Upload
ismail-el-makrouz
View
273
Download
0
Embed Size (px)
Citation preview
Résumé
La démarche d’audit informatique proposée vient pa-lier aux lacunes des démarches classiques en mesu-rant le degré de l’alignement stratégique du système d’information. Pour cela, on vérifie l’existence d’un tableau de bord général afin de contrôler la fonction informatique. Nous vérifions le type de la structure de l’organisation et le taux d’informatisation des processus clés pour contrôler les pratiques internes de gestion. Et nous optons pour une méthode de décou-page des systèmes d’information en sous-systèmes et métiers pour l’énumération précise des projets infor-matiques. Finalement, la démarche est illustrée par des livrables analysant un institut de l’enseignement supérieur.
Mots clefs : audit informatique, alignement straté-gique, système d’information, processus-clés
Abstract
The proposed a demarche of computer audit, which comes landing to the gaps of the classical demarches.
By measuring the degree of the strategic adaptation of the information system, by the existence of general dashboard, in the objective of controlling the compu-ter function.
We verify the type of the structure of the organiza-tion, and the rate of computerization of the Key pro-cesses to control the internal practices of manage-ment.
And we opt for a method of division of the informa-tion system, for an enumeration precise of the com-puter projects.
Finally, we illustrate the steps of our demarche, by available stemming from the application of our de-marche, in a postgraduate school
Key-words: audit, strategic alignment, information system, key process
Une démarche d’audit informatique.
A demarche of computer audit
Mohamed Jaouad El QasmiProfesseur habilité, ISCAE-Maroc,[email protected]
Ounsa ROUDIES Professeur Ecole Mohammadia D’ingenieurs - [email protected].
Une démarche d’audit informatique
1. IntroductionDepuis les années 70, l’intégration de l’informatique dans les processus de l’entreprise est devenue un levier de génération de croissance et un support pour la mise en œuvre de la stratégie. Cette intégration a généré au sein de l’entreprise, les risques informatiques qui sont relatifs aux choix des structures d’organisation, aux modes de fonctionnement et aux méthodes de sur-veillance des activités du système d’information.
L’intégration de l’audit informatique au sein de l’entre-prise permet d’initier un processus ponctuel visant à fournir une assurance raisonnable que les objectifs de contrôle adéquats sont atteints, identifier les faiblesses importantes des contrôles existants et en évaluer les risques ainsi que de conseiller les responsables sur les actions correctives. L’audit informatique est un jalon de l’amélioration de la maturité du système d’information de toute entreprise en vue d’établir un équilibre entre les risques et les bénéfices de l’informatique et d’assu-rer une amélioration quantifiable, efficace et efficiente des processus qui s’y rapporte.
Une revue de la littérature des démarches d’audit infor-matique nous renseigne que l’objectif de ces démarches est d’évaluer la qualité d’un système existant et de dé-crire les mesures qui permettront de l’améliorer. Les points de contrôle classiques sont le poste de travail uti-lisateur, le système d’information et enfin la maîtrise du système informatique des points de vue fonctionnel, technique et économique. La difficulté de l’audit infor-matique se matérialise à notre sens par des questions simples, claires mais non évidentes :
Comment contrôler rigoureusement la fonc-tion informatique ?
Comment découper le système d’information existant ?
Comment cartographier les applications infor-matiques ?
Comment évaluer les choix et les investisse-ments informatiques ?
Quels sont les critères de performance des pratiques de gestion internes ?
L’informatisation des organisations ne signifie plus seulement l’automatisation des activités tertiaires mais également l’exploitation de toutes les ressources d’aide de l’outil informatique l’exécution de ces activités. Ainsi, le vrai rôle de l’informatique est-il de développer une architecture du système d’information qui s’enra-cine dans les processus opérationnels et qui supporte les orientations stratégiques. L’audit informatique doit commencer à notre sens par l’évaluation de cette fonc-tion informatique alors que la plupart des méthodes d’audit informatique sont orientées vers une culture de la gestion formelle des risques dans les entreprises.
L’objectif de notre recherche est la conception d’une démarche d’audit informatique qui ne se limite pas au système informatique mais qui s’étende à l’audit de la conformité du système d’information aux orientations de la stratégie globale de l’organisation. Nous propo-sons aussi de vérifier la structure de l’organisation et le taux d’informatisation des processus-clés afin de contrôler les pratiques de la gestion interne, laquelle est toujours absente dans les démarches classiques.
Nous optons pour une méthode de découpage des sys-tèmes d’information à deux niveaux en sous-systèmes types puis en métiers d’entreprise type, afin d’obtenir une cartographie précise des projets informatiques. Nous avons expérimenté notre démarche sur le cas réel d’un institut de l’enseignement supérieur.
La suite de cet article est structurée en 4 parties. Nous commencerons en section 2 par l’analyse des méthodes d’audit informatiques et la mise en évidence de leurs la-cunes. Se fondant sur les besoins identifiés, nous décri -vons ensuite en section 3 notre démarche. La quatrième section est consacrée à l’illustration de cette démarche. Et nous terminons par dégager une discussion et des orientations pédagogiques en section 5.
2. Limites des méthodes d’audit informatique
L’audit informatique est un examen discontinu d’un système d’information informatisé et des structures qui le mettent en œuvre, dans le but de proposer un plan d’action pour en améliorer la qualité [Colleville, 2001].
Plusieurs méthodes permettent de procéder à de tels au-dits. En France, les plus connues sont Mehari, créée par le Clusif (Club de la sécurité des systèmes d'information français), Ebios (de la Direction centrale de la sécurité des systèmes d'information) et MV3 (de CF6, racheté par Telindus). Citons également la méthode anglo-saxonne Cobit pour ses capacités de contrôle et de pré-sentation de l'existant. Le rôle des méthodes d'audit in-formatique consiste à mesurer les pratiques de sécurité existantes puis à dresser l'inventaire des risques qui pèsent sur l'activité de l'entreprise. Ces méthodes par-fois similaires, parfois opposés, sont toujours complé-mentaires dans leur approche, quand il s’agit de catégo-riser les risques, déterminer les menaces et d’identifier les anomalies (tableau 1).
1
Une démarche d’audit informatique
Nom Signification Origine Caractéristiques
Cobit Control objectives for in-formation and related technology
ISACA Méthode accessible à tous, dans un langage simple. Les outils fournis permettent la mesure des performances mais la mé-thode est aujourd’hui davantage assimilée à une méthode de gouvernance des SI.
Ebios Expression des besoins et identification des objectifs de sécurité
DCSSI Notamment déployée au sein de l’administration française, cette méthode comprend une base de connaissances et un re-cueil de bonnes pratiques. Elle est téléchargeable sur le site de la DCSSI et s’accompagne d’un logiciel.
Feros Fiche d’expression ration-nelle des objectifs de sé-curité
SCSSI C’est un document permettant à une autorité donnée (secteur secret défense notamment) de définir le niveau d’engagement de sa responsabilité dans l’application d’une politique de sécu-rité.
Marion Méthodologie d’analyse de risques informatiques orientés par niveaux
CLUSIF Elle fonctionne par questionnaires débouchant sur 27 indica-teurs répartis en 6 catégories. 2 phases (audit des vulnérabilités et analyse des risques) permettent la définition et la mise en œuvre de plans d’actions personnalisés.
Mehari Méthode harmonisée d’analyse de risques
CLUSIF Elle s’articule autour de 3 plans. Permet désormais d’apprécier les risques au regard des objectifs de l’entreprise.
Tableau 1. Caractéristiques de quelques méthodes d’audit
MEHARI s’articule sur trois plans :
le plan Stratégique de sécurité qui fixe les objectifs de sécurité et les indicateurs de mesure et déter-mine le niveau de gravité des risques encourus.
les plans Opérationnel de Sécurité qui définit, par site, les mesures de sécurité à prendre.
le plan Opérationnel d’Entreprise axé sur le pilo-tage stratégique et le suivi d’indicateurs clés.
La méthode EBIOS (Expression des Besoin et Identifi-cation des Objectifs de Sécurité) qui a été élaborée par la DCSSI (Direction Centrale de la Sécurité des Sys-tèmes d’Information), est particulièrement déployée au sein de l’administration française. Elle comprend une base de connaissances qui décrit les types d’entités, les méthodes d’attaques, les vulnérabilités, les objectifs de sécurité et les exigences de sécurité. Elle propose égale-ment un recueil des meilleures pratiques d’élaboration de schémas directeurs SSI, la rédaction de profils de protection, de cibles de sécurité et de SSRS (System-specific Security Requirement Statement) qui pro-viennent de l’OTAN. Cette méthode se veut un outil de gestion des risques mais aussi de sensibilisation, de né-gociation et d’arbitrage.
La méthode COBIT (Control objectives for information and technology) vient, quant à elle, de l’ISACA (Infor-mation Systèmes Audit and Control Association). Elle est diffusée en France par la branche française de cette association : l’AFAI (Association Française de l’Audit et du Conseil Informatique).
Concernant le référentiel Cobit version 4, la principale difficulté de son application se matérialise par l’absence d’une démarche de découpage du système d’information en métiers d’entreprise. Ce référentiel découpe n’im-porte quel environnement en quatre domaines de mana-gement :
- Planification et orientation ;
- Acquisition et implémentation ;
- Distribution et support ;
- Et monitoring et évaluation.
Lorsqu’on détaille le processus de chaque domaine, on se rend compte de la difficulté d’utiliser ce référentiel pour gérer l’ensemble des métiers d’une organisation, surtout ceux qui découlent de son activité. En effet, les processus de Cobit touchent les niveaux de pilotage et de support étroitement liés à la fonction informatique dans son aspect technique, qui renseigne uniquement sur ce que fait l’informatique, ignorant son aspect ma-nagérial et qui renseigne sur sa raison d’exister, c'est-à-dire supporter la stratégie et la prise de décision.
L’une des critiques majeures formulées à l’égard de ces méthodes est leur incapacité de fournir des réponses à la question pertinente suivante : y a-t-il un alignement stratégique du système d’information par rapport à la stratégie de l’organisation? En négligeant la dimension stratégique de l’informatique, ces méthodes se contentent de contrôler ce que fait l’informatique, igno-rant ce qu’il doit faire et quelle sera sa finalité, comme outil d’aide à la décision, ceci est dû à notre sens, à la définition même de l’informatique, puisque plusieurs spécialistes le définissent comme étant une science et un ensemble de moyens pour le traitement automatique de l’information. Cette définition explique les attribu-tions de l’informatique dans une organisation, mais ne renseigne jamais sur sa raison d’exister.
Les travaux de Simon dédiés à la prise de décision ont redéfinit le rôle de l’informatique comme outil d’aide à la prise de décision.
Selon Simon, l’homme a une rationalité limitée pour prendre les bonnes décisions, puisque les individus commettent des erreurs de jugement et n’atteignent pas toujours les buts qu’ils se sont fixés : « la compétence d’un individu, est liée à la fois à la quantité d’informa-
2
Une démarche d’audit informatique
tions contenue dans la mémoire à long terme, mais sur-tout à sa capacité à utiliser mieux sa mémoire à court terme, c'est-à-dire sa capacité à sélectionner les infor-mations les plus pertinentes compte tenu de l’objectif fixé au traitement de l’information » (Simon, 1959). Si-mon se demande alors : « s’il est possible de construire un outil qui rende compte des mécanismes de prise de décision et qui puisse être descriptif, analytique, opéra-tionnel et testable. Grace à l’intelligence artificielle, l’informatique peut palier à la rationalité limitée de l’homme et constituer un outil précieux d’aide à la déci-sion » (Simon, 1969).
Partant de cette définition, l’audit informatique doit s’étendre à l’audit des systèmes d’information, pour mettre en évidence la dimension stratégique de cet audit et mesurer le degré d’alignement stratégique des sys-tèmes d’information par rapport à la stratégie et leur contribution à la prise de décision.
Ainsi, les deux dimensions organisation et systèmes d’information doivent-elle être pensées simultanément pour l’intégration rigoureuse des technologies de l’in-formation et des télécommunications. La dimension or-ganisationnelle de l’audit informatique passe par le contrôle de l’informatisation des processus afin d’assu-rer la qualité des services et des produits. La dimension opérationnelle de l’audit informatique qui consiste à au-diter les applications informatiques, ne peut se faire sans une méthode de découpage du système d’informa-tion, permettant d’identifier d’abord les projets informa-tiques. Or, nous relevons l’absence d’une méthode de découpage des systèmes d’information capable d’identi-fier avec précision les projets informatiques c'est-à-dire les domaines informatisés ou à informatiser. Il est clair que l’audit rigoureux repose sur une vision globale de l’entreprise, basée sur une cartographie précise de toutes les composantes du système d’information.
Le découpage du système d’information en domaines de gestion est la phase la plus créative dans la planification du système d’information (Bal, 1992). Il vise les objec-tifs suivants :
1. Enumérer avec précision les besoins de l’entreprise à informatiser, c'est-à-dire les projets informa-tiques;
2. Assurer la compatibilité entre la définition globale du système d’information et sa réalisation progres-sive;
3. Intégrer l’évolution de la technologie;4. Améliorer l’efficacité des utilisateurs et spécia-
listes des technologies de l’information.
Ainsi, considérons-nous que les méthodes d’audit infor-matiques classiques doivent intégrer trois nouvelles di-mensions : stratégique, organisationnelle et opération-nelle.
La dimension stratégique ne doit pas se limiter à la sé-curité et consiste à auditer la fonction informatique. Pour ce faire, il faut mesurer le degré d’alignement stra-tégique du système d’information existant. Ceci sup-pose l’existence de tableau de bord général, issue d’un
Datawerehouse qui relie les différentes bases de don-nées.
La dimension organisationnelle passe par le contrôle des pratiques de gestion interne pour assurer la qualité de services et de produits. Ceci est recherché notam-ment par la certification ISO 9000 dont la version 2000 met l’accent sur l’approche processus (Verdoux, 2003). Ce contrôle consiste à vérifier la structure de l’organisa-tion : s’agit-il d’une structure pyramidale ou transver-sale ? Une organisation traditionnelle est souvent quali-fiée de pyramidale dans le sens où elle présente une cas-cade de directions qui se rapportent à la direction géné-rale laquelle se rapporte elle-même à la présidence (Verdoux, 2003). Ainsi, le client est-il perdu de vue et la satisfaction de ses exigences passe au second plan. L’organisation doit alors se transformer en une organi-sation orientée vers le client, par l’adoption d’une ver-sion transverse. Se pose alors le degré d’informatisation des processus- clef, de bout en bout du besoin du client jusqu’à sa satisfaction.
La 3ème dimension est la dimension opérationnelle de l’audit car l’absence d’une méthode de découpage dans les méthodes d’audit classiques complique la tâche de l’auditeur. L’avantage d’une méthode de découpage est d’identifier les projets informatiques existants mais aus-si les métiers et les domaines non informatisés. Nous proposons dans ce sens un découpage en métiers d’en-treprise (El Qasmi, 2002) capable d’énumérer avec pré-cision les projets informatiques et d’obtenir une carto-graphie de la réalité.
Cette démarche est décrite dans la section suivante.
3. Notre démarche d’audit infor-matique
Pour intégrer les dimensions stratégique, organisation-nelle et opérationnelle dans la démarche d’audit, nous proposons de procéder selon les trois étapes :
Etape 1 : Contrôle de la fonction informatique. (dimen-sion stratégique)
Objectif : étudier l’adéquation du système d’informa-tion existant avec les orientations de la stratégie globale de l’organisation.
Moyen de mise en œuvre : Vérifier l’existence d’un ta-bleau de bord général, alimenté à partir des différentes bases de données existantes.
Etape 2 : Contrôle des pratiques de la gestion interne. (Dimension organisationnelle)
Objectif : s’assurer que le système d’information exis-tant contribue à la qualité des services et produits par l’informatisation des processus clefs.
Moyen de mise en œuvre : vérifier la structure de l’or-ganisation et le degré d’informatisation des processus clef qui permettent la satisfaction du client.
Etape 3 : Identification des projets informatisés (di-mension opérationnelle)
Sous système d’information client-produit
Sous système d’information personnel
Sous système d’information qualité
Sous système d’information financier
Une démarche d’audit informatique
Objectifs : identifier les applications correspondant à chaque métier de l’organisation.
Moyens de mise en œuvre : nous proposons notre mé-thode de découpage des systèmes d’information en mé-tiers de l’entreprise (El Qasmi, 2002).
Nous commencerons par tracer les grandes lignes de notre démarche avant de préciser le découpage du sys-tème d’information en métiers. Ceci servira de fonde-ment à l’audit informatique décrit en troisième section.
3.1 Schéma de la démarche
Le découpage du système d’information en métiers a pour but d’établir une cartographie de la réalité de l’en-treprise. Le point de départ d’une telle architecture orientée métiers est de commencer par trouver les ré-ponses aux événements habituels, c'est-à-dire les pro-cessus d’activités de l’entreprise, ce qui suppose une bonne connaissance de ces processus. Aborder l’entre-prise sous l’angle des processus, c’est d’abord mettre en avant sa finalité exprimée en terme de produit dans sa relation avec le client. Une première idée serait de considérer le système Client-Produit comme un sous-système de base du système d’information.
Notre objectif étant de mettre en évidence les métiers d’entreprise, nous répondrons aux questions pertinentes suivantes : qui fait quoi ? Comment ? Par quels moyens ? La réponse à ces questions nous conduit à un premier résultat : le sous-système Personnel répondra à la question « qui fait quoi ? » ; le sous-système Qualité répondra à la question : « comment ? » ; le sous-sys-tème Finance répondre à la question « par quels moyens ? ».
Ainsi, les quatre sous-systèmes de base du système d’information sont-ils :
Figure 1: Processus de découpage du SI en métiers (EL QASMI, 2002)
Le sous-système Personnel,
Le sous-système Client-Produit,
Le sous-système Qualité,
Le sous-système Finance.
Ces quatre sous-systèmes seront le point de départ d’un découpage intermédiaire en métiers principaux qui se-ront à leur tour découpés en d’autres métiers (Figure 4.1).
3.2 Découpage des sous-systèmes d’in-formation en métiers principaux
Le sous-système financier comprend les métiers princi-paux suivants : optimiser le résultat de l’entreprise, fi-nancer et gérer les recettes et les dépenses.
Le sous-système client/produit comprend tout ce qui touche le client, le produit ou les deux à la fois, ce qui se traduit par les 4 métiers : Acheter, Vendre, Produire, Livrer au client.
Le sous-système personnel est décrit à travers les mé-tiers : Recruter, Utiliser, Payer, Former et Motiver le personnel.
Le sous-système qualité est abordé par ses deux princi-pales composantes : l’assurance de la qualité du produit et celle des services.
3.3 Audit des applications informatiques
Objectif : Tester les programmes de l’application, l’ac-ceptation des données par les utilisateurs et la pérennité de l’application.
Moyens de mise en œuvre : nous proposons de re-prendre les points de contrôles qui existent dans la plu-part des méthodes d’audit informatique, et qui sont :
- Test des programmes de l’appréciation qui consiste à auditer :
Le logiciel de développement;
La structure des programmes;
L’existence ou non d’un dossier d’analyse;
L’existence d’un cahier des charges;
L’existence d’une méthode de conception;
Programmation structurée ou non;
Jeux de tests sur les programmes.
Analyse des activi-tés de l’entreprise = que fait l’entre-prise ?
Analyse des moyens financiers = par quels moyens ?
Analyse des res-sources humaines = qui fait quoi ?
Analyse de la qua-lité des services et produits
Mise en œuvre du dé-coupage
Découpage des métiers principaux en métiers
Validation
Org
anis
atio
n du
pro
jet d
e dé
coup
age
du sy
stèm
e d’
info
rmat
ion
glob
al e
n m
étie
rs
Découpage des sous sys-tèmes en mé-tiers princi-paux
Une démarche d’audit informatique
- Test d’acceptation par les utilisateurs qui consiste à auditer :
Les éditions de sortie;
Les écrans de saisie;
Les modalités de la saisie;
Les résultats des éditions de sortie;
Les programmes de contrôle lors de la saisie et de l’édition des sorties.
- Contrôle programmé qui consiste à auditer :
L’accès à une application
L’accès à une édition de sortie
L’accès à un écran de saisie
L’accès à un programme donné
- Pérennité de l’application qui consiste à auditer :
L’existence ou non des procédures de sauve-gardes
L’existence ou non des procédures de reprise
L’accès à un programme donné
- Pérennité de l’application qui consiste à auditer :
L’existence ou non des procédures de sauve-gardes;
L’existence ou non des procédures de reprise.
4. Application de notre démarche
Cette étude de cas est extraite d’un cas réel d’audit d’un institut d’enseignement supérieur.
Nous mettrons l’accent sur les livrables.
Etape 1 : Contrôle de la fonction informatique :
Livrable1 : l’institut de l’enseignement supérieur sujet de notre audit ne dispose pas de tableau de bord général alimenté à partir des différentes bases de données audi-tées. Par conséquent, le système d’information existant n’est pas aligné à la stratégie globale de l’école.
Etape 2 : Contrôle des pratiques internes de gestion :
Livrable 2 : la structure de l’institut est pyramidale, sans aucune vision transversale permettant une veille stratégique et qui renseigne sur l’environnement exté-rieur. Aucune norme de la qualité et aucune informati-sation des processus clefs assurant la qualité des ser-vices et des produits.
Etape 3 : Identifications des projets informatiques in-formatisés ou non
Livrable3 :
Le sous-système Client- produit découpé en métiers sui-vants :
- réaliser des actions de recherche et d’exper-tise ;
- développer les actions de la formation conti-nue ;
- gérer la scolarité des étudiants ;
- gérer les stages des étudiants ;
- assurer l’accès à la documentation ;
- gérer le centre de calcul ;
- assurer l’hébergement et la restauration des étudiants ;
- gérer le patrimoine de l’institut;
- gérer le matériel de l’école.
Le sous- système personnel découpé en métiers sui-vants :
- Gérer les relations avec les étudiants ;
- Gérer personnel ;
- Payer personnel ;
- Former personnel ;
- Motiver personnel.
Le sous-système Financier découpé en métiers sui-vants :
- Optimiser les résultats de l’Ecole ;
- Assurer la comptabilité ;
- Gérer le budget de l’école.
Le sous-système qualité découpé en métiers suivants :
- Assurer la qualité de la formation des ingé-nieurs et des docteurs ;
- Assurer l’image de marque de l’institut.
Etape 4 : Audit des applications informatiques :
Nb : L’audit de chaque application est livré sous forme de tableau récapitulatif des différents points de contrôle avec la mention : inexistante, pour les métiers non in-formatisés.
4
Une démarche d’audit informatique
5
Une démarche d’audit informatique
1 Le sous système : client- produitMétier : Réaliser des actions de recherche et d’expertise
Une démarche d’audit informatique
Métier : Développer les actions de la formation conti-nue
Intitulé de l’applica-tion
Test des programmes de l’application
Test d’accepta-tion par les utili-
sateurs
Contrôles programmés Pérennité de l’applica-tion
Sauvegardes et reprisesInexistante
Métier : Gérer la scolarité des étudiants
Métier : Gérer les stages des étudiants
Intitulé de l’application Test des programmes de l’application
Test d’acceptation par les utilisateurs
Contrôles programmés Pérennité de l’applicationSauvegardes et reprises
Inexistante
Métier : Assurer l’accès à la documentation
Intitulé de l’application Test des programmes de l’application
Test d’acceptation par les utilisateurs
Contrôles programmés Pérennité de l’applicationSauvegardes et reprises
Gestion documentaire en cours d’installation
Logiciel de développe-ment : ALEXANDRIE
Métier : Gérer le centre de calcul
Intitulé de l’applica-tion
Test des programmes de l’application
Test l’acceptation par les utilisateurs
Contrôles program-més
Pérennité de l’applica-tion Sauvegardes et re-
prisesInexistante
Intitulé de l’opération Test des programmes de l’application
Test d’acceptation par les utilisateurs
Contrôles program-més
Pérennité de l’applica-tion
Sauvegardes et reprises
Gestion Estudiantine
L’outil de développement est FOXPRO
Il y a une logique d’en-chaînement des mo-dules conformément aux modalités d’exploi-tation
Pas de contrôle d’ac-cès à l’application
Inexistence des procé-dures de sauvegarde
Absence d’un dossier d’analyse
Les éditions de sorties répondent aux besoins des utilisateurs
Pas de contrôle de saisie des données
Inexistence des pro-grammes de reprises
Méthode de conception est : MCX
Difficulté pour gérer le choix des matières ou les matières par blocs
Pas de contrôle de sorties
Inexistence des procé-dures de sécurité des donnéesAbsence des cahiers de
charges
6
Une démarche d’audit informatique
Intitulé de l’appli-cation
Test des programmes de l’application
Test d’acceptation par les utilisateurs
Contrôles programmés Pérennité de l’applicationSauvegardes et re-
prises
Gestion du matériel infor-matique au centre du calcul
Outil de développement :
SGBD=Access
Les états de sortie fournis sont :
- Gestion des ordinateurs
- Gestion des imprimantes
- Gestion des logiciels
Voir NB Voir NB
Existence d’un dossier d’analyse
NB= Cette applica-tion n’est pas utili-sée pour le moment L’application ne permet pas le
suivi de la maintenance du matériel
Métier : Assurer l’hébergement et la restauration des étudiants
Intitulé de l’application Test des programmes de
l’application
Test d’acceptation
par les utilisateurs
Contrôles programmés Pérennité de l’application
Sauvegardes et reprises
Inexistante
Métier : Gérer le patrimoine de l’école
Intitulé de l’application Test des programmes de
l’application
Test d’acceptation par les
utilisateurs
Contrôles programmés Pérennité de l’application
Sauvegardes et reprises
Inexistante
Métier : Gérer le matériel de l’école
Intitulé de l’appli-
cation
Test des programmes de
l’application
Test d’acceptation
par les utilisateurs
Contrôles programmés Pérennité de l’applicationSauvegardes et reprises
Inexistante
Métier : Gérer les relations avec les étudiants
Intitulé de l’appli-
cation
Test des programmes de
l’application
Test d’acceptation
par les utilisateurs
Contrôles programmés Pérennité de l’applicationSauvegardes et reprises
Inexistante
2 Le sous système personnel 7
Une démarche d’audit informatique
Métier : Gérer le personnel
Intitulé de l’application Test des programmes de l’application
Test d’acceptation par les utilisateurs
Contrôles programmés Pérennité de l’applicationSauvegardes et reprises
Inexistante
Métier : Payer le personnel
Intitulé de l’appli-cation
Test des programmes de l’application
Test d’acceptation par les utilisateurs
Contrôles programmés Pérennité de l’applicationSauvegardes et reprises
Gestion des sa-laires
SGBD = Foxpro Les éditions de sortie sont :Etat de la paieEtat des créditsEtat des mutuellesEtat des retraites
Pas de contrôle d’accès à l’application
Inexistence des procédures de sauvegardes
Absence d’un dossier d’analyse
Pas de contrôle de sortie des donnéesAbsence d’une méthode de
conception Absence de la rubrique diplôme
Inexistence des procédures de reprise
Absence de cahier des charges
Absence de communication avec la gestion des carrières
Pas de contrôle des sorties
Métier : Former le personnel
Intitulé de l’applica-
tion
Test des programmes de
l’application
Test d’acceptation
par les utilisateurs
Contrôles programmés Pérennité de l’applicationSauvegardes et reprises
Inexistante
Métier : Motiver le personnel
Intitulé de l’application Test des programmes
de l’application
Test d’acceptation
par les utilisateurs
Contrôles programmés Pérennité de l’applicationSauvegardes et reprises
Inexistante
3 Le sous système financier
Métier : Assurer la comptabilité8
Une démarche d’audit informatique
Intitulé de l’appli-
cation
Test des programmes de
l’application
Test d’acceptation pour les
utilisateurs
Contrôles programmés Pérennités de l’applica-
tion : sauvegarde et re-
prise
Inexistante
Métier : optimiser les résultats de l’école
Intitulé de l’application Test des programmes de l’application
Test d’acceptation pour les utilisateurs
Contrôles programmés Pérennités de l’applica-tion : sauvegarde et re-
prise
Suivi budgétaire
Développé par Excel Les sorties sont :
- Etat des émissions ;
- Etat des paie-ments ;
- Etat des recettes.
- Pas de contrôle d’accès à l’application
- Pas de procédures de sau-vegardes
- Absence de dossier d’ana-lyse
- Absence de méthode de conception
- Pas de contrôle de saisie des données
- Pas de procédures de re-prise
Absence de cahiers de charges
- Pas de contrôle des sorties. - Pas de procédure de sécu-rité des données
Métier : Gérer le budget de l’école
Intitulé de l’application Test des programmes de
l’application
Test d’acceptation
pour les utilisateurs
Contrôles programmés Pérennités de l’applica-
tion : sauvegarde et reprise
Gestion du compte hors
budget
Développée par Excel Pas de logique d’enchaîne-ment
des modules conforment aux modalités de saisie
Pas de contrôle d’accès à l’application
Inexistence de procédure de
sauvegarde
Inexistence de
procédure de reprisePas de contrôle de saisie des données
Inexistence de procédure de
sécuritésLes éditions de sortie ne ré-pondent pas aux besoins des utilisateurs
Pas de contrôle des
sorties
4 Le sous système qualitéMétier : Assurer la qualité
9
Métier : Assurer l’image de marque de l’école
- Le site web de l’institut a été développé 8 ans plutôt ;
- Il contient des informations erronées (exemple : l’ancien organigramme) ;
- L’ergonomie n’est pas assurée ;
- L’interface homme / machine n’est pas perfor-mant ;
- Pas de logique d’enchaînement des modules.
5. Discussion et orientations pé-dagogiques
La relation entre le système d’information et la stratégie de l’entreprise est primordiale pour la survie des ogani-sations. L’alignement stratégique est devenu une préoc-cupation de premier ordre des décideurs d’entreprise. L’enjeu fondamental de l’alignement stratégique est de faire du système d’information un atout au service de la stratégie de l’entreprise.
Le découpage du système d’information en domaines de gestion ou en métiers est la phase la plus créative dans la planification des systèmes d’information dans le but de supporter la stratégie de l’organisation.
Les méthodes d’audit classiques ne permettent pas de contrôler l’alignement stratégique des systèmes d’infor-mation par rapport à la stratégie de l’organisation.
Elles ne permettent pas de contrôler le type de la struc-ture de l’organisation à auditer car si l’organisation est qualifiée de pyramidale, « la stratégie globale est ainsi déclinée en autant de sous-stratégies que de directions. Et chaque direction fonctionne en relative autonome, avec une certaine indépendance » (Verdoux, 2003).
L’entreprise orientée processus élabore une véritable in-teraction entre la stratégie de l’entreprise qui donne le sens, les processus qui donnent la valeur ajoutée pour la satisfaction des parties prenantes et les résultats qui re-présentent la finalité attendue » (Verdoux, 2003).
Les difficultés que nous avons rencontrées lors de notre audit sont exprimées par les questions suivantes :
Comment découper le système d’information pour une énumération précisé des activités à informatiser ?
Comment contrôler l’alignement stratégique du système d’information par rapport à la stratégie de l’organisa-
tion ?
Et comment mesurer le degré de performance du sys-tème et sa participation dans la qualité des produits et des services ?
Les leçons tirées de cet audit se résument dans les points suivants :
1- Le problème du découpage des systèmes d’informa-tion est un problème majeur pour les organisations. Il détermine les activités à informatiser, et conditionne les choix de modélisation et les options qui seront prise lors de l’évolution des systèmes d’information :
En optant pour une méthode de découpage des systèmes d’information en métiers, nous avons abordé la com-plexité de l’école de l’enseignement supérieur sujet de notre audit.
Les raisons qui nous ont poussées à opter pour le décou-page du système d’information en métiers sont les sui-vants :
a) Les méthodes d’audit classiques ne permettent pas de retrouver les activités à informatiser, et se contentent d’auditer ce qui existe (les acti-vités déjà informatisées). Le découpage pro-posé par le référentiel de Cobit version 4 (4 domaines et 34 processus), ne permet pas d’auditer la fonction informatique dans sa di-mension stratégique.
b) Notre méthode de découpage nous a permis de constater que l’informatique dans l’école su-périeur sujet de notre audit est au service de la productivité, s’éloignent ainsi d’une architec-ture « client-services ».
c) Ce découpage en métiers, nous a permis d’identifier les métiers selon lesquels on peut capitaliser des savoirs, ce qui peut influencer par la suite la réussite du projet de capitalisa-tion des connaissances.
2- L’école doit procéder à une mise en œuvre d’une ap-proche processus, pour améliorer son fonctionnement.
Le management par processus permettra à l’école:
- De traquer la valeur ajoutée ;
- De gérer et optimiser les interfaces ;
- D’assurer la qualité de ces produits et ser-vices ;
- Et de faciliter le benchmarking.
Intitulé de l’application Test des programmes de l’application
Test d’acceptation pour les utilisateurs
Contrôles programmés Pérennités de l’ap-plication : sauve-garde et reprise
Inexistante
10
3- Les activités automatisées de l’école ont donné lieu à des bases de données éparpillées géographiquement sans aucun lien entre elles. Relier ces bases de données par un datawerhouse orienté métiers, va permettre d’ex-traire les informations utiles pour la prise de décision, et d’alimenter le tableau de bord général et qui va partici-per à l’alignement stratégique du système d’information par rapport à la stratégie.
4- Enfin, l’équipe du projet de l’audit informatique doit contenir d’autres compétences dans d’autres domaines différents de l’informatique, notamment le management et l’organisation.
Références
G.Ballantzian(1992).Les schémas directeurs straté-giques .Edition :Masson
Carlier,Alphonse.(1994).stratégie appliquée à l’audit des systèmes d’information : les approches méthodolo-giques et l’audit qualité.Paris : Hermes
Chantal, Morley (2002). Changement organisationnel et modélisation des processus. Actes du colloque de l’AIM, Novembre 2000. Montpellier. France
Collignon, Nicole ; Lorau, Yvon-Michel; Luc Verleye, Clet. (1990).Les principes de la sécurité
informatique : guide d’audit.Paris :Hermes.
Colleville,Luc. Réussir un projet informatique. (2001).paris :Eyrolles.
Colleville,Luc. (1991). La gestion d’un centre infor-matique. Paris : Eyrolles.
Club informatique des grandes Entreprises Françaises. (2000).La sécurité à l’heure d’Internet. Paris : CIGREF.
Club de la sécurité informatique français. (Février 1997). Evaluation des conséquences économiques des incidents et sinistres relatifs aux systèmes informa-tiques. France : La commission bancaire.
Conseil supérieur de l’ordre des experts comptables et des comptables agrées. Le diagnostic des
systèmes informatiques français.(1999).Préconisations pour l’élaboration d’un Code de Déontologie informati-sés : Guide d’application des recommandations. O.E.C.C.A.
Derrien, Yann. Les techniques de l’organisation infor-matique. Paris : DUNOD.
Madoz, jean-Piere.(2003).L’audit et les projets. Paris : AFNOR
Faurie, Sylvain (1991). L’audit informatique : une né-cessité tant pour l’entreprise que pour l’auditeur finan-cier. Revue Economie et comptabilité, n° 176
Laporte, Hélène ; Prudhomme, Philippe.(1999). Audit informatique dans les entreprises : Evaluation du contrôle interne et contrôle des comptes. Revue fran-çaise de comptabilité, n° 316.
Mohamed Jaouad El Qasmi (2002), le système d’in-formation orienté dans les métiers d’entreprise. Revue des sciences de gestion. France, n° 198, 2002.
OUAZZANI, Adil (1999).Audit informatique : Le cas d’une entreprise du secteur public au Maroc. Revenue Française de Comptabilité, n°316
Simon Herbert A. (1959) Théories of Decision Ma-king And Behavior Science.American economic review,49,n°1
Simon Herbert A. (1969).The sciences of the artificial. American economic review71, n°2
Simon Herbert A. (1959).Technologie is not the pro-blem .Princeton University Press
Verdoux Alain, (2003), l’entreprise orientée processus .Editions d’organisation
http://www. AFAI.FR , site officiel de l’association française de l’audit et du conseil informatique .visité le 13/04/2004
http://www.scssi.gouv.fr/,serveur thématique de la France sur la sécurité des systèmes d’information. visité le 10/04/2004
http://www.cigref.fr/,site officiel du club informatique des grandes entreprises françaises.
visité le 14/05/2004
http://www.clusif.asso.fr/,site officiel du club infor-matique de la sécurité de l’information français. visité le 13/04/2006
http://www.itaudit.org,The premier information tech-nology ressource for internal auditors visité le 17/07/2004.
11