Audit informatique

Résumé

La démarche d’audit informatique proposée vient pa-lier aux lacunes des démarches classiques en mesu-rant le degré de l’alignement stratégique du système d’information. Pour cela, on vérifie l’existence d’un tableau de bord général afin de contrôler la fonction informatique. Nous vérifions le type de la structure de l’organisation et le taux d’informatisation des processus clés pour contrôler les pratiques internes de gestion. Et nous optons pour une méthode de décou-page des systèmes d’information en sous-systèmes et métiers pour l’énumération précise des projets infor-matiques. Finalement, la démarche est illustrée par des livrables analysant un institut de l’enseignement supérieur.

Mots clefs : audit informatique, alignement straté-gique, système d’information, processus-clés

Abstract

The proposed a demarche of computer audit, which comes landing to the gaps of the classical demarches.

By measuring the degree of the strategic adaptation of the information system, by the existence of general dashboard, in the objective of controlling the compu-ter function.

We verify the type of the structure of the organiza-tion, and the rate of computerization of the Key pro-cesses to control the internal practices of manage-ment.

And we opt for a method of division of the informa-tion system, for an enumeration precise of the com-puter projects.

Finally, we illustrate the steps of our demarche, by available stemming from the application of our de-marche, in a postgraduate school

Key-words: audit, strategic alignment, information system, key process

Une démarche d’audit informatique.

A demarche of computer audit

Mohamed Jaouad El QasmiProfesseur habilité, ISCAE-Maroc,[email protected]

Ounsa ROUDIES Professeur Ecole Mohammadia D’ingenieurs - [email protected].

mailto:[email protected]

Une démarche d’audit informatique

1. IntroductionDepuis les années 70, l’intégration de l’informatique dans les processus de l’entreprise est devenue un levier de génération de croissance et un support pour la mise en œuvre de la stratégie. Cette intégration a généré au sein de l’entreprise, les risques informatiques qui sont relatifs aux choix des structures d’organisation, aux modes de fonctionnement et aux méthodes de sur-veillance des activités du système d’information.

L’intégration de l’audit informatique au sein de l’entre-prise permet d’initier un processus ponctuel visant à fournir une assurance raisonnable que les objectifs de contrôle adéquats sont atteints, identifier les faiblesses importantes des contrôles existants et en évaluer les risques ainsi que de conseiller les responsables sur les actions correctives. L’audit informatique est un jalon de l’amélioration de la maturité du système d’information de toute entreprise en vue d’établir un équilibre entre les risques et les bénéfices de l’informatique et d’assu-rer une amélioration quantifiable, efficace et efficiente des processus qui s’y rapporte.

Une revue de la littérature des démarches d’audit infor-matique nous renseigne que l’objectif de ces démarches est d’évaluer la qualité d’un système existant et de dé-crire les mesures qui permettront de l’améliorer. Les points de contrôle classiques sont le poste de travail uti-lisateur, le système d’information et enfin la maîtrise du système informatique des points de vue fonctionnel, technique et économique. La difficulté de l’audit infor-matique se matérialise à notre sens par des questions simples, claires mais non évidentes :

Comment contrôler rigoureusement la fonc-tion informatique ?

Comment découper le système d’information existant ?

Comment cartographier les applications infor-matiques ?

Comment évaluer les choix et les investisse-ments informatiques ?

Quels sont les critères de performance des pratiques de gestion internes ?

L’informatisation des organisations ne signifie plus seulement l’automatisation des activités tertiaires mais également l’exploitation de toutes les ressources d’aide de l’outil informatique l’exécution de ces activités. Ainsi, le vrai rôle de l’informatique est-il de développer une architecture du système d’information qui s’enra-cine dans les processus opérationnels et qui supporte les orientations stratégiques. L’audit informatique doit commencer à notre sens par l’évaluation de cette fonc-tion informatique alors que la plupart des méthodes d’audit informatique sont orientées vers une culture de la gestion formelle des risques dans les entreprises.

L’objectif de notre recherche est la conception d’une démarche d’audit informatique qui ne se limite pas au système informatique mais qui s’étende à l’audit de la conformité du système d’information aux orientations de la stratégie globale de l’organisation. Nous propo-sons aussi de vérifier la structure de l’organisation et le taux d’informatisation des processus-clés afin de contrôler les pratiques de la gestion interne, laquelle est toujours absente dans les démarches classiques.

Nous optons pour une méthode de découpage des sys-tèmes d’information à deux niveaux en sous-systèmes types puis en métiers d’entreprise type, afin d’obtenir une cartographie précise des projets informatiques. Nous avons expérimenté notre démarche sur le cas réel d’un institut de l’enseignement supérieur.

La suite de cet article est structurée en 4 parties. Nous commencerons en section 2 par l’analyse des méthodes d’audit informatiques et la mise en évidence de leurs la-cunes. Se fondant sur les besoins identifiés, nous décri -vons ensuite en section 3 notre démarche. La quatrième section est consacrée à l’illustration de cette démarche. Et nous terminons par dégager une discussion et des orientations pédagogiques en section 5.

2. Limites des méthodes d’audit informatique

L’audit informatique est un examen discontinu d’un système d’information informatisé et des structures qui le mettent en œuvre, dans le but de proposer un plan d’action pour en améliorer la qualité [Colleville, 2001].

Plusieurs méthodes permettent de procéder à de tels au-dits. En France, les plus connues sont Mehari, créée par le Clusif (Club de la sécurité des systèmes d'information français), Ebios (de la Direction centrale de la sécurité des systèmes d'information) et MV3 (de CF6, racheté par Telindus). Citons également la méthode anglo-saxonne Cobit pour ses capacités de contrôle et de pré-sentation de l'existant. Le rôle des méthodes d'audit in-formatique consiste à mesurer les pratiques de sécurité existantes puis à dresser l'inventaire des risques qui pèsent sur l'activité de l'entreprise. Ces méthodes par-fois similaires, parfois opposés, sont toujours complé-mentaires dans leur approche, quand il s’agit de catégo-riser les risques, déterminer les menaces et d’identifier les anomalies (tableau 1).

1


Nom Signification Origine Caractéristiques

Cobit Control objectives for in-formation and related technology

ISACA Méthode accessible à tous, dans un langage simple. Les outils fournis permettent la mesure des performances mais la mé-thode est aujourd’hui davantage assimilée à une méthode de gouvernance des SI.

Ebios Expression des besoins et identification des objectifs de sécurité

DCSSI Notamment déployée au sein de l’administration française, cette méthode comprend une base de connaissances et un re-cueil de bonnes pratiques. Elle est téléchargeable sur le site de la DCSSI et s’accompagne d’un logiciel.

Feros Fiche d’expression ration-nelle des objectifs de sé-curité

SCSSI C’est un document permettant à une autorité donnée (secteur secret défense notamment) de définir le niveau d’engagement de sa responsabilité dans l’application d’une politique de sécu-rité.

Marion Méthodologie d’analyse de risques informatiques orientés par niveaux

CLUSIF Elle fonctionne par questionnaires débouchant sur 27 indica-teurs répartis en 6 catégories. 2 phases (audit des vulnérabilités et analyse des risques) permettent la définition et la mise en œuvre de plans d’actions personnalisés.

Mehari Méthode harmonisée d’analyse de risques

CLUSIF Elle s’articule autour de 3 plans. Permet désormais d’apprécier les risques au regard des objectifs de l’entreprise.

Tableau 1. Caractéristiques de quelques méthodes d’audit

MEHARI s’articule sur trois plans :

le plan Stratégique de sécurité qui fixe les objectifs de sécurité et les indicateurs de mesure et déter-mine le niveau de gravité des risques encourus.

les plans Opérationnel de Sécurité qui définit, par site, les mesures de sécurité à prendre.

le plan Opérationnel d’Entreprise axé sur le pilo-tage stratégique et le suivi d’indicateurs clés.

La méthode EBIOS (Expression des Besoin et Identifi-cation des Objectifs de Sécurité) qui a été élaborée par la DCSSI (Direction Centrale de la Sécurité des Sys-tèmes d’Information), est particulièrement déployée au sein de l’administration française. Elle comprend une base de connaissances qui décrit les types d’entités, les méthodes d’attaques, les vulnérabilités, les objectifs de sécurité et les exigences de sécurité. Elle propose égale-ment un recueil des meilleures pratiques d’élaboration de schémas directeurs SSI, la rédaction de profils de protection, de cibles de sécurité et de SSRS (System-specific Security Requirement Statement) qui pro-viennent de l’OTAN. Cette méthode se veut un outil de gestion des risques mais aussi de sensibilisation, de né-gociation et d’arbitrage.

La méthode COBIT (Control objectives for information and technology) vient, quant à elle, de l’ISACA (Infor-mation Systèmes Audit and Control Association). Elle est diffusée en France par la branche française de cette association : l’AFAI (Association Française de l’Audit et du Conseil Informatique).

Concernant le référentiel Cobit version 4, la principale difficulté de son application se matérialise par l’absence d’une démarche de découpage du système d’information en métiers d’entreprise. Ce référentiel découpe n’im-porte quel environnement en quatre domaines de mana-gement :

- Planification et orientation ;

- Acquisition et implémentation ;

- Distribution et support ;

- Et monitoring et évaluation.

Lorsqu’on détaille le processus de chaque domaine, on se rend compte de la difficulté d’utiliser ce référentiel pour gérer l’ensemble des métiers d’une organisation, surtout ceux qui découlent de son activité. En effet, les processus de Cobit touchent les niveaux de pilotage et de support étroitement liés à la fonction informatique dans son aspect technique, qui renseigne uniquement sur ce que fait l’informatique, ignorant son aspect ma-nagérial et qui renseigne sur sa raison d’exister, c'est-à-dire supporter la stratégie et la prise de décision.

L’une des critiques majeures formulées à l’égard de ces méthodes est leur incapacité de fournir des réponses à la question pertinente suivante : y a-t-il un alignement stratégique du système d’information par rapport à la stratégie de l’organisation? En négligeant la dimension stratégique de l’informatique, ces méthodes se contentent de contrôler ce que fait l’informatique, igno-rant ce qu’il doit faire et quelle sera sa finalité, comme outil d’aide à la décision, ceci est dû à notre sens, à la définition même de l’informatique, puisque plusieurs spécialistes le définissent comme étant une science et un ensemble de moyens pour le traitement automatique de l’information. Cette définition explique les attribu-tions de l’informatique dans une organisation, mais ne renseigne jamais sur sa raison d’exister.

Les travaux de Simon dédiés à la prise de décision ont redéfinit le rôle de l’informatique comme outil d’aide à la prise de décision.

Selon Simon, l’homme a une rationalité limitée pour prendre les bonnes décisions, puisque les individus commettent des erreurs de jugement et n’atteignent pas toujours les buts qu’ils se sont fixés : « la compétence d’un individu, est liée à la fois à la quantité d’informa-

2


tions contenue dans la mémoire à long terme, mais sur-tout à sa capacité à utiliser mieux sa mémoire à court terme, c'est-à-dire sa capacité à sélectionner les infor-mations les plus pertinentes compte tenu de l’objectif fixé au traitement de l’information » (Simon, 1959). Si-mon se demande alors : « s’il est possible de construire un outil qui rende compte des mécanismes de prise de décision et qui puisse être descriptif, analytique, opéra-tionnel et testable. Grace à l’intelligence artificielle, l’informatique peut palier à la rationalité limitée de l’homme et constituer un outil précieux d’aide à la déci-sion » (Simon, 1969).

Partant de cette définition, l’audit informatique doit s’étendre à l’audit des systèmes d’information, pour mettre en évidence la dimension stratégique de cet audit et mesurer le degré d’alignement stratégique des sys-tèmes d’information par rapport à la stratégie et leur contribution à la prise de décision.

Ainsi, les deux dimensions organisation et systèmes d’information doivent-elle être pensées simultanément pour l’intégration rigoureuse des technologies de l’in-formation et des télécommunications. La dimension or-ganisationnelle de l’audit informatique passe par le contrôle de l’informatisation des processus afin d’assu-rer la qualité des services et des produits. La dimension opérationnelle de l’audit informatique qui consiste à au-diter les applications informatiques, ne peut se faire sans une méthode de découpage du système d’informa-tion, permettant d’identifier d’abord les projets informa-tiques. Or, nous relevons l’absence d’une méthode de découpage des systèmes d’information capable d’identi-fier avec précision les projets informatiques c'est-à-dire les domaines informatisés ou à informatiser. Il est clair que l’audit rigoureux repose sur une vision globale de l’entreprise, basée sur une cartographie précise de toutes les composantes du système d’information.

Le découpage du système d’information en domaines de gestion est la phase la plus créative dans la planification du système d’information (Bal, 1992). Il vise les objec-tifs suivants :

1. Enumérer avec précision les besoins de l’entreprise à informatiser, c'est-à-dire les projets informa-tiques;

2. Assurer la compatibilité entre la définition globale du système d’information et sa réalisation progres-sive;

3. Intégrer l’évolution de la technologie;4. Améliorer l’efficacité des utilisateurs et spécia-

listes des technologies de l’information.

Ainsi, considérons-nous que les méthodes d’audit infor-matiques classiques doivent intégrer trois nouvelles di-mensions : stratégique, organisationnelle et opération-nelle.

La dimension stratégique ne doit pas se limiter à la sé-curité et consiste à auditer la fonction informatique. Pour ce faire, il faut mesurer le degré d’alignement stra-tégique du système d’information existant. Ceci sup-pose l’existence de tableau de bord général, issue d’un

Datawerehouse qui relie les différentes bases de don-nées.

La dimension organisationnelle passe par le contrôle des pratiques de gestion interne pour assurer la qualité de services et de produits. Ceci est recherché notam-ment par la certification ISO 9000 dont la version 2000 met l’accent sur l’approche processus (Verdoux, 2003). Ce contrôle consiste à vérifier la structure de l’organisa-tion : s’agit-il d’une structure pyramidale ou transver-sale ? Une organisation traditionnelle est souvent quali-fiée de pyramidale dans le sens où elle présente une cas-cade de directions qui se rapportent à la direction géné-rale laquelle se rapporte elle-même à la présidence (Verdoux, 2003). Ainsi, le client est-il perdu de vue et la satisfaction de ses exigences passe au second plan. L’organisation doit alors se transformer en une organi-sation orientée vers le client, par l’adoption d’une ver-sion transverse. Se pose alors le degré d’informatisation des processus- clef, de bout en bout du besoin du client jusqu’à sa satisfaction.

La 3ème dimension est la dimension opérationnelle de l’audit car l’absence d’une méthode de découpage dans les méthodes d’audit classiques complique la tâche de l’auditeur. L’avantage d’une méthode de découpage est d’identifier les projets informatiques existants mais aus-si les métiers et les domaines non informatisés. Nous proposons dans ce sens un découpage en métiers d’en-treprise (El Qasmi, 2002) capable d’énumérer avec pré-cision les projets informatiques et d’obtenir une carto-graphie de la réalité.

Cette démarche est décrite dans la section suivante.

3. Notre démarche d’audit infor-matique

Pour intégrer les dimensions stratégique, organisation-nelle et opérationnelle dans la démarche d’audit, nous proposons de procéder selon les trois étapes :

Etape 1 : Contrôle de la fonction informatique. (dimen-sion stratégique)

Objectif : étudier l’adéquation du système d’informa-tion existant avec les orientations de la stratégie globale de l’organisation.

Moyen de mise en œuvre : Vérifier l’existence d’un ta-bleau de bord général, alimenté à partir des différentes bases de données existantes.

Etape 2 : Contrôle des pratiques de la gestion interne. (Dimension organisationnelle)

Objectif : s’assurer que le système d’information exis-tant contribue à la qualité des services et produits par l’informatisation des processus clefs.

Moyen de mise en œuvre : vérifier la structure de l’or-ganisation et le degré d’informatisation des processus clef qui permettent la satisfaction du client.

Etape 3 : Identification des projets informatisés (di-mension opérationnelle)

Sous système d’information client-produit

Sous système d’information personnel

Sous système d’information qualité

Sous système d’information financier


Objectifs : identifier les applications correspondant à chaque métier de l’organisation.

Moyens de mise en œuvre : nous proposons notre mé-thode de découpage des systèmes d’information en mé-tiers de l’entreprise (El Qasmi, 2002).

Nous commencerons par tracer les grandes lignes de notre démarche avant de préciser le découpage du sys-tème d’information en métiers. Ceci servira de fonde-ment à l’audit informatique décrit en troisième section.

3.1 Schéma de la démarche

Le découpage du système d’information en métiers a pour but d’établir une cartographie de la réalité de l’en-treprise. Le point de départ d’une telle architecture orientée métiers est de commencer par trouver les ré-ponses aux événements habituels, c'est-à-dire les pro-cessus d’activités de l’entreprise, ce qui suppose une bonne connaissance de ces processus. Aborder l’entre-prise sous l’angle des processus, c’est d’abord mettre en avant sa finalité exprimée en terme de produit dans sa relation avec le client. Une première idée serait de considérer le système Client-Produit comme un sous-système de base du système d’information.

Notre objectif étant de mettre en évidence les métiers d’entreprise, nous répondrons aux questions pertinentes suivantes : qui fait quoi ? Comment ? Par quels moyens ? La réponse à ces questions nous conduit à un premier résultat : le sous-système Personnel répondra à la question « qui fait quoi ? » ; le sous-système Qualité répondra à la question : « comment ? » ; le sous-sys-tème Finance répondre à la question « par quels moyens ? ».

Ainsi, les quatre sous-systèmes de base du système d’information sont-ils :

Figure 1: Processus de découpage du SI en métiers (EL QASMI, 2002)

Le sous-système Personnel,

Le sous-système Client-Produit,

Le sous-système Qualité,

Le sous-système Finance.

Ces quatre sous-systèmes seront le point de départ d’un découpage intermédiaire en métiers principaux qui se-ront à leur tour découpés en d’autres métiers (Figure 4.1).

3.2 Découpage des sous-systèmes d’in-formation en métiers principaux

Le sous-système financier comprend les métiers princi-paux suivants : optimiser le résultat de l’entreprise, fi-nancer et gérer les recettes et les dépenses.

Le sous-système client/produit comprend tout ce qui touche le client, le produit ou les deux à la fois, ce qui se traduit par les 4 métiers : Acheter, Vendre, Produire, Livrer au client.

Le sous-système personnel est décrit à travers les mé-tiers : Recruter, Utiliser, Payer, Former et Motiver le personnel.

Le sous-système qualité est abordé par ses deux princi-pales composantes : l’assurance de la qualité du produit et celle des services.

3.3 Audit des applications informatiques

Objectif : Tester les programmes de l’application, l’ac-ceptation des données par les utilisateurs et la pérennité de l’application.

Moyens de mise en œuvre : nous proposons de re-prendre les points de contrôles qui existent dans la plu-part des méthodes d’audit informatique, et qui sont :

- Test des programmes de l’appréciation qui consiste à auditer :

Le logiciel de développement;

La structure des programmes;

L’existence ou non d’un dossier d’analyse;

L’existence d’un cahier des charges;

L’existence d’une méthode de conception;

Programmation structurée ou non;

Jeux de tests sur les programmes.

Analyse des activi-tés de l’entreprise = que fait l’entre-prise ?

Analyse des moyens financiers = par quels moyens ?

Analyse des res-sources humaines = qui fait quoi ?

Analyse de la qua-lité des services et produits

Mise en œuvre du dé-coupage

Découpage des métiers principaux en métiers

Validation

Org

anis

atio

n du

pro

jet d

e dé

coup

age

du sy

stèm

e d’

info

rmat

ion

glob

al e

n m

étie

rs

Découpage des sous sys-tèmes en mé-tiers princi-paux


- Test d’acceptation par les utilisateurs qui consiste à auditer :

Les éditions de sortie;

Les écrans de saisie;

Les modalités de la saisie;

Les résultats des éditions de sortie;

Les programmes de contrôle lors de la saisie et de l’édition des sorties.

- Contrôle programmé qui consiste à auditer :

L’accès à une application

L’accès à une édition de sortie

L’accès à un écran de saisie

L’accès à un programme donné

- Pérennité de l’application qui consiste à auditer :

L’existence ou non des procédures de sauve-gardes

L’existence ou non des procédures de reprise

L’accès à un programme donné

- Pérennité de l’application qui consiste à auditer :

L’existence ou non des procédures de sauve-gardes;

L’existence ou non des procédures de reprise.

4. Application de notre démarche

Cette étude de cas est extraite d’un cas réel d’audit d’un institut d’enseignement supérieur.

Nous mettrons l’accent sur les livrables.

Etape 1 : Contrôle de la fonction informatique :

Livrable1 : l’institut de l’enseignement supérieur sujet de notre audit ne dispose pas de tableau de bord général alimenté à partir des différentes bases de données audi-tées. Par conséquent, le système d’information existant n’est pas aligné à la stratégie globale de l’école.

Etape 2 : Contrôle des pratiques internes de gestion :

Livrable 2 : la structure de l’institut est pyramidale, sans aucune vision transversale permettant une veille stratégique et qui renseigne sur l’environnement exté-rieur. Aucune norme de la qualité et aucune informati-sation des processus clefs assurant la qualité des ser-vices et des produits.

Etape 3 : Identifications des projets informatiques in-formatisés ou non

Livrable3 :

Le sous-système Client- produit découpé en métiers sui-vants :

- réaliser des actions de recherche et d’exper-tise ;

- développer les actions de la formation conti-nue ;

- gérer la scolarité des étudiants ;

- gérer les stages des étudiants ;

- assurer l’accès à la documentation ;

- gérer le centre de calcul ;

- assurer l’hébergement et la restauration des étudiants ;

- gérer le patrimoine de l’institut;

- gérer le matériel de l’école.

Le sous- système personnel découpé en métiers sui-vants :

- Gérer les relations avec les étudiants ;

- Gérer personnel ;

- Payer personnel ;

- Former personnel ;

- Motiver personnel.

Le sous-système Financier découpé en métiers sui-vants :

- Optimiser les résultats de l’Ecole ;

- Assurer la comptabilité ;

- Gérer le budget de l’école.

Le sous-système qualité découpé en métiers suivants :

- Assurer la qualité de la formation des ingé-nieurs et des docteurs ;

- Assurer l’image de marque de l’institut.

Etape 4 : Audit des applications informatiques :

Nb : L’audit de chaque application est livré sous forme de tableau récapitulatif des différents points de contrôle avec la mention : inexistante, pour les métiers non in-formatisés.

4


5


1 Le sous système : client- produitMétier : Réaliser des actions de recherche et d’expertise


Métier : Développer les actions de la formation conti-nue

Intitulé de l’applica-tion

Test des programmes de l’application

Test d’accepta-tion par les utili-

sateurs

Contrôles programmés Pérennité de l’applica-tion

Sauvegardes et reprisesInexistante

Métier : Gérer la scolarité des étudiants

Métier : Gérer les stages des étudiants

Intitulé de l’application Test des programmes de l’application

Test d’acceptation par les utilisateurs

Contrôles programmés Pérennité de l’applicationSauvegardes et reprises

Inexistante

Métier : Assurer l’accès à la documentation




Gestion documentaire en cours d’installation

Logiciel de développe-ment : ALEXANDRIE

Métier : Gérer le centre de calcul

Intitulé de l’applica-tion


Test l’acceptation par les utilisateurs

Contrôles program-més

Pérennité de l’applica-tion Sauvegardes et re-

prisesInexistante

Intitulé de l’opération Test des programmes de l’application


Contrôles program-més

Pérennité de l’applica-tion

Sauvegardes et reprises

Gestion Estudiantine

L’outil de développement est FOXPRO

Il y a une logique d’en-chaînement des mo-dules conformément aux modalités d’exploi-tation

Pas de contrôle d’ac-cès à l’application

Inexistence des procé-dures de sauvegarde

Absence d’un dossier d’analyse

Les éditions de sorties répondent aux besoins des utilisateurs

Pas de contrôle de saisie des données

Inexistence des pro-grammes de reprises

Méthode de conception est : MCX

Difficulté pour gérer le choix des matières ou les matières par blocs

Pas de contrôle de sorties

Inexistence des procé-dures de sécurité des donnéesAbsence des cahiers de

charges

6


Intitulé de l’appli-cation



Contrôles programmés Pérennité de l’applicationSauvegardes et re-

prises

Gestion du matériel infor-matique au centre du calcul

Outil de développement :

SGBD=Access

Les états de sortie fournis sont :

- Gestion des ordinateurs

- Gestion des imprimantes

- Gestion des logiciels

Voir NB Voir NB

Existence d’un dossier d’analyse

NB= Cette applica-tion n’est pas utili-sée pour le moment L’application ne permet pas le

suivi de la maintenance du matériel

Métier : Assurer l’hébergement et la restauration des étudiants

Intitulé de l’application Test des programmes de

l’application

Test d’acceptation

par les utilisateurs

Contrôles programmés Pérennité de l’application


Inexistante

Métier : Gérer le patrimoine de l’école


l’application

Test d’acceptation par les

utilisateurs

Contrôles programmés Pérennité de l’application


Inexistante

Métier : Gérer le matériel de l’école

Intitulé de l’appli-

cation

Test des programmes de

l’application




Inexistante

Métier : Gérer les relations avec les étudiants


cation


l’application




Inexistante

2 Le sous système personnel 7


Métier : Gérer le personnel




Inexistante

Métier : Payer le personnel

Intitulé de l’appli-cation




Gestion des sa-laires

SGBD = Foxpro Les éditions de sortie sont :Etat de la paieEtat des créditsEtat des mutuellesEtat des retraites

Pas de contrôle d’accès à l’application

Inexistence des procédures de sauvegardes

Absence d’un dossier d’analyse

Pas de contrôle de sortie des donnéesAbsence d’une méthode de

conception Absence de la rubrique diplôme

Inexistence des procédures de reprise

Absence de cahier des charges

Absence de communication avec la gestion des carrières

Pas de contrôle des sorties

Métier : Former le personnel

Intitulé de l’applica-

tion


l’application




Inexistante

Métier : Motiver le personnel

Intitulé de l’application Test des programmes

de l’application




Inexistante

3 Le sous système financier

Métier : Assurer la comptabilité8



cation


l’application

Test d’acceptation pour les

utilisateurs

Contrôles programmés Pérennités de l’applica-

tion : sauvegarde et re-

prise

Inexistante

Métier : optimiser les résultats de l’école


Test d’acceptation pour les utilisateurs

Contrôles programmés Pérennités de l’applica-tion : sauvegarde et re-

prise

Suivi budgétaire

Développé par Excel Les sorties sont :

- Etat des émissions ;

- Etat des paie-ments ;

- Etat des recettes.

- Pas de contrôle d’accès à l’application

- Pas de procédures de sau-vegardes

- Absence de dossier d’ana-lyse

- Absence de méthode de conception

- Pas de contrôle de saisie des données

- Pas de procédures de re-prise

Absence de cahiers de charges

- Pas de contrôle des sorties. - Pas de procédure de sécu-rité des données

Métier : Gérer le budget de l’école


l’application


pour les utilisateurs

Contrôles programmés Pérennités de l’applica-

tion : sauvegarde et reprise

Gestion du compte hors

budget

Développée par Excel Pas de logique d’enchaîne-ment

des modules conforment aux modalités de saisie

Pas de contrôle d’accès à l’application

Inexistence de procédure de

sauvegarde

Inexistence de

procédure de reprisePas de contrôle de saisie des données

Inexistence de procédure de

sécuritésLes éditions de sortie ne ré-pondent pas aux besoins des utilisateurs

Pas de contrôle des

sorties

4 Le sous système qualitéMétier : Assurer la qualité

9

Métier : Assurer l’image de marque de l’école

- Le site web de l’institut a été développé 8 ans plutôt ;

- Il contient des informations erronées (exemple : l’ancien organigramme) ;

- L’ergonomie n’est pas assurée ;

- L’interface homme / machine n’est pas perfor-mant ;

- Pas de logique d’enchaînement des modules.

5. Discussion et orientations pé-dagogiques

La relation entre le système d’information et la stratégie de l’entreprise est primordiale pour la survie des ogani-sations. L’alignement stratégique est devenu une préoc-cupation de premier ordre des décideurs d’entreprise. L’enjeu fondamental de l’alignement stratégique est de faire du système d’information un atout au service de la stratégie de l’entreprise.

Le découpage du système d’information en domaines de gestion ou en métiers est la phase la plus créative dans la planification des systèmes d’information dans le but de supporter la stratégie de l’organisation.

Les méthodes d’audit classiques ne permettent pas de contrôler l’alignement stratégique des systèmes d’infor-mation par rapport à la stratégie de l’organisation.

Elles ne permettent pas de contrôler le type de la struc-ture de l’organisation à auditer car si l’organisation est qualifiée de pyramidale, « la stratégie globale est ainsi déclinée en autant de sous-stratégies que de directions. Et chaque direction fonctionne en relative autonome, avec une certaine indépendance » (Verdoux, 2003).

L’entreprise orientée processus élabore une véritable in-teraction entre la stratégie de l’entreprise qui donne le sens, les processus qui donnent la valeur ajoutée pour la satisfaction des parties prenantes et les résultats qui re-présentent la finalité attendue » (Verdoux, 2003).

Les difficultés que nous avons rencontrées lors de notre audit sont exprimées par les questions suivantes :

Comment découper le système d’information pour une énumération précisé des activités à informatiser ?

Comment contrôler l’alignement stratégique du système d’information par rapport à la stratégie de l’organisa-

tion ?

Et comment mesurer le degré de performance du sys-tème et sa participation dans la qualité des produits et des services ?

Les leçons tirées de cet audit se résument dans les points suivants :

1- Le problème du découpage des systèmes d’informa-tion est un problème majeur pour les organisations. Il détermine les activités à informatiser, et conditionne les choix de modélisation et les options qui seront prise lors de l’évolution des systèmes d’information :

En optant pour une méthode de découpage des systèmes d’information en métiers, nous avons abordé la com-plexité de l’école de l’enseignement supérieur sujet de notre audit.

Les raisons qui nous ont poussées à opter pour le décou-page du système d’information en métiers sont les sui-vants :

a) Les méthodes d’audit classiques ne permettent pas de retrouver les activités à informatiser, et se contentent d’auditer ce qui existe (les acti-vités déjà informatisées). Le découpage pro-posé par le référentiel de Cobit version 4 (4 domaines et 34 processus), ne permet pas d’auditer la fonction informatique dans sa di-mension stratégique.

b) Notre méthode de découpage nous a permis de constater que l’informatique dans l’école su-périeur sujet de notre audit est au service de la productivité, s’éloignent ainsi d’une architec-ture « client-services ».

c) Ce découpage en métiers, nous a permis d’identifier les métiers selon lesquels on peut capitaliser des savoirs, ce qui peut influencer par la suite la réussite du projet de capitalisa-tion des connaissances.

2- L’école doit procéder à une mise en œuvre d’une ap-proche processus, pour améliorer son fonctionnement.

Le management par processus permettra à l’école:

- De traquer la valeur ajoutée ;

- De gérer et optimiser les interfaces ;

- D’assurer la qualité de ces produits et ser-vices ;

- Et de faciliter le benchmarking.


Test d’acceptation pour les utilisateurs

Contrôles programmés Pérennités de l’ap-plication : sauve-garde et reprise

Inexistante

10

3- Les activités automatisées de l’école ont donné lieu à des bases de données éparpillées géographiquement sans aucun lien entre elles. Relier ces bases de données par un datawerhouse orienté métiers, va permettre d’ex-traire les informations utiles pour la prise de décision, et d’alimenter le tableau de bord général et qui va partici-per à l’alignement stratégique du système d’information par rapport à la stratégie.

4- Enfin, l’équipe du projet de l’audit informatique doit contenir d’autres compétences dans d’autres domaines différents de l’informatique, notamment le management et l’organisation.

Références

G.Ballantzian(1992).Les schémas directeurs straté-giques .Edition :Masson

Carlier,Alphonse.(1994).stratégie appliquée à l’audit des systèmes d’information : les approches méthodolo-giques et l’audit qualité.Paris : Hermes

Chantal, Morley (2002). Changement organisationnel et modélisation des processus. Actes du colloque de l’AIM, Novembre 2000. Montpellier. France

Collignon, Nicole ; Lorau, Yvon-Michel; Luc Verleye, Clet. (1990).Les principes de la sécurité

informatique : guide d’audit.Paris :Hermes.

Colleville,Luc. Réussir un projet informatique. (2001).paris :Eyrolles.

Colleville,Luc. (1991). La gestion d’un centre infor-matique. Paris : Eyrolles.

Club informatique des grandes Entreprises Françaises. (2000).La sécurité à l’heure d’Internet. Paris : CIGREF.

Club de la sécurité informatique français. (Février 1997). Evaluation des conséquences économiques des incidents et sinistres relatifs aux systèmes informa-tiques. France : La commission bancaire.

Conseil supérieur de l’ordre des experts comptables et des comptables agrées. Le diagnostic des

systèmes informatiques français.(1999).Préconisations pour l’élaboration d’un Code de Déontologie informati-sés : Guide d’application des recommandations. O.E.C.C.A.

Derrien, Yann. Les techniques de l’organisation infor-matique. Paris : DUNOD.

Madoz, jean-Piere.(2003).L’audit et les projets. Paris : AFNOR

Faurie, Sylvain (1991). L’audit informatique : une né-cessité tant pour l’entreprise que pour l’auditeur finan-cier. Revue Economie et comptabilité, n° 176

Laporte, Hélène ; Prudhomme, Philippe.(1999). Audit informatique dans les entreprises : Evaluation du contrôle interne et contrôle des comptes. Revue fran-çaise de comptabilité, n° 316.

Mohamed Jaouad El Qasmi (2002), le système d’in-formation orienté dans les métiers d’entreprise. Revue des sciences de gestion. France, n° 198, 2002.

OUAZZANI, Adil (1999).Audit informatique : Le cas d’une entreprise du secteur public au Maroc. Revenue Française de Comptabilité, n°316

Simon Herbert A. (1959) Théories of Decision Ma-king And Behavior Science.American economic review,49,n°1

Simon Herbert A. (1969).The sciences of the artificial. American economic review71, n°2

Simon Herbert A. (1959).Technologie is not the pro-blem .Princeton University Press

Verdoux Alain, (2003), l’entreprise orientée processus .Editions d’organisation

http://www. AFAI.FR , site officiel de l’association française de l’audit et du conseil informatique .visité le 13/04/2004

http://www.scssi.gouv.fr/,serveur thématique de la France sur la sécurité des systèmes d’information. visité le 10/04/2004

http://www.cigref.fr/,site officiel du club informatique des grandes entreprises françaises.

visité le 14/05/2004

http://www.clusif.asso.fr/,site officiel du club infor-matique de la sécurité de l’information français. visité le 13/04/2006

http://www.itaudit.org,The premier information tech-nology ressource for internal auditors visité le 17/07/2004.

http://www.clusif.asso.fr/,site

http://www.cigref.fr/,site

http://www.scssi.gouv.fr/,serveur

http://www/

11

Economy & Finance

Audit informatique