Skip to main content

audit des systèmes d'information

 L'audit du SI,  un diagnostic indépendant réalisé par un professionnel certifié CISA

 

Commençons sur de bonnes bases :

  • Qu'est-ce que l'audit ?
    • L'audit est une démarche visant à établir un diagnostic d'une situation au regard d'un référentiel (la loi, ITIL ou COBIT etc, l'état de l'art) afin de mettre en évidence les forces et les faiblesses et d'exprimer des recommandations. Le livrable peut être verbal ou formel.
    • L’audit est généralement fait à la demande d’une direction générale sur des sujets de management et d’organisation.
  • Par qui est-il fait ?
    • L'audit est nécessairement fait par une personne connaissant le sujet métier audité et la démarche d'audit.
    • En règle générale, l'auditeur est certifié afin de garantir sa capacité à réaliser sa mission. C'est le cas des Commissaires aux Comptes et des Certified Information System Auditor (CISA) notamment.
    • La certification garantit la compétence, la formation continue et les règles déontologiques appliquées par l'auditeur.
    • La valeur ajoutée de l’audit repose sur les qualités de l’auditeur. Ce dernier ne peut pas être un débutant. Chacun est libre de consulter un médecin n’ayant jamais étudié, de choisir un chauffeur de taxi sans permis ou un pilote d’avion sans formation. Un tel choix est rarement considéré comme pertinent.
    • L'auditeur ne peut intervenir que dans une situation où il n'est pas en conflit d'intérêts.
  • Comment ?
    • L’auditeur cadre son sujet avec le demandeur de la mission ce qui lui permet d’établir un programme de travail. La mission est ainsi cadrée dans son périmètre et son coût.
    • Une lettre de mission est produite afin que les interlocuteurs audités soient informés du caractère légitime et autorisé de l’audit, de son périmètre et de leur obligation à y collaborer sans dissimulation.
    • L’auditeur réalise ses investigations.
    • Il produit un prérapport qui sera présenté à ses interlocuteurs. Il prend en compte les remarques et objections afin de produire un rapport final.

 Les sujets audités sont par nature variables, les thèmes évoqués ci-après sont illustratifs

La revue générale informatique (RGI)

Elle consiste à faire un tour d'horizon des forces et faiblesses de la sécurité informatique (physique, logique), des procédures d'exploitation, de conduite de projet et de pilotage des activités de la DSI.

Ce sont des missions courtes souvent demandées par un Commissaire aux Comptes (de 1,5 à 5 jours) à voir dans offre CAC et EC

L'audit d'application

Le point de départ d’un audit d’application peut être multiple :

  • certaines fonctions ne marchent pas ou plus,
  • des incidents techniques, l’application ne répond plus, le temps de réponse s’effondre, les données sont corrompues,
  • l’application est remise en cause en fonction de plusieurs alertes :
    • ses coûts de fonctionnement sont devenus importants,
    • des évolutions sont devenues indispensables,
    • son implémentation technique et/ou son paramétrage sont critiqués ou mal maîtrisés.

Selon la nature des questions posées par le management, nous établissons un programme de travail qui nous conduit à étudier notamment :

  • le projet originel (spécification, recette, pilotage),
  • les contrats avec l’intégrateur ou le TMA,
  • le contexte d’exploitation du système,
  • les processus métiers concernés,
  • la structure des données et parfois le contenu des tables,
  • nous pouvons être amenés à tester les données ou les traitements par nos logiciels dédiés à l’audit.

L'audit d'un projet

Il arrive qu'un projet rencontre des difficultés diverses qui nécessitent un diagnostic et souvent un plan d'action :

  • conflit avec l'intégrateur avec risque d'un contentieux,
  • dépassement de budget ou de planning,
  • insatisfaction des utilisateurs au cours de la recette,
  • constat de non-qualité des données migrées avant démarrage,..... etc.

Les pathologies sont nombreuses et souvent combinées. Nous disposons d'une lourde expérience dans ce type de diagnostic qui présente potentiellement des effets de bord avec nos activités d'expertise-conseil en précontentieux.

L'audit du coût d'un projet

Trop souvent, un projet n'a pas le temps d'être à 50% d'achèvement que son budget est déjà consommé à 110%. Ce type d'intervention a pour objet de faire un bilan technique et un nouveau cadrage budgétaire. En fonction de ces éléments, le projet est poursuivi ou abandonné.

Le diagnostic fiscal du système d'information

Depuis la loi de finances 1990, le système d'information des entreprises doit répondre à certaines contraintes de l'administration fiscale. Il doit notamment être auditable pour l'ensemble des applications qui concourent aux résultats comptable et fiscal.
Pour être auditable, le système doit être documenté et disposer d'une sauvegarde des données de base (entrées détaillées du système) correspondant au délai de reprise de l'administration. Enfin, une traçabilité de l'exploitation, des développements et des maintenances doit permettre de reconstituer l'historique des traitements.

Voir aussi notre page spécifique Conformité des systèmes comptables et Conformité du SI au CFCI

 

L'aide à l'audit : la sécurité et la productivité des auditeurs financiers (Il faut apprendre à changer de méthode de travail)

Tous les auditeurs ont pris l'habitude de travailler avec 3 outils (essentiels) : le crayon, le bloc note et la calculette.

Aujourd'hui, ces outils montrent leurs limites lorsqu'il s'agit de valider des calculs (parfois complexes) sur des populations nombreuses. L'auditeur évalue alors la vraisemblance des chiffres... parce qu'il ne peut faire mieux.

C'est dans ce contexte, que l'auditeur informatique peut prendre le relai en retraitant les données. Ne croyez pas cela insurmontable, nous travaillons parfois sur des fichiers dont la taille est > à 100 millions d'octets pour 1 million d'enregistrements. Ceci s'appelle l'analyse de données.

Nous recalculons alors la valeur d'un stock et sa dépréciation, la dotation aux amortissements, la PHP. Nous validons le cut-off des achats et ventes... tout dépend des zones de risque et de votre imagination.

L'appréciation des zones de risque est faite par une revue analytique :

Cette prise de connaissance des applications a pour objet d'identifier les conséquences stratégiques et financières pouvant découler d'un dysfonctionnement de chaque application.

Dans une seconde étape, on apprécie globalement le risque technique de chaque application.

Cette étude permet à l'auditeur d'orienter sa mission en tenant compte des risques liés aux traitements de l'information. En règle générale, lorsque le risque est grand, on valide par une analyse de données.

Voir aussi Analyse de données