0
GUIDE D’AUDIT DES SYSTÈMES D’INFORMATION
1
Sommaire
Introduction .............................................................................................................. 2
I. Les systèmes d’information : enjeux et risques ................................................ 2
A. Le système d’information ................................................................................... 2
B. Les principaux risques informatiques ................................................................ 4
II. Périmètre des audits des systèmes d’information ............................................. 5
A. L’audit des SI à l’occasion de missions « généralistes » ................................... 6
B. Les missions d’audit dont l’objet principal appartient au domaine des SI ....... 6
III. Orientation et planification de la mission ......................................................... 7
A. La prise de connaissance de l’informatique dans l’entité ................................. 8
B. Description du système d’information de l’entité .............................................. 8
IV. Les techniques d’audit assistées par ordinateur ............................................. 11
V. Approche thématique des principaux domaines d’audit des SI ..................... 12
A. Audit de sécurité ............................................................................................... 12
B. Audit des projets ............................................................................................... 13
VI. Le contrôle interne en milieu informatique .................................................... 15
A. Les contrôles généraux et applicatifs des SI .................................................... 17
B. Les contrôles généraux ..................................................................................... 17
C. Les contrôles applicatifs................................................................................... 18
VII. Les normes internationales de références ..................................................... 31
Annexes ................................................................................................................... 33
Annexe 1 Fiche d’audit détaillée relative à la prise de connaissance de
l’informatique de l’entité ....................................................................................... 33
Annexe 2 Fiche d’audit relative à la cartographie des applications ................... 39
Annexe 3 Fiche d’audit relative à l’identification des processus à analyser ...... 41
Annexe 4 Fiche d’audit détaillée relative à la sécurité informatique .................. 42
Annexe 5 Fiche d’audit relative au projet informatique ...................................... 48
Annexe 6 Dictionnaire des expressions spécifiques ............................................. 49
Annexe 7 Types de contrôles liés aux applications .............................................. 59
2
Introduction
L’audit réalisé dans un environnement informatique peut poser aux auditeurs des
difficultés en termes de mise en œuvre en termes d’approche, de nature des contrôles à
réaliser et d’exploitation des résultats obtenus à l’issue de ces contrôles.
L’émergence des nouvelles technologies de l’information ainsi que la complexité
croissante des systèmes d’information automatisés ont conduit la Cour à élaborer le
présent guide. Il permet d’orienter et de faciliter les travaux de l’auditeur en charge de
l’audit des systèmes d’information, quel que soit le type de l’entité concernée. L’objectif
du présent guide est d’apporter à l’auditeur des solutions opérationnelles dans le cadre
de la prise en compte de l’environnement informatique dans son audit.
L’essentiel des travaux d’audit relatifs au système d’information ne nécessite pas de
connaissances très approfondies en informatique mais une bonne maîtrise des pratiques
d’audit.
Ce guide s’adresse toutefois à des auditeurs a minima avertis, c’est-à-dire ayant suivi
une session de sensibilisation ou ayant déjà effectué une ou deux missions d’audit
dans le domaine en compagnie d’un auditeur spécialisé dans le domaine des SI. Le
guide est complété par des fiches d’audit figurant en annexe, elles sont présentées
selon l’ordre de présentation au travers du guide.
Ce document est une première version, des adaptations peuvent s’imposer pour le
rendre adéquat au système d’information de l’entité audité.
I. Les systèmes d’information : enjeux et risques
A. Le système d’information
1. Définition
Le système d’information représente l’ensemble des ressources humaines et matérielles
participant à la collecte, au stockage, à la gestion, au traitement, au transport et à la
communication de l’information au sein de l’entité, il s’appuie souvent sur un système
informatique.
Un SI est dit intégré quand toutes les applications communiquent entre elles de façon
automatique à l’aide d’interfaces. Ainsi, les informations ne sont saisies qu’une seule
fois dans les systèmes et les échanges de données font l’objet de contrôles d’intégrité
automatiques. L’action humaine, source potentielle d’erreurs ou de fraude, est donc très
limitée.
3
Un PGI (progiciel de gestion intégré) est la traduction en Français du terme ERP
«Enterprise Resource Planning» qui signifie « planification des ressources de
l’entreprise ». C’est un ensemble d’applications intégrées couvrant l’ensemble des
activités de l’entité : gestion des commandes, gestion des stocks, gestion de la
comptabilité, gestion du budget, contrôle de gestion, paie. Ces applications émanent
d’un éditeur de logiciel unique. Chaque application est appelée module.
2. Les facteurs clés d’un SI
Un SI idéal :
• est en adéquation avec la stratégie de l’organisation et les objectifs des métiers ;
• est en conformité avec les obligations légales ;
• est sécurisé ;
• est facile à utiliser ;
• est fiable ;
• est évolutif ;
• est pérenne ;
• est disponible ;
• est efficace.
Les principaux facteurs clefs d’un SI performant sont les suivants :
• une forte implication de la direction dans la gestion du SI. Elle doit notamment
superviser la gestion du SI par la mise en place des outils de pilotage suivants :
o une politique de sécurité ;
o le respect de la législation en matière de système d’information ;
o un paramétrage correct des droits d’accès aux applications informatiques ;
o une bonne gestion des projets de développements informatiques ;
o la formation continue des utilisateurs et des équipes informatiques ;
o un contrat de maintenance.
4
• la présence d’un SI intégré.
B. Les principaux risques informatiques
Les principaux risques informatiques peuvent être regroupés en 3 domaines :
• les risques opérationnels (dysfonctionnement des applications, risques d’erreurs,
doublons…) ;
• les risques financiers (les états financiers ou les comptes traduisent une situation
erronée) ;
• les risques légaux de non-conformité (gestion des licences, loi organique n°12-05
du 12 janvier 2012 relative à l’information, décret exécutif n°09-110 du 7 avril
2019 fixant les conditions et modalités de tenue de la comptabilité au moyen de
systèmes informatiques…).
Les progiciels de gestion intégrés (PGI) constituent un cas particulier, porteurs
d’avantages, d’inconvénients et de risques spécifiques.
Les PGI (Entreprise Ressource Planning (ERP) en anglais) présentent l’avantage de
couvrir plusieurs domaines métiers d’une entité en une seule application par
l’intermédiaire de modules. Par exemple, le PGI le plus connu (« SAP », sur lequel
repose CHORUS) intègre sous forme de modules les principales fonctions suivantes :
• module FI (Financial) : comptabilité générale ;
• module CO (Controlling) : contrôle de gestion (comptabilité auxiliaire) ;
• module MM (Material Management) : achat et gestion des stocks ;
• module RE (Real Estate) : gestion immobilière.
Les principaux avantages des PGI sont les suivants :
• réduction des délais administratifs par une mise à jour en temps réel des données;
• saisie unique dans le SI de l’entité ;
• disponibilité immédiate de l’information ;
• la traçabilité des opérations est assurée, la piste d’audit est « garantie » en
principe ;
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
1
/
65
100%
