L`audit Informatique et la Qualité

L’audit Informatique
et la Qualité
Bennani Samir
Ecole Mohammadia d’Ingénieurs
[email protected]
Qu'est-ce que l'audit informatique ?
‹ Pour
Directeur général :
voir plus clair dans l'activité d'un
service clé
‹ Pour Directeur informatique :
conseil en organisation par des
spécialistes
‹ Pour Directeur financier :
apprécier la fiabilité des applications
mardi 17 février 2004
Samir Bennani
OBJECTIFS DE L'AUDIT
INFORMATIQUE
vérifier :
‹ la fiabilité de l'outil Informatique
‹ l'usage qui en est fait
Difficile à atteindre !!!
impossible à un auditeur, d'avoir la certitude
de fiabilité
mardi 17 février 2004
Samir Bennani
Exemple :
logiciel facturation dans une entreprise
–
–
–
écriture des programmes claire et performante
documentation précise et détaillée,
procédures d'exploitation sans défaut,
Mais
peut receler des lacunes graves.
A l'inverse,
– logiciel mal documenté, peu accessible,
– exploité dans des conditions déplorables...
peut se révéler à l'usage parfaitement
fiable
mardi 17 février 2004
Samir Bennani
‹
aucun logiciel n'est parfait
Les bons sont des logiciels sans fautes «graves»
‹
L'auditeur, ne peut être spécialiste de
chacun des domaines fonctionnels qu'il
contrôle
L’audit informatique est-il utile dès lors
qu'aucun travail, ne peut fournir une
certitude quant à la fiabilité des logiciels ?
présomptions sur la fiabilité !!!
mardi 17 février 2004
Samir Bennani
LA FIABILITE DE
L'ENVIRONNEMENT
INFORMATIQUE
a) L'intérêt d'un bon contrôle interne
‹ Une
bonne organisation d'ensemble,
‹ L’existence de procédures et de
méthodes satisfaisantes
une présomption de la fiabilité et de la pérennité des
logiciels développés
mardi 17 février 2004
Samir Bennani
Exemples …
‹ Absence
de politique de sauvegarde
‹ Absence
de Méthode normalisée de
programmation
A contrario
‹ Existence de procédures de contrôle
et d'autorisation
mardi 17 février 2004
Samir Bennani
b) Les demandeurs d'un audit de
l'activité informatique
‹ La
Direction de l'entreprise
Pour vérifier le respect des orientations
qu'il a définies
‹ Le
responsable informatique
l'opinion motivée de spécialistes sur sa
propre organisation
‹ Les
contrôleurs externes
S’intéressent à la qualité de
l'environnement informatique
mardi 17 février 2004
Samir Bennani
c) Les composantes d'un audit de
l'activité informatique
‹ L’examen
de l'organisation du
service,
‹ L’examen des procédures liées au
développement,
‹ l'examen des procédures liées à
l'exploitation,
‹ l'examen des fonctions techniques,
‹ les contrôles sur la protection et la
confidentialité des données
mardi 17 février 2004
Samir Bennani
d) Les méthodes d'audit de l'activité
informatique
‹ Le
contrôle de la fiabilité, se base sur
– des entretiens avec le personnel
informatique & certains utilisateurs
– des contrôles de documents ou d'états,
pour validation des réponses.
‹ outils
commerciaux
– bâtis autour d'un questionnaire d'audit,
et d’un logiciel d’exploitation
mardi 17 février 2004
Samir Bennani
Des Questions
est-il possible de valider les résultats
fondés sur les seules réponses fournies
lors des entretiens ?
‹ peut-on avoir confiance dans des
méthodes basées sur une auto- évaluation
par les informaticiens et par les
utilisateurs de leurs propres forces et
faiblesses ?
‹ la sécurité informatique ne constituant pas
une science exacte, n'est - il pas dès lors
subjectif de vouloir quantifier à tout prix
des informations qualitatives ?
‹
mardi 17 février 2004
Samir Bennani
LA FIABILITÉ D'UNE
APPLICATION
INFORMATISÉE
se prononcer sur la qualité d'une
application donnée :
‹
Contrôle de fiabilité du logiciel ou de
l'utilisation qui en est faite ??
fiabilité d'une application, conjoncture:
Un bon logiciel et une utilisation
satisfaisante
mardi 17 février 2004
Samir Bennani
Adéquation du logiciel aux spécifications ou
adéquation des spécifications fonctionnelles
aux objectifs
Recherche de fraudes ou recherche d'erreurs
C'est la recherche d'erreur qui sera
généralement privilégiée par l'auditeur
mardi 17 février 2004
Samir Bennani
qualité des méthodes ou
qualité des procédures d’exploitation
La qualité des procédures de conception
et de réalisation des applications
constitue une présomption de fiabilité
Contrôle de fiabilité des logiciels et
contrôle de leur pérennité
– Qualité de conception, opposée à de
mauvaises procédures d'exploitation
– Un logiciel fiable mais mal documenté,
aura une faible espérance de vie
mardi 17 février 2004
Samir Bennani
méthodes d'audit d'une
application
‹ Les
jeux d'essai
rarement utilisés dans l’audit
– lourdeur de mise en œuvre
– teste logiciels, mais pas le contenu des
fichiers;
– manque d’exhaustivité ;
– Décèle rarement des opérations
frauduleuses
mardi 17 février 2004
Samir Bennani
méthodes d'audit d'une application (suite)
‹ L'examen
du contrôle de
l’environnement
– les procédures de développement et de
maintenance;
– les procédures d'exploitation;
– les fonctions techniques;
– l'organisation du service et du projet;
mardi 17 février 2004
Samir Bennani
méthodes d'audit d'une application (suite)
‹ L'examen
du contrôle interne de
la fonction traitée
Une application ne peut être considérée
comme fiable si,
en dépit de logiciels de qualité, elle est
utilisée en dépit de bon sens
mardi 17 février 2004
Samir Bennani
méthodes d'audit d'une application (suite)
‹
‹
‹
‹
‹
‹
‹
réalisation par les utilisateurs de contrôles
de cohérence
L'existence de contrôles hiérarchiques
L'existence d'une bonne séparation des
fonctions
Procédures d'autorisation d’accès valables
La compétence et l'intégrité du personnel
La continuité du chemin de révision
validations régulières du contenu des
fichiers
mardi 17 février 2004
Samir Bennani
AUDIT DE L’ACTIVITE
INFORMATIQUE
Comment s'assurer de la qualité de
l'environnement informatique ?
‹ l'organisation
générale du service,
‹ les procédures de développement et
de maintenance,
‹ L’environnement de production,
‹ les fonctions techniques,
‹ la protection et la confidentialité des
données.
mardi 17 février 2004
Samir Bennani