15 %

Phase 5 : Réalisation des tests 30 %

Phase 6 : Interprétation et présentation des résultats 20 %

intéressant pour l’équipe d’auditde collaborer autant que possibleavec des spécialistes du métier audité.

Si l’analyse n’aboutit pas, il faut eninformer les acteurs, identifier lacause et éventuellement prévoirune solution de contournement.Enfin, une synthèse des travaux aposteriori permet d’identifier lesbonnes pratiques à généraliser lorsdes prochaines analyses.

4. Conclusion

En matière d’analyse de données,il convient de respecter les

différentes étapes de préparationpour faciliter la réalisation des tra-vaux. En effet, l’expérience a montréque les phases amont sont souventplus consommatrices de tempsmais conditionnent la réussite destravaux d’analyse de données. Àtitre indicatif, sur une missionclassique de l’Audit Informatiqueoù des travaux d’analyse de donnéessont menés, la charge de travail serépartit sur les différentes phasesdu processus de la façon suivante :

Par conséquent, il faut se fixer des

objectifs clairs et stables tout au

long de la mission, également

maintenir une bonne communication

en interne mais aussi avec les au-

dités, travailler par étapes pour la

réalisation des tests en s’appliquant

à contrôler et documenter les résul-

tats obtenus.

En revanche, il faut veiller à ne pas

se lancer dans un défi technique.

Il ne s’agit pas de réécrire l’appli-

cation, ni d’en faire la recette

fonctionnelle. L’équipe doit être

également vigilante par rapport

aux délais car certains tests peuvent

s’avérer plus longs que prévu d’où

la nécessité de prioriser. Attention

à l’interprétation hâtive, situation

dangereuse si l’auditeur n’a pas

toute la connaissance fonctionnelle.

Enfin, l’absence de contrôles et de

documentation induit le risque de

fonder ses conclusions sur des

résultas erronés ou d’être dans

l’impossibilité de justifier la dé-

marche d’obtention du résultat.


La Revue / Mai 07

(13)

L’intégration d’outils d’analyse dedonnées dans les travaux d’audit adonc nécessité un investissementimportant appuyé par la directionde l’audit informatique.

5. Exemples d’utilisation

a) Vérification de la mise enœuvre d’une procédure desaisie par les utilisateurs

Objectif de l’analyse : Vérificationde la mise en œuvre d’une procé-dure de saisie par les utilisateursqui prévoyait la saisie d’un évène-ment pour marquer chacune desdeux étapes constitutives d’une opé-ration manuelle. Le respect decette procédure permettait d’offrirune visibilité sur l’état d’avance-ment de l’opération considérée.

Population observée : Ensemble desjournaux de transactions de l’appli-cation sur une semaine sous laforme de fichiers d’évènements auformat texte.

Travaux réalisés :

• Concaténation des fichiers évè-nements.

• Remise en forme globale pour im-portation du fichier dans l’outild’analyse, ce qui a constitué l’étapela plus longue et la plus fastidieuse.

• Importation du fichier obtenu.

• Pour chaque opération, calcul dudélai écoulé entre les deux évène-ments.

Résultats :

L’analyse des délais écoulés entreles deux évènements a permis demettre en évidence un non-respectde la procédure sur le terrain et dequantifier l’étendue du dysfonc-tionnement. En effet, certains utili-sateurs effectuaient les deuxsaisies en simultanée plutôt qu’àchaque fin d’étape constitutive,faussant la vue restituée par lesystème. À la suite de cet audit, untravail réalisé conjointement avecle propriétaire du processus a per-mis de mettre en œuvre les actionsnécessaires pour un retour à unesituation maîtrisée et conforme àla procédure.

b) Étude de l’efficacité d’uncontrôle informatique addi-tionnel mis en œuvre dans uneapplication

Objectif de l’analyse : Démontrerl’efficacité du contrôle informatique.

Population observée : Extraction del’ensemble des enregistrements rejetés dans l’application au coursd’un trimestre sous la forme d’un fichier Excel.


• Importation du fichier.

• Sommaire par date du nombre derejets.

• Représentation du résultat sousforme graphique.

Résultats :

Dans ce cas, l’analyse a permis dedémontrer l’efficacité du contrôle informatique puisque sa mise enplace a engendré une diminutionsignificative du nombre de rejetsdans l’application. De plus, ces tra-vaux ont montré la nécessité d’ins-taurer une procédure d’analysesystématique des rejets afin de détecter les dysfonctionnementséventuels notamment après lamise en production d’évolutions del’application. À la suite de cet audit,le propriétaire du processus a doncmis en place une procédure desuivi des anomalies avec un indica-teur d’alerte basé sur les tables derejets de l’application.

Non-respect dela procéduredans 45,8 % des cas

Mise en place du contrôle informatique


La Revue / Mai 07

(14)

c) Contrôle des habilitationspar rapprochement avec lesbases RH

Objectif de l’analyse : Vérificationde la légitimité des habilitationsaccordées au niveau d’une appli-cation.

Population observée : Extraction del’ensemble des habilitations ainsique des droits accordés au niveau de l’application sous la forme d’un fichier Excel.


• Importation du fichier des habili-tations dans l’outil d’analyse.

• Extraction de la liste des utilisa-teurs concernés.

• Extraction à partir des bases RHdu statut des utilisateurs impactés.

• Importation du fichier des utilisa-teurs dans l’outil d’analyse.

• Rapprochement des statuts et deshabilitations pour chaque utilisateur.

Résultats :

L’analyse a permis d’identifier descas où la procédure de retrait deshabilitations n’avait pas été respec-tée au niveau local. L’audit a aboutiau lancement d’un plan de sensibili-sation auprès des managers locauxafin qu’ils s’assurent du respect dela procédure.

d) Qualité de la recette fonction-nelle d’une application

Objectif de l’analyse : Vérificationde la qualité de la recette fonction-nelle précédant la mise en produc-tion de la nouvelle version d’uneapplication par examen des anoma-lies fonctionnelles et des opéra-tions de maintenance à chaud.

Population observée : Extraction del’ensemble des anomalies fonc-tionnelles et des opérations demaintenance à chaud sur 10 moissous la forme de fichiers Excel.


• Importation des fichiers dansl’outil d’analyse.

• Cumul par date du nombred’anomalies fonctionnelles.

• Cumul par date du nombred’opérations de maintenance àchaud.

• Représentation des résultatssous forme graphique.

Résultats :

L’analyse a permis d’étayer les élé-ments recueillis au cours des entre-tiens d’audit. En effet, les résultatsmontrent que la mise en productionde la nouvelle version a engendréune croissance importante dunombre d’anomalies fonctionnelleset par conséquent d’opérations demaintenance à chaud. L’analyse adonc permis de souligner l’insuffi-sance de la recette fonctionnelleréalisée avant la mise en production.

> Évolution du nombre d’anomalies fonctionnelles

> Évolution du nombre d’opérations de maintenance à chaud

e) Mise à jour de la modélisationd’une activité

Objectif de l’analyse : Vérificationdu respect d’une procédure pré-voyant la mise à jour annuelle de lamodélisation d’une activité dansune application. Le respect de cetteprocédure permettait à l’applicationde restituer une image fiable del’activité globale.

Population observée : Extractionde l’ensemble des modélisationscréées dans l’outil au niveau nationaldans un fichier au format csv.Chaque modélisation était rattachéeà une entité et possédait une datede création.


• Importation du fichier des modé-lisations dans l’outil d’analyse.


La Revue / Mai 07

(15)

• Pour chaque entité, calcul du

nombre moyen de modélisations

réalisées chaque année (taux de

mise à jour).

• Cumul par taux de mise à jour du

nombre d’entités.

• Représentation du résultat sous

forme graphique.

6. Webographie

www.afai.fr :AFAI (Association Française de l’Auditet du Conseil Informatiques)

www.isaca.com :ISACA (Information Systems Auditand Control Association)

www.ifaci.com :IFACI (Institut Français de l’Audit etdu Contrôle Interne)

http://www.theiia.org/itaudit :site dédié à l’audit des systèmesd’information

www.auditnet.org :Audit Net, site dédié au partage deconnaissance des auditeurs

www.caseware-idea.com :Distributeur du logiciel IDEA

www.acl.com :Distributeur du logiciel ACL

www.cncc.fr :CNCC Compagnie Nationale desCommissaires aux Comptes �

Que vaut mon système d’information ? Tout et rien.

Mais peut-être la question est-elle mal posée. En effet,

un système d’information est à la fois un outil de gestion

du quotidien, un levier d’évolution de l’entreprise et

un instrument de sa stratégie. Alors peut-être faut-il

pour répondre à la question de la valeur du SI s’inter-

roger d’abord sur sa contribution à la valeur de l’en-

treprise. Tâche apparemment très complexe, mais en

réalité assez simple à réaliser. Pourvu que tous les

protagonistes (directions générales, métiers, DSI,…)

s’y retrouvent et partagent un langage commun.

C’est le seul et unique but de cet ouvrage, qui n’a

pas la prétention d’être une méthode, mais simple-

ment un guide de bonne pratique, et une aide à

construire une démarche. Ce n’est qu’un jalon, et

la route est longue.

Résultats :

L’analyse a permis de constaterque des entités ne mettaient à jourleur modélisation chaque année.Ce groupe d’entités non négligeablene respectait pas la procédure.Une série d’actions a été déclenchéepar la suite pour s’assurer de cettemise à jour annuelle dans l’ensem-ble des établissements.
