Audit Informatique

Dans son ouvrage «La Pratique de l'audit informatique », José Plans définit l'audit informatique comme étant : « Un examen méthodologique des résultats ou structures informatiques par une personne indépendante et compétente dans le but d'exprimer une opinion sur leur conformité aux normes généralement admises ».

Ainsi, l'audit informatique est une revue détaillée du système d'information de la société (Hardware, software, contrôles, etc.) par une personne spécialiste, pour le compte de la direction ou en support à l'équipe d'audit financier.

Cette revue comprend :

• Le diagnostic ;

• L'identification des contrôles clés ;

• Le test des contrôles clés ;

• L'évaluation des contrôles ;

• Les recommandations.

La mission d'audit informatique peut prendre deux formes :

• Mission spéciale d'audit informatique ;

• Mission d'audit informatique en support à l'audit financier.

2-Approche générale

Un audit informatique, audit des systèmes d'information, se fait selon un schéma en 4 phases :

- Définition précise du plan de travail, récolte d'information, recherche et schématisation des processus métiers et/ou informatiques à apprécier, définition des rôles et responsabilités, analyse forces - faiblesses

- Analyse des processus importants, définition des risques, évaluation préliminaire des risques, de l'efficacité des contrôles

- Tests des contrôles

- Tests de matérialité.

Un audit informatique, audit des systèmes d'information ne concerne pas nécessairement la sécurité. En effet, il peut aussi évaluer des aspects stratégiques ou de qualité des systèmes d'information. Par exemple, répondre à la question suivante : Est-ce que les systèmes d'information de l'entreprise répondent efficacement aux besoins des services métiers ? La démarche est très similaire, en choisissant et évaluant les processus informatiques proposés par le service qui répondent le mieux à la demande du client.

3-Principes et règles d'audit informatique

L'audit informatique doit avoir des règles et des principes qui encadrent son application. Un audit informatique n'a un sens que si sa finalité est définie : vérification de l'application des objectifs de la direction, examen de l'efficacité ou de la sécurité du système, de la fiabilité d'une application, contrôle fiscal, juridique, expertise judiciaire, etc.

Auditer d'une façon rationnelle est le fait d'expliciter les finalités de l'audit, puis en déduire les moyens d'investigation jugés nécessaires et suffisants.

La finalité de l'audit informatique, quel que soit son type (interne, externe, contractuel, légal, etc.) est toujours de porter un jugement sur le système d'information et surtout sur l'exécution de ses objectifs prédéfinis.

Plusieurs règles régissent l'audit informatique tels que :

• La mission d'audit informatique est assez complexe. Elle doit être découpée pour arriver à reconstituer un plan avec des étapes claires et significatives.

• Lorsque la tâche de l'auditeur est bien définie, elle ne doit pas en déborder. L'auditeur doit toujours respecter les limites de sa mission. Par exemple, s'il est demandé à un auditeur de vérifier la sécurité d'une application, et qu'il en est satisfait, il sera complètement indifférent de savoir si les résultats sont exacts, car c'est une question de fiabilité.

• Les résultats de l'audit informatique doivent être évolutifs (ouverture de recommandations sur l'avenir et non simplement constat d'échec), cohérents et exacts (fiabilité des conclusions).

• La sécurité de l'audit s'applique aux documents de travail et aux rapports, c'est à dire à leur non diffusion à des destinataires non autorisés.

En respectant ces règles, l'Auditeur peut affirmer avoir fait une étude des éléments significatifs et avoir identifier les zones de risques existants

4-Risque d'audit informatique

L'évolution des technologies de l'information et de la communication confronte l'entreprise à de nombreux nouveaux risques. En plus

...