Principe et règles d'audit

De
Publié par

CHAPITRE 2
Principe et règles d’audit
2.1. Principe d’audit
Le principe et les règles d’audit suivent logiquement
l’exposé précédent.
D’abord, comme dans toute branche de l’activité
d’une entreprise, l’audit doit exister en informatique,
et même davantage en fonction des vulnérabilités et
des coûts qu’elle induit.
Un audit informatique n’a de sens que si sa finalité
est définie : contrôle fiscal, juridique, expertise judi-
ciaire, vérification de l’application des intentions de
la direction, examen de l’efficacité ou de la sécurité
d’un système, de la fiabilité d’une application, etc. Objectifs et audit informatiques 67
Exemple.– Une « évaluation du système informa-
tique », pourtant souvent proposée commercia-
lement, n’a aucun sens. Le terme implique une
notion de valeur, donc chiffrée, subjectivement
avec une référence par conséquent, alors
qu’aucune notation n’a de fondement objectif. Ne
sont fondées que des approches par aspects sur
objets, exprimées concrètement par « tel
composant du système, sujet de la mission,
présente telles qualités et tels défauts ».
PRINCIPE.– Auditer rationnellement est expliciter
les finalités de l’audit, puis en déduire les moyens
d’investigation jugés nécessaires et suffisants.
Pratiquement, c’est apprécier dans un but précis, et
une situation concrète observée (le « comment »),
l’application du principe et des règles (le
« pourquoi »).
2.2. Règles d’audit
Quel que soit le type de l’audit (interne ou externe,
contractuel ou légal, etc.) ...
Nombre de pages : 16
Voir plus Voir moins
.1.2CHAPITRE2Principe et règles d’auditPrincipe d’auditLe principe et les règles d’audit suivent logiquementl’exposé précédent.D’abord, comme dans toute branche de l’activitéd’une entreprise, l’audit doit exister en informatique,et même davantage en fonction des vulnérabilités etdes coûts qu’elle induit.Un audit informatique n’a de sens que si sa finalitéest définie: contrôle fiscal, juridique, expertise judi-ciaire, vérification de l’application des intentions dela direction, examen de l’efficacité ou de la sécuritéd’un système, de la fiabilité d’une application, etc.
bOejtcfi ste uaid tnifroamituqse76Exemple.– Une «évaluation du système informa-tique», pourtant souvent proposée commercia-lement, n’a aucun sens. Le terme implique unenotion de valeur, donc chiffrée, subjectivementavec une référence par conséquent, alorsqu’aucune notation n’a de fondement objectif. Nesont fondées que des approches par aspects surobjets, exprimées concrètement par «telcomposant du système, sujet de la mission,présente telles qualités et tels défauts».IRCNPIEP.– Auditer rationnellement est expliciterles finalités de l’audit, puis en déduire les moyensd’investigation jugés nécessaires et suffisants.Pratiquement, c’est apprécier dans un but précis, etune situation concrète observée (le «comment»),l’application du principe et des règles (le«pourquoi»).2.2.Règles d’auditQuel que soit le type de l’audit (interne ou externe,contractuel ou légal, etc.), la finalité est toujours de
’Luaid tniofmrtaqieu86porter un jugement sur le management du systèmed’information et l’exécution de ses objectifs. C’estdonc la comparaison entre ce qui est observé (un actede management ou d’exécution) et ce que celadevrait être, selon un système de références.lI ets lcia ruq eel ujegemtn en eptu es ilimet r ànueapprobation ou plus souvent à une condamnation, quiserait totalement inutile en soi aux audités, maispréciser ce qu’il aurait fallu faire, et ce qu’il faudrafaire pour corriger les défauts constatés.Exemple.– Une conclusion peut être que ladocumentation d’une application est globalementcompréhensible, mais qu’il faut la mettre à jourcar elle n’est plus exactement en phase avec lamaintenance de la dernière année, qui a négligéce point.GEELR.– L’audit informatique consiste à compa-rer l’observation d’un ou plusieurs objet(s), selonun ou plusieurs aspects, à ce qu’il(s) devrai(en)têtre, pour porter un jugement et faire desrecommandations.
aL âthc eed ’luaidOtbeejuc ritsfe estt  uadpia trniffaoirtmetaimqeeuns tédf96nieiquand l’objet et l’aspect le sont. Et elle ne doit pas endéborder.Exemple.– S’il lui est demandé de vérifier lasécurité d’une application, et qu’il en est satisfait,il est complètement indifférent de savoir si lesrésultats en sont exacts, car c’est une question defiabilité; ou qu’ils sont absolument inutiles, car ils’agit d’adaptation.En effet, l’auditeur ne doit jamais remettre en causela finalité de son audit en fonction de ce qui est plussimple, ou plus intéressant de faire, selon ses goûts.Il est beaucoup plus facile de formuler cette règle quede l’appliquer: qui n’a tendance à la transgresser,surtout si des lacunes évidentes mais hors mission serévèlent?Les règles sont identiques à celles du management,sauf une, la faisabilité. En supposant que les moyensattribués sont suffisants, et s’en assurer fait partie dela négociation préalable, et que l’auditeur estcompétent, la non-faisabilité impliquerait que lesystème est incontrôlable, pratiquement par absence
’Luaid tniofmrtaqieu07de documentation. Et alors la conclusion immédiateest qu’il a tous les défauts possibles. LExemple.– Un cas réel est celui d’une entreprisedont il était demandé d’examiner la fiabilité dusous-système comptable, avec une prévision deplusieurs semaines de travail: en quelquesheures, l’application écrite en langage proche dela machine, aucunement documentée, reposantsur un système de bases de données et ungestionnaire de télécommunications maison, avecun nombre très réduit d’informaticiens compé-tents, tous indisponibles (ils étaient toujoursabsorbés par la réparation de pannes) devaitconclure à la non-fiabilité et en prime à toutes lesobservations critiques concernant les aspects vusplus haut.EGLER.– L’audit informatique est toujoursfaisable (contrairement au management del’informatique). ertaavlid a’dutip ue ttêera sszec molpxe,ee  todnil doit obéir aux mêmes règles que le management, eten particulier être découpé en fonctions conduisantc
bOejtcfi ste uaid tnifroamituqse17de façon arborescente à un plan avec des étapessignificatives de conclusions partielles. Mais lemaillon le plus faible de sa démonstration est bienentendu celui qui remet tout en cause.CExemple.– Si la mission concerne la sécuritéd’une application de gestion du personnel,l’auditeur peut éluder avec accord du demandeurles questions de plan et de budget; il lui faudraexaminer à fond mais sous le seul aspect desécurité et dans la mesure où ils concernent cetteapplication, les matériels et logiciels, lesressources humaines, les contrats, les méthodes,et enfin les réalisations et leur exploitation. Celafait, et puisqu’il a examiné tous les objetsconcernés selon l’aspect demandé, lesconclusions de l’auditeur seront certaines etinébranlables GEELR.– Les moyens et actions de l’auditeurdoivent être adaptés exclusivement maisexhaustivement au sujet de l’audit.le amilpqieu anuterllmene t’lvélotuiivét o(vure-ture de recommandations sur l’avenir, et non simple
’Luaid tniofmrtaqieu72constat d’échecs), la cohérence et la planification desressources, bien entendu l’exactitude (fiabilité) desconclusions. La sécurité de l’audit ne s’appliquequ’aux documents de travail et aux rapports, à leurnon-diffusion hors destinataires autorisés, donc doitaller de soi.L’avancement des travaux doit être logique commeune démonstration mathématique, donc arborescentedans un sens voisin du précédent: «pour prouvertelle affirmation, il faut s’assurer de tels et tels faits;et pour prouver tel fait, il faut le décomposer en telset tels points, etc.».Exemple.– Pour prouver qu’une application degestion du personnel est sûre, et à supposer que ledemandeur ne soit pas intéressé par un examen deses finalités ni des moyens financiers en cedomaine, il faudra examiner les sécurités dumatériel et du logiciel de base, y compris lesréseaux, utilisés par cette fonction, examinertoujours sous le seul angle de la sécurité lesdiagrammes de circulation d’information et lesresponsabilités (fiches de fonction) de chaque
Objectifs et audit informatiques73membre du personnel impliqué, les méthodes etles programmes sensibles de l’application, lessaisies d’informations, les recyclages d’anoma-lies, la bibliothèque.Alors seulement l’auditeur pourra affirmer avoir faitune étude exhaustive et trouvé toutes les faillespossibles.2.3.DéontologieIl s’ensuit que l’auditeur doit obéir, de soi-même caren dehors des responsabilités juridiques rien ne l’yoblige, à une déontologiecertaine. C’est ainsi qu’il:tiod–s’interdire de cumuler audit et conseil, sur unemême question: comment auditer quelque chose quel’on a conseillé, ou bien recommander de prendre sonconseil? Pourtant il existe des sociétés proposantsimultanément conseil, service et audit; l’intérêt deproposer un audit qui recommandera de prendre unconseil de réalisation, puis le conseil proposant unservice, le tout effectué par la même société, laisse àréfléchir sur l’objectivité dans l’intérêt du client. On
’Luaid tniofmrtaqieu47a même vu un constructeur proposer des auditsgratuits, dont la conclusion était assez attendue;–garantir, même implicitement par simple accep-tation d’une tâche, qu’il a, par lui-même ou grâce àune équipe sur laquelle il peut compter, lescompétences nécessaires; elles ne sont aucunementsupérieures à celles des réalisateurs, mais différentes,sur un substrat technique partiellement commun; ilne s’agit que d’attitudes, presque purement psycho-logiques: l’auditeur n’a pas besoin du souffle ni desconnaissances approfondies qu’il faut pour mener àbien une réalisation, mais il doit être rapide, précis,avec juste les connaissances ponctuelles nécessaireset suffisantes;–s’intéresser au système d’information dans sonensemble, c’est-à-dire pas aux seuls éléments auto-matisés, ou au contraire à ceux qui ne le sont pas;–fournir des conclusions motivées, utiles, sur l’objetet l’aspect, ainsi que la période de temps qui a dû êtreconsidérée, qui ont été les éléments de sa mission.Des considérations générales ou non explicitementjustifiées sont irrecevables; en particulier des termesaussi vagues que «diagnostic», ou, pire «évaluation»,
bOejtcfi ste uaid tnifroamituqse57qui suggère une quantification, sont inacceptablessauf éventuellement dans un contexte précis;–et ce, dans le délai imparti et accepté.Le domaine de la tâche d’un auditeur est donc trèsrigoureusement défini en termes d’objets, d’aspects,et de cadre temporel, et sa démarche est d’unedémonstration rigoureuse et exhaustive.Les sujets d’audit doivent être maintenant évidents. Ila paru naturel d’adopter une structure par objets; onaurait pu aussi faire un plan par aspects.2.4.Considérations surl’erreurSi l’erreur n’était pas humaine, il n’y aurait pasbesoin d’auditeur. Or non seulement elle l’est, maisen informatique les machines sont impitoyables pourla révéler au grand jour.Exemple.– L’auditeur ne recherche sauf excep-tion que l’erreur, ou plutôt les lacunes de contrôleoù celle-ci peut se glisser. Mais il lui arrive deconstater la fraude ou le sabotage, qui en fait nesont pas concrètement pires en termes de valeur.
’Luaid tniofmrtaqieu67Elle provient de défaillances dans la représentationde la réalité et la compréhension des observations:rap–faute de connaissance d’interprétation et dereprésentation;–faute concernant les hypothèses déduites (modèlemental inexact, incomplétude ou ambiguïté) etinduites (suppositions erronées);–choix des objectifs (contradictoires, hors délais,superflus, faute de raisonnement);–choix des solutions (saturation mentale, analogieinjustifiée, confusion);–réalisation (erreurs de communication, de procé-dure, de vérification).Et en informatique, il ne faut compter sur aucuneindulgence, aucune tolérance, dès lors que la solutionest automatisée.2.5.Conclusion surl’audit informatiqueLe principe et ces règles n’auraient pas de raisond’être exposés s’ils ne pouvaient être mis en œuvre.
Soyez le premier à déposer un commentaire !

17/1000 caractères maximum.