L`audit des projets informatiques.
1
Compte-rendu de séance du 13 mai 2014
Chloé ADAM
Audit informatique et audit des
techniques de l’information
Par M. Elghoul
Qu’est-ce que c’est que l’audit quand on est informaticien ? Quels sont les domaines
audités ? Qu’est-ce qu’auditer un projet ? Si les choses se passent bien peut-on faire un
audit ? Peut-on auditer un site web ? Telles sont les questions que l’on pourrait se poser lors
de l’annonce du thème de l’intervention de Monsieur Elghoul. Les réponses à ces questions
et bien d’autres informations se trouvent dans la suite du compte-rendu.
L’audit, pourquoi ?
Les principales raisons qui poussent aujourd’hui de plus en plus d’entreprises à
l’audit :
L’informatique coute cher
L’informatique devient stratégique
L’informatique coute de la valeur
L’informatique est un outil d’Innovation
La dématérialisation des processus (80% de l’entreprise reste de l’informationnel,
l’approche physique se réduit au profit de l’information)
Les systèmes d’informations sont distribués
L’accès via le web aux applications de l’entreprise
Les réseaux sociaux et leurs influences
La concurrence, la compétition
Les contraintes des Normes et les exigences juridiques
Garantir la continuité des organisations (gestion de la continuité, vérifier le bon
environnement pour éviter tout blocage qui signifierait non utilisation de l’entreprise)
2
Définitions de l’audit :
1) L’audit est généralement un diagnostic :
Informatique
Juridique
Social
Fiscal
2) Selon le Petit Robert : l’audit du latin auditus « entendu », se définit comme étant une
procédure de contrôle de la comptabilité et de la gestion d’une entreprise et par
extension une mission d’examen et de vérification de la conformité aux règles de
droit, de gestion, d’une opération, d’une activité particulière ou de la situation
générale de l’entreprise.
3) L’audit est une activité indépendante et objective qui donne à une organisation une
assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour
les améliorer, et contribue à créer de la valeur ajoutée.
4) L’audit aide cette organisation à atteindre ses objectifs en évaluant, par une approche
systématique et méthodique, ses processus de management des risques, de
contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour
renforcer leur efficacité.
Les types d’audit :
La fonction informatique
Les études informatiques
Les projets informatiques
L’exploitation
La sécurité informatique
L’alignement stratégique
La planification de l’informatique
Les réseaux et les télécommunications
Les achats informatiques, la qualité des services l’externalisation
Les applications opérationnelles
Tout le monde s’accorde sur les domaines à auditer mais pas forcément sur la manière de
faire.
Prendre le temps de bien étudier en amont et à auditer pour ensuite proposer des meilleures
solutions.
Les activités de l’auditeur
- Observer le domaine audité
- Analyser les faits observés de manière objective et avec un regard extérieur
- Ecouter les explications des audités
3
- Porter un jugement sur le domaine fonctionnel audité en se basant sur des
référentiels largement reconnus
Le commanditaire
Il peut être :
- Le directeur général
- Le directeur informatique
Il va demander ce qu’il attend en fournissant un document important à l’auditeur, c’est la
lettre de mission qui précise le mandat à exécuter et qui donne les attentes exactes de
demandeur.
L’audit informatique.
Un audit de qualité doit atteindre les objectifs suivants :
Déterminer la conformité des éléments du système aux exigences spécifiées
Déterminer l’aptitude du système à atteindre les objectifs spécifiés
Donner à une organisation la possibilité d’améliorer son système et son efficacité
S’assurer que les activités informatiques d’une entreprise ou d’une administration se
déroulent conformément aux règles et aux usages professionnels, appelés de
manière traditionnelle les bonnes pratiques
Estimer les risques technologiques susceptibles d’impacter les opérations de
production
Définir les points à améliorer
Obtenir les recommandations pour faire face aux faiblesses de l’entreprise
L’audit informatique consiste à évaluer le niveau de maturité de l’informatique de
l’entreprise.
Apports possibles d’un audit :
Une mesure d’écart
Une source d’amélioration
Une source d’économie
Une occasion de considérer son système de façon objective
Une approche à la compréhension de son système
Une implication concrète des acteurs dans le système
4
L’audit des projets informatiques.
Objectif :
S’assurer que le projet se déroule normalement et que l’enchaînement des opérations se fait
de manière logique et efficace de façon qu’on ait de forte chance d’arriver à la fin de la
phase de développement à une application qui sera performante et opérationnelle.
Il y a trois moments pour faire un tel audit, dans les 3 étapes du cycle de vie du projet :
En amont du projet
Pendant le projet
En aval du projet
Quelles sont les informations à recueillir pour ce type d’audit ?
Les bonnes pratiques :
L’existence d’une méthodologie de conduite des projets
La conduite des projets par étapes quel que soit le modèle de gestion de
projets :cascade, V, W ou en spirale
Le respect des étapes et des phases du projet
Le pilotage de développement et notamment les rôles respectifs du chef de projet et
du comité du pilotage
L’audit des projets :
La conformité du projet aux objectifs généraux de l’entreprise
La mise en place d’une note de cadrage, d’un plan de management de projet ou d’un
PLAN d’ASSURANCE QUALITE (PAQ)
La qualité et la complétude des études amont : étude de faisabilité et analyse
fonctionnelle
L’importance accordée aux tests, notamment aux tests faits par les utilisateurs
La clarté et l’efficacité du processus de développement
L’existence de procédures, de méthodes et de standards donnant des instructions
claires aux développeurs et utilisateurs
La vérification de l’application effective de la méthodologie
La validation du périmètre fonctionnel doit être faite suffisamment tôt dans le
processus de développement
La gestion des risques du projet. Une évolution des risques doit être faite aux étapes
clés du projet.
De plus en plus les entreprises de conseil recrutent dans divers spécialités comme la
chimie ou encore la biologie alors qu’auparavant seuls les informaticiens étaient convoités.
L’augmentation de la demande d’audit implique cet élargissement du recrutement au niveau
des compétences.
5
L’audit des applications.
L’audit d’applications opérationnelles couvre un domaine plus large et s’intéresse au
système d’information de l’entreprise. Ce sont des audits du système d’information :
Application comptable, paie, facturation…
Vente, production, achats, logistique…
Auditer une application de gestion de façon à s’assurer qu’elle fonctionne correctement et, lui
apporter les améliorations souhaitables.
L’auditeur va notamment s’assurer d respect et de l’application des règles de contrôle
interne. Il va en particulier vérifier que :
Les contrôles en place sont opérationnels et sont suffisants
Les données saisies, stockées ou produites par les traitements sont de bonne qualité
Les traitements sont efficaces et donnent les résultats attendus
L’application est correctement documentée
Les procédures mises en œuvre dans le cadre de l’application sont à jour et
adaptées
L’exploitation informatique de l’application se fait dans de bonnes conditions
La fonction ou le processus couvert par l’application sont efficaces et productifs
Le but de l’audit d’une application opérationnelle est de donner au management une
assurance raisonnable sur son fonctionnement. Ces contrôles sont, par exemple, réalisés
par le Commissaire aux Comptes dans le cadre de sa mission légale d’évaluation des
comptes d’une entreprise.
Pour effectuer l’audit d’une application opérationnelle on va recourir aux objectifs de contrôle
les plus courants :
La conformité de l’application opérationnelle par rapport à la documentation
utilisateur, par rapport au cahier des charges d’origine, par rapport aux besoins
actuels des utilisateurs,
La vérification des dispositifs de contrôle en place. Il doit exister des contrôles
suffisants sur les données entrées, les données stockées, les sorties, les traitements,
etc. L’auditeur doit s’assurer qu’ils sont en place et donnent les résultats attendus.
L’évaluation de la fiabilité des traitements en faisant des analyses d’erreurs.
Enfin il faut absolument mesurer les performances de l’application pour s’assurer que les
temps de réponse sont satisfaisants même en période de forte charge. L’auditeur va aussi
s’intéresser au nombre d’opérations effectuées par le personnel dans les conditions
normales d’utilisation.
1
/
5
100%
