Sni* to View Professeur : M. DIOUME Devoir à rendre audit système d’information. Le système informatique est aujourd’hui un des éléments vitaux des entreprises. Il es des informations, ap Le système d’inform de recherche, de trai informations utiles. A tielle de la gestion ation» actions coordonnées protection des cisions, il met les technologies informatiques et les r seaux au service du contenu informationnel. Cependant pour savoir si le système d’information est adaptée, l’entreprise se doit d’évaluer le système d’information selon un certain nombre de critères CONCEPT FONDEMENTAUX :
Modèle WCA : Outils très important du système d’informatlon, il permet d’auditer le système d’information et le support dinformation Critère d’évaluation des processus Les couts : Le système d’information représente une part importante des dépenses de l’entreprise. les dépenses pour les logiciels accumulés dans les entreprises des secteurs de services sont excessivement chers informatique. Il est structuré en trois processus : Gouvernance de valeur / Gestion de portefeuille / Gestion de l’investissement et en pratiqué clés de management des systèmes informations.
Source : Educnet. Economie et Gestion. Rubrique Système d’Information-3 Les délais : Le respect des délais est un critère obligatoire dans le système d’information L’estimation des délais de conceptions d’un système d’information nécessite une répartition du temps selon le degré d’importance des différentes étapes nécessaire pour la réalisation d’un système d’information (analyse, conception, codage, débogage-test -correction). La conception et l’analyse occupe du temps, cette répartition vise à éviter le plus possible des erreurs sur ces dernières
Cependant il n’est pas exclu un allongement du temps pour gérer les risques Qualité : La qualité d’un produit ou d’un service est son aptitude à satisfalre les besolns des utllisateurs, en termes de fonctionnalités, délais, coûts. La qualité est fondée sur un système de management qui définit des responsabilités, gère une organisation, utilise des ressources et conduit à des actions à partir de procédures et d’instructions. tout ceci en s’appuyant sur des informations.
La qualité a donc besoin d’un systeme d’information. Etre informé: Pour ne pas tourner dans le vide et conduire à des résultats, la ualité doit se fonder sur des faits et ceux-ci ne peuvent être détecter que s’ils sont enregistrés. On voit donc à ce stade le rôle central du système d’information qui doit faire remonter l’information de tous les défauts. Pouvoir agir: Etre informé, c’est bien, po PAGF9CF7 corriger est encore mieux. et corriger est encore mieux.
Les informations de non conformité doivent donc pouvoir être traitées pour établir des priorités et réaliser des analyses d’impacts. Encore à ce stade, le système d’information et sa puissance de traitement vont être éterminants dans l’efficacité de la qualité. Critère relative à l’information et sécurité Processus très rapide qui traite l’information avec un support et d’autres systèmes par des niveaux de sécurité clé daccès ou des codes avec des niveaux.
La sécurité du système d’information est souvent définie à partir de trois critères fondamentaux Disponibilité , En termes de délais et de performance, garantie que les éléments considerés sont accessibles au moment voulu par les personnes autorisées Intégrité : A savoir l’exactitude et l’exhaustivité de l’information, non odifiée par des tiers non autorisés garantie que les éléments considérés sont exacts et complets Confidentialité . L’information doit être accessible uniquement aux tiers autorisés, garantie que seules les personnes autorisées ont accès aux éléments considérés.
MEHARI (Méthode harmonisée d’Analyse de Risques) Née en 1996, cette méthode à également été mise au point par le CLUSIF, qui a inventé les utilisateurs de la méthode MARION à migrer vers MEHARI. MEHARI se place dans une approche système d’information en fournissant un cadre méthodologie, des outils t des bases de connaissa lyse les enieux maieurs et *AGF 3 cv 7 besoin futur Après une bonne conception, il s’en su une maintenabilité du système d’information qui est un critère d’évaluation .
Cependant le nettoyage du système d’information de ses fonctions inutilisable bien que exigeante et difficile n’est pas à négliger car sa négligence pourrait couter cher a l’entreprise Critère relative à la transaction des systèmes Traçabilité : garantie que les accès et tentatives d’accès aux éléments considérés sont tracés et que ces traces sont ormalement conservées et exploitables. en d’autre terme on peut l’appeler preuve/contrôle (P), c’est-à-dire à la fois la non- répudiation (impossibilité pour un acteur de nier avolr reçu ou émis l’information) et 1’« adaptabilité » de l’information (possibilité de contrôler le bon déroulement du processus ayant permis d’obtenir l’information). Journalisation : les Source:// Mvw. seinfo. gouv. fr/gp/article50html Critère légaux et réglementaires C’est la mise en équivalence entre moyens humains et matériels.
La loi a partir d’un ensemble de mesure exige que Les fichiers ui garantissent les données traités dans l’organisme soient sécurisé . Cette exigence doit être respecté par les détenteurs des fichiers Le système doit être hautement sécurisé pour éviter toute implication dun corps étranger c’est-à-dire les virus les tentatives de piratages Source : RISK IT qui est un nouveau (édition prévu à fautomne 2009) référentiel portant sur les risques IT, édité par l’AFAl (qui est le chapitre français de l’ESACA .
Ce référentiel décrit les bonnes pratiques au nivea d’Information liées à la d’Information liées à la préservation de valeur de l’entreprise. Il s’appuie sur le référentiel COBIT, mais il prend en compte les enjeux des managements associés au Système d’ Information alors que COBIT reste centré sur le Système d’ Information. Critère de développement Le développement avec un progiciel doit faire l’objet d’un véritable projet : il ne faut pas se laisser piéger par le choix d’un outil et oublier cette dimension projet.
Un pro logiciel est vierge on doit la configurer pour Putiliser, il faut la programmer et la configurer au besoin de l’entreprise. Pour le logiciel nous pouvons l’utiliser immédiatement car c’est déj? programme, Configurer Les échanges interentreprises, bien que difficiles à organiser, sont une source d’économie et d’enrichissement d’expérience, notamment pour les progiciels RH, la comptabilité : règles communes, paramétrage, actions d’accompagnement… Ces échanges se font naturellement dans les clubs d’utilisateurs.
Le CIGREF permet également aux grandes entreprises de rapprocher leurs expériences. Source : CNRS/DSl/conduite-projet/développement/proc- développement-PGl Critère ISO 20005 ne constitue donc pas une méthode d’analyse à part entière mais il oriente les évolutions des méthodes xistants qui doivent être présentées en conformité ISO 2005 Source : www. fr/confiance/ebiosprésentation. html. III) Questions 2 Entreprise : Organisation et procédures Existe-t-il un manuel (ou des notes de service) définissant les procédures comptables ?
Ce manuel est-il à jour ? Sous le contrôle d’un responsable d’un niveau hiérarchique suffisant ? Existence contrôle interne Est-ce que la société a un budget identifié La société a-t-elle un système de contrôle budgétaire ? La société établit-elle des situations périodiques indiquant les hiffres comparatifs de la période précédente, et les écarts par rapport au budget ? écarts entre budget et réalisations sont-ils analysés et expliqués par les responsables de ces budgets et approuvés par la direction ?
Qualification du personnel Existe-t-il des définitions de fonctlons détaillées pour chaque personne du poste et de son degré d’importance ? Fonction système dinformation dans l’entreprise Audit opérationnel : Quel est votre politique de sécurité La procédure en vigueur permet-elle de s’assurer que le manuel (et ses mises à jour) est diffusé à toutes les personnes oncernés ? Connaissez-vous les technologies informatiques qui sont liées la gestlon de l’information de votre secteur d’activité Audit financier : Existe-t-il une période de mise à jour des livres légaux ?
L’application : Audit financier : Concernant l’informatique comptable les contrôles sur les aspects suivants sont-ils suffisants : Installation ? Organisation ? Sauvegarde ? Exploitation ? Sécurité, risques, assurances ? Existe-t-il un tableau de bord donnant une visibilité sur l’efficacité de l’informatique ? Audit opérationnel : Les imputations comptables ont-elles faites par des personnes compétentes ? Les principes comptables utilisés par l’entreprise sont-ils définis par écrit .
Tous ajustements aux comptes collectifs sont-ils obligatoirement . appuyés par des pièces justificatives ? Approuvés par un responsable ? n Enregistrées sur le journal des opérations diverses ? Les données . Audit financier : Existe-t-il une clé de répartition pour expliquer le résultat des ventes par rapport au résultat global ? Audit opérationnel : Existe-t-il des facteurs clés de succès pour comparer le résultat N et N-l ?
