View
219
Download
0
Category
Preview:
Citation preview
8/2/2019 audit des systmes d'info
1/145
UNIVERSIT DU QUBEC MONTREAL
LAUDIT DES SYSTMES DINFORMATION :
RFLEXION SUR LVOLUTION DE LA PROFESSION
TRAVAIL DIRIGPRSENT
COMME EXIGENCE PARTELLE
DE LA MATRISE EN SCIENCES COMPTABLES
PAR
ENNOURI MOEZ
SEPTEMBRE 2002
8/2/2019 audit des systmes d'info
2/145
REMERCIEMENT
Dabord Dieu, qui nous devons reconnaissance pour la vie.
Ensuite mon pre, qui a su soublier pour me permettre une vie panouie dans le
bonheur, la joie et lamour.
mon directeur de recherche, M. Guy Villeneuve, pour son encadrement et ses
encouragements qui ont permis la ralisation de ce travail.
M. Jean Milzi, V-P de lassociation des professionnels de laudit et du contrle des
systmes dinformation, pour mavoir consacr son temps et ses comptences et
pour ce que nos entrevues ont eu de passionnants et motivants.
Mme Anne Fortin, directrice du programme de la matrise en sciences comptables,
pour son srieux, son ouverture et sa comprhension.
Finalement ma famille, mes amis et tous ceux qui mont enseign, encourag et
support tout au long de mes tudes.
Merci!
8/2/2019 audit des systmes d'info
3/145
TABLE DES MATIRES
LISTE DES FIGURES ........................................................................................................ vi
LISTE DES TABLEAUX ..................................................................................................vii
RSUM.............................................................................................................................ix
CHAPITRE 1INTRODUCTION .............................................................................................................. 1
1.1 Problmatique et sa justification............................................................................... 1
1.2 Organisation du travail dirig................................................................................... 2
1.3 Choix de la terminologie............................................................................................ 3
CHAPITRE 2
CADRE MTHODOLOGIQUE ....................................................................................... 5
2.1 Introduction................................................................................................................. 5
2.2 Slection des rpondants ........................................................................................... 5
2.3 laboration du questionnaire.................................................................................... 6
2.3.1 Le prtest du questionnaire ............................................................................ 7
2.3.2 La collecte des donnes ................................................................................... 8
CHAPITRE 3
EST-CE QUE LAUDIT DES SYSTMES DINFORMATION ESTVRITABLEMENT UNE PROFESSION ?...................................................................... 9
3.1 Rponse de lauteur .................................................................................................... 9
3.2 Arguments de lauteur ............................................................................................... 9
3.3 Discussion et analyse................................................................................................ 10
8/2/2019 audit des systmes d'info
4/145
iii3.3.1 Traits professionnels...................................................................................... 10
3.3.2 volution du corpus de connaissance......................................................... 12
3.3.3 volution des professionnels dans leur carrire........................................ 19
3.4 Point de vue avant lenqute................................................................................... 22
3.5 laboration des questions pour ltude ................................................................. 23
3.5.1 volution des connaissances dans le domaine de laudit SI .................... 23
3.5.2 volution des professionnels dans leur carrire........................................ 24
3.6 Rsultats de lenqute............................................................................................... 26
3.6.1 largissement des connaissances dans le domaine de laudit SI............. 26
3.6.2 volution des professionnels dans leur carrire........................................ 303.7 Conclusion ................................................................................................................. 34
CHAPITRE 4JUSQU QUEL POINT LES ORGANISMES SONT SRIEUX AU SUJET DESTRAVAUX DAUDIT DE SYSTMES DINFORMATION ? ..................................... 35
4.1 Rponse de lauteur .................................................................................................. 36
4.2 Argumentation et points critiques.......................................................................... 36
4.2.1 Manque dun cadre de rfrence.................................................................. 374.2.2 Degr de comprhension des objectifs de laudit des SI........................... 37
4.2.3 Importance accorde par les dirigeants laudit des SI ........................... 38
4.2.4 Ressources alloues laudit des SI au sein de lentreprise..................... 38
4.2.5 Degr de srieux des professionnels envers laudit des SI....................... 38
4.3 Analyse et discussion ............................................................................................... 39
4.3.1 Manque dun cadre de rfrence.................................................................. 39
4.3.2 Degr de comprhension des objectifs de laudit des SI........................... 46
4.3.3 Importance accorde laudit et aux auditeurs des SI ............................ 47
4.3.4 Ressources alloues laudit des SI au sein de lentreprise..................... 50
4.4 Point de vue avant lenqute................................................................................... 56
4.5 Rsultats de lenqute............................................................................................... 56
4.5.1 Cadre de rfrence ......................................................................................... 56
8/2/2019 audit des systmes d'info
5/145
iv4.5.2 Degr de comprhension des objectifs de laudit des SI........................... 57
4.5.3 Importance accorde laudit et aux auditeurs des SI ............................ 58
4.5.4 Ressources alloues laudit des SI au sein de lentreprise..................... 62
4.5.5 Degr de srieux des professionnels externes............................................ 63
4.6 Conclusion ................................................................................................................. 64
CHAPITRE 5QUELLE EST LTENDUE DE LAUDIT DES SYSTMES DINFOMATION ?.... 66
5.1 Rponse de lauteur .................................................................................................. 66
5.2 Arguments de lauteur ............................................................................................. 66
5.3 Discussion et analyse des arguments..................................................................... 67
5.3.1 Champ dintervention de laudit des SI ...................................................... 67
5.3.2 Normes pour la pratique professionnelle................................................... 70
5.3.3 Caractre prventif de laudit SI .................................................................. 74
5.4 Point de vue et laboration des questions............................................................. 75
5.5 Rsultats de lenqute............................................................................................... 76
5.6 Conclusion ................................................................................................................. 79
CHAPITRE 6EST-CE QUE LA RELATION ACTUELLE ENTRE AUDITEURS DE SYSTMEDINFORMATION ET AUDITEURS FINANCIERS FONCTIONNE ? ................... 80
6.1 Rponse de lauteur .................................................................................................. 80
6.2 Arguments de lauteur ............................................................................................. 80
6.3 Discussion et analyse................................................................................................ 81
6.3.1 Diffrence entre audit des SI et audit financier.......................................... 81
6.3.2 Intgration entre auditeur SI et auditeur financier ................................... 836.3.3 Formation interdisciplinaire......................................................................... 85
6.4 Point de vue avant lenqute................................................................................... 87
6.5 Rsultats de lenqute............................................................................................... 88
6.5.1 Diffrence entre audit des SI et audit financier.......................................... 88
8/2/2019 audit des systmes d'info
6/145
v6.5.2 Intgration entre audit SI et audit financier ............................................... 90
6.6 Conclusion ................................................................................................................. 91
CHAPITRE 7EST-CE QUUNE COMBINAISON DES TRAVAUX INTERNE ET EXTERNEDAUDIT DE SYSTMES DINFORMATION PEUT SE FAIRE RELLEMENT ? 92
7.1 Rponse de lauteur .................................................................................................. 92
7.2 Arguments de lauteur ............................................................................................. 92
7.3 Discussion et analyse................................................................................................ 93
7.4 Point de vue avant lenqute................................................................................... 94
7.5 Rsultats de lenqute............................................................................................... 96
7.6 Conclusion ................................................................................................................. 97
CHAPITRE 8CONCLUSION, LIMITES ET AVENUES DE RECHERCHE .................................... 98
8.1 Conclusion ................................................................................................................. 98
8.2 Limites de la recherche........................................................................................... 101
8.3 Avenues de recherche ............................................................................................ 102
BIBLIOGRAPHIE........................................................................................................... 104
APPENDICE AQUESTIONNAIRE......................................................................................................... 108
APPENDICE BENTREVUES................................................................................................................... 121
APPENDICE CGUIDE DAUDIT ........................................................................................................... 132
8/2/2019 audit des systmes d'info
7/145
LISTE DES FIGURES
Figure Page
3.1 volution des approches sur les traits professionnels .... 10
3.2 Rpartition des membres de lAFAI par origine professionnelle . 13
3.3 Rpartition de titres professionnels dtenus par les rpondants . 26
4.1 Information sur COBIT. 44
8/2/2019 audit des systmes d'info
8/145
LISTE DES TABLEAUX
Tableau Page
3.1 Tableau reprsentatif des dimensions (occupation / profession) 11
3.2 Cumul du titre CISA avec dautres titres professionnels ....... 27
3.3 Apprciation de la formation universitaire .. 28
3.4 Contribution des recherches et publications .... 29
3.5 Effort entrepris par lISACA ... 29
3.6 Exprience des rpondants . 30
3.7 Opportunit davancement pour lauditeur SI .... 323.8 Autonomie de lauditeur lors de lexcution des travaux daudit SI..... 32
3.9 Importance de la fonction audit SI dans les entreprises . 33
3.10 Maintien de lauditeur SI qualifie par son entreprise ... 33
3.11 Perspective de carrire en audit SI ..... 33
4.1 Utilisation ou planification pour lutilisation de COBIT 46
4.2 Utilisation ou planification pour lutilisation du CSA par lentreprise 49
4.3 Rsultats de lutilisation ou planification pour lutilisation du COBIT ... 57
4.4 Perception sur la confusion des attributs de laudit SI ... 57
4.5 Degrs de comprhension des objectifs de laudit SI par les dirigeants .. 58
8/2/2019 audit des systmes d'info
9/145
viii
4.6 Importance accorde laudit SI .... 59
4.7 Participation de la direction dans la planification de laudit SI 59
4.8 Rsultat de lutilisation ou planification pour lutilisation du CSA . 60
4.9 Coordination entre lauditeur SI et le comit daudit . 60
4.10 Support de la direction lors de la planification pour laudit SI . 61
4.11 Apprciation du plan de relve de lentreprise en cas de sinistre .... 61
4.12 Moyens et outils affects laudit SI . 62
4.13 Effectif dauditeurs SI dans les entreprises ... 63
4.14 Revue des contrles par les auditeurs SI externes ... 64
5.1 Charte de mission pour laudit SI .. 77
5.2 Apprciation de la planification de la mission daudit SI .. 77
5.3 laboration du plan annuel daudit des SI ... 78
5.4 Perception sur la fonction daudit SI . 79
6.1 Fonctionnalit de la relation entre auditeur de SI et financier .. 88
6.2 Compatibilit dobjectifs entre audit SI et financier .... 88
6.3 Importance accorde loutput de laudit SI ... 89
6.4 Apprciation de la collaboration entre auditeurs SI et financier .. 90
6.5 Collaboration entre auditeurs SI et financier ... 91
7.1 Apprciation de la collaboration entre auditeur SI interne et externe.. 96
8/2/2019 audit des systmes d'info
10/145
RSUM
Ce travail a pour thme gnral lvolution de laudit des systmesdinformation en tant que profession. Il sarticule autour des faits saillantsquinvoque Dunmore (1989) dans son article intitul Farewell to the InformationSystems Audit Profession. La rflexion de lauteur constitue une base de constats
marquant les conditions de lexercice de la fonction daudit des systmesdinformation (SI) au sein des entreprises. Lobjectif de notre travail consiste tracerles changements qui auraient eu lieu depuis cette poque. Afin datteindre notreobjectif, nous avons consacr un chapitre chacune des questions poses parDunmore (1989) o nous avons analys les arguments quil invoque pour yrpondre. Des lments de discussion sont venus enrichir nos rflexions par le biaisdun questionnaire destin aux professionnels de laudit et du contrle des SI.
Le questionnaire a t envoy aux auditeurs des SI dans la rgion deMontral qui sont membre de lassociation des professionnels de la vrification et ducontrle des systmes dinformation, APVCSI. Il a t dvelopp afin de mesurer les
perceptions de ces derniers sur les lments apports par Dunmore (1989). Le tauxde rponse de 28.46% montre lintrt des participants lgard des critresrecherchs travers notre outil pour ramener des lments pratiques des questionstouchant lvolution de ces professionnels dans leur carrire.
Lanalyse des informations recueillies nous donne un bon aperu surlvolution que connat le domaine de laudit des SI, et de ltat actuel des conditionsavec lesquelles laudit des SI est exerc, ce qui nous a aid exprimer notre point devue sur chacune des questions examines.
Les rpondants jugent quil y a eu un enrichissement considrable du corpusde connaissance depuis 1989. Les professionnels en audit SI qui ont rpondu notretude affirment quils ont tendance continuer leur carrire dans ce champdexpertise.
Les rponses sont venues confirmer nos attentes sur plusieurs points. Eneffet, selon les participants au sondage, il semble que la situation des auditeurs desSI ait connu des changements intressants sur certains points mais reste prs de ltattel que constat par Dunmore en 1989. Ainsi, certaines caractristiques de
8/2/2019 audit des systmes d'info
11/145
xlorganisation des travaux daudit SI, les limites de la situation matrielle et moraledes auditeurs, soit lintrt manifest par les dirigeants des entreprises, le personnel
affect, les directives guidant leur intervention et les moyens mis leurs dispositionssont des facteurs qui semblent confirmer les nonces de Dunmore sur le soutienfaible quaccordent les dirigeants cette fonction.
Les participants ont indiqu que le manque de ressources qualifies sur lemarch de lemploi empche une plus grande expansion de ce domaine. Cettesituation semble tre occasionne par un manque de programme de formationuniversitaire en audit des SI qui relie les connaissances thoriques la pratiqueprofessionnelle. Compte tenu de la nature des missions et de la diversit desdomaines couvrir, lauditeur des SI se doit donc de possder une formation solideet une exprience prouve en informatique, en audit et en conseil.
Dans un second temps, ltude permet de faire ressortir quil y a unediffrence dans les perceptions des auditeurs internes par rapport aux auditeursexternes sur les conditions qui entourent lexercice de cette fonction.
8/2/2019 audit des systmes d'info
12/145
CHAPITRE 1
INTRODUCTION
1.1 Problmatique et sa justification
Louverture des marchs, lmergence de nouvelles technologies, lexplosion
des moyens de communication dfinissent de nouveaux contextes pour les
organisations. Le systme dinformation ne constitue pas seulement un lment
essentiel dans la gestion, il devient lui-mme stratgique pour les entreprises
soucieuses de se doter davantages concurrentiels durables. Il est de plus en plus
indispensable de mesurer ses performances, de veiller sa cohrence densemble,
sa conformit aux normes, aux critres de qualit et de scurit.
Dans ce contexte, les auditeurs en systmes dinformation (SI) jouent un rle
dterminant. Lauditeur des SI qui est charg dtablir rapidement un diagnostic, se
trouve demble au cur des problmes de lorganisation dont il value le SI. Bien
que des recherches empiriques aient t ralises dans lenvironnement de gestiondes SI, il ny a pas eu dans le pass, un corps de connaissance ou thories qui
sintressent aux seuls besoins de laudit des SI. En consquence, Dunmore (1989) a
soulev plusieurs questions concernant le futur de laudit des SI comme profession.
8/2/2019 audit des systmes d'info
13/145
2tant donn lintrt accru de ce champ dactivit, la rvolution que connat
la technologie de linformation depuis 1989, sa prsence et son incidence sur le
traitement des donnes au niveau des entreprises, nous avons estim que certaines
questions importantes souleves lpoque devraient tre rvalues et cest ces
dites questions que nous tentons de trouver rponse dans notre travail dirig afin
dexaminer de prs le champ dintervention et lvolution de laudit des SI en tant
que profession.
Les questions poses par Dunmore (1989) sont les suivantes:
1. Est-ce que laudit des SI est vritablement une profession?
2. Jusqu quel point les organismes sont srieux en excutant des travaux daudit
de SI ?
3. Doit-on tre srieux au sujet de laudit des SI ?
4. Quelle est ltendue de laudit des SI?
5. Est-ce que la relation actuelle entre auditeurs de SI et auditeurs financiers
fonctionne?
6. Est-ce quune combinaison des travaux interne et externe daudit des SI peut se
faire rellement?
1.2 Organisation du travail dirig
Cette section prsente la manire dont ce travail est organis. Notre tude est
cense apporter une contribution aux questions poses par lauteur avant quil dise
adieu la profession daudit des SI. Ainsi, treize ans plus tard, en reprenant lesconstatations souleves depuis 1989, nous examinons de prs le champ
dintervention et lvolution de laudit des SI en tant que profession.
8/2/2019 audit des systmes d'info
14/145
3Sont prsents et discuts dans un chapitre, chacun des six questions
souleves et les diffrents points de largumentation qui accompagnent les rponses
de Dunmore (1989). Notre analyse se base sur des lments recueillis dans la
littrature produite par les professionnels et chercheurs en matire daudit des SI.
Afin de constater lvolution de la situation, une discussion suit la rponse et
largumentation de lauteur.
Notre discussion montre les changements observs sur le terrain de la
pratique professionnelle de laudit des SI, et ceux par le biais de nos entrevues avec
les professionnels (Appendice B) et sur la base des rponses nos interrogationsformules dans un questionnaire administr aux praticiens (Appendice A). En effet,
on a jug intressant de runir lavis des praticiens sur certaines constatations de
Dunmore (1989) par le biais dun questionnaire. Dautres lments soulevs par
lauteur sont confirms par la littrature et nos entrevues, ce qui a rendu notre
questionnaire plus souple et allg. Par les constatations et observations faites, on a
pu formuler un point de vue sur les lments traits par lauteur avant lenqute.
la fin de chaque chapitre, nous prsentons une conclusion qui tient compte des
rponses recueillies par notre questionnaire sur la question initialement souleve.
1.3 Choix de la terminologie
Le choix de notre part quant lutilisation du terme audit au lieu du terme
vrification se trouve motiv par lemploi de ce mot dans le dictionnaire de la
comptabilit et de la gestion financire,Mnard (1994). Il est noter que les termes
audit et auditeur seront utiliss dans ce travail mais que les termesvrification et vrificateur restent les plus populaires en pratique comptable au
Qubec. Cependant, en plus des termes audit et vrification, le terme
certification devient de plus en plus utilise depuis quelques annes.
8/2/2019 audit des systmes d'info
15/145
4Dautre part, loffice gouvernemental de la langue franaise (OLF)1 propose la
traduction audit des SI/audit informatique comme quivalent lappellation en
anglais de linformation systems audit et donne la dfinition que nous prsentons :
Audit des SI : opration de diagnostic qui analyse de faon exhaustive et globale
le fonctionnement dun centre ou dun service informatique, afin de mesurer
ladquation entre les ressources matrielles et humaines mises en uvre, les besoins
de lentreprise, les objectifs recherchs et les rsultats attendus.
Note(s) : La vrification informatique diffre de laudit informatique : elle dcritun vnement sans tablir de diagnostic et elle ne porte pas sur la globalit des
activits ou des vnements. Certains audits informatiques peuvent porter sur des
facettes nvralgiques des activits. Cest le cas de laudit de scurit, notamment.
[Office de la langue franaise, 2000]
Ce mme organisme gouvernemental classe laudit des SI dans la dfinition
des domaines de mtiers pour lappellation demploi informatique et propose
lquivalent du mot anglais information systems auditor comme tant auditeur
informatique/auditeur SI. La dfinition suivante est propose:
Auditeur des SI : personne spcialise dans laudit informatique, qui possde une
expertise tendue en technologies de linformation et qui a habituellement obtenu un
certificat de comptences dlivr par un organisme autoris. [Office de la langue
franaise, 2001]
1 Office de la langue franaise. Organisme gouvernemental du Qubec.http://www.olf.gouv.qc.ca/ (Janvier 2002)
http://www.olf.gouv.qc.ca/http://www.olf.gouv.qc.ca/8/2/2019 audit des systmes d'info
16/145
CHAPITRE 2
CADRE MTHODOLOGIQUE
2.1 Introduction
Ce chapitre examine comment sest faite la collecte de donnes, les
techniques dcrites sont principalement : lentrevue, lobservation et un
questionnaire. Il sagit pour nous de rpondre aux nonces de Dunmore (1989)
daprs la perception des auditeurs des SI deux-mmes et de leur contexte de
travail.
2.2 Slection des rpondants
Nous avons entrepris des dmarches pour rencontrer les professionnels en
matire daudit et contrle des SI, la collecte de nos informations dcoule des
entrevues, courriers lectroniques et discussions avec des auditeurs de SI et repose
sur la gnration de questions spontanes dans le flot naturel dune entrevue
ouverte.
Aussi, on a pu avoir plusieurs rencontres auprs de membres du bureau
excutif de lAssociation des Professionnels de la Vrification et du Contrle des
systmes dinformation, APVCSI, qui est le chapitre tabli Montral et qui
reprsente lassociation mondiale qui regroupe les professionnels de laudit et du
8/2/2019 audit des systmes d'info
17/145
6contrle des systmes dinformation, ISACA Information Systems Audit and Control
Association. Ainsi notre projet de travail a t discut avec certains responsables de
lAPVCSI avec qui nous avons eu loccasion de nous entretenir (Appendice B).
La relation tablie avec les auditeurs des SI, leurs commentaires repris dans
le rapport, leurs attentes par rapport ce travail sont autant de proccupations qui
confirment lintrt que portent ces derniers au sujet de ltude. La mthodologie
utilise consiste expdier un questionnaire tous les auditeurs des SI, membres de
lAPVCSI qui reprsente un effectif de 130 membres. Afin de faire participer le plus
grand nombre possible dauditeurs de SI notre tude, nous avons privilgilenvoie du questionnaire par courrier lectronique. Cette formule nous a permis
entre autre de rduire nos cots et les dlais.
2.3 laboration du questionnaire
Pour laborer ce questionnaire, il a fallu tablir au dpart ce que lon dsirait
chercher comme information, ceci correspond dans le cas actuel aux perceptions des
auditeurs des SI quant aux inquitudes formules par Dunmore (1989). Donc le
questionnaire doit tre conu de manire obtenir des points de vue sur certains
nombres de questions affrentes lvaluation de lenvironnement de la fonction
daudit des SI en se basant sur les lments invoqus par lauteur dans sa rponse
aux dites questions. Aprs cette tape, il a fallu se demander comment ces
informations devraient tre mesures. Pour cela, on a examin certaines publications
de mthodologie en la matire et on a consult les questionnaires existants pour fin
dinspiration et de prsentation, (Latour (1996) et Lucky (1999). partir de cessuggestions un questionnaire a t labor et complt par trois entrevues avec
certains membres de notre chantillon vis pour vrifier les termes choisis ce qui
constitue un prtest oral de notre outil.
8/2/2019 audit des systmes d'info
18/145
7La formulation de nos questions est le fruit dune rflexion qui est bas sur
les lments de rponse et les constatations de Dunmore (1989) afin darriver
comparer les points de changement avec la situation dcrite lpoque et de nous
aider interprter les rsultats et enrichir ainsi notre discussion. Aprs ces diverses
tapes le questionnaire tait enfin prt pour le prtest crit.
2.3.1 Le prtest du questionnaire
Afin de vrifier empiriquement la qualit du questionnaire et le
perfectionner, nous lavons soumis un prtest. En effet, le prtest est une oprationprcieuse qui amne des modifications au questionnaire initial. Notre proccupation
ce stade, tait de prvoir comment les futurs rpondants ragiraient aux questions.
Trois principaux critres ont t respects ce niveau : la clart (qui assure la
comprhension), la pertinence (qui renvoie la capacit des informateurs de
rpondre) et la neutralit (qui favorise des rponses authentiques). Il importe
galement damener les rpondants accepter de rpondre et ainsi de minimiser les
refus (Blais, 1993). Dailleurs, afin de se prparer cette tape, nous nous sommes
inspirer des recommandations dictes par cet auteur en ce qui trait aux diffrents
critres respecter dans la formulation.
La validation du questionnaire a dbut par le prtest de la version
prliminaire du questionnaire auprs de trois membres du bureau excutif de
lAPVCSI. Pendant que les rpondants, runis dans une salle de confrence,
rpondaient au questionnaire, nous avons assist en tant quobservateur afin de
nous assurer que les questions qui soulvent des problmes dambigut, depertinence, de clart ou de comprhension soient immdiatement identifies. Une
fois le questionnaire rempli par tous les rpondants, nous avons tenu une runion de
groupe afin de discuter de chaque section du questionnaire. Notre discussion nous a
permis deffectu les corrections et les perfectionnements appropries.
8/2/2019 audit des systmes d'info
19/145
8Nous avons privilgi lenvoie du questionnaire par courrier lectronique au
lieu de procder lenvoie par la poste. Cette formule constitue une innovation, elle
nous a permis de rduire les cots denvoie postaux et davoir des rponses dans des
brefs dlais. Le fait que nous nous adressions un chantillon de personnes qui sont
habitues linformatique, ceci nous a encourag de choisir cette mthode. De ce
fait, on arranger la technique de rponse ce besoin, et nous avons effectu la mise
en forme ncessaire afin de faire participer le plus grand nombre possible
dauditeurs de SI notre tude. Ainsi la version finale du questionnaire se trouve
complte (Appendice A).
2.3.2 La collecte des donnes
La version finale du questionnaire a t expdie 130 personnes le 26 mars
2002. Afin dassurer un taux de rponse lev, le questionnaire a t accompagn
dune note personnalise et signe par le vice prsident de lAPVCSI.
Aprs une dizaine de jours, et le 7 avril 2002 au moment denvoyer une lettre
de rappel par courrier lectronique accompagn par le questionnaire initiale, le taux
de rponse tait de 20% (26 rpondants). Le 13 avril, au moment de la compilation
finale, 37 questionnaires valides avaient t retourns lassociation APVCSI et nous
ont t transfrs notre adresse lectronique pour garder la confidentialit des
rpondants. Le nombre de questionnaire qui nous a t achemin reprsente un taux
de rponse de 28.46 %. Les rsultats prsents dans ce document traduisent
essentiellement les perceptions de 37 auditeurs de SI de la rgion de Montral.
8/2/2019 audit des systmes d'info
20/145
CHAPITRE 3
EST-CE QUE LAUDIT DES SYSTMES DINFORMATION EST VRITABLEMENT
UNE PROFESSION ?
3.1 Rponse de lauteur
La premire question souleve par Dunmore (1989) examine si laudit des SI
est vritablement une profession. La rponse prsente montre que lauteur a des
doutes sil sagit vraiment dune profession, daprs lui, il sagit dun champ
dexpertise qui na pas encore runi les critres dune vritable profession, mais qui
le deviendra invitablement une. Il ajoute que laudit des SI apparat comme une
sous spcialit de la profession daudit interne ou externe.
3.2 Arguments de lauteur
Selon lauteur, une profession requiert la fois un corps de connaissance
aussi bien quun personnel de carrire, non juste un groupe de personne faisant
temporairement des travaux similaires. La rponse de lauteur regroupe deuxgrands volets savoir :
1. Le corpus de connaissance existant pour laudit des SI;
2. Lvolution des professionnels dans leurs carrires.
8/2/2019 audit des systmes d'info
21/145
103.3 Discussion et analyse
Dunmore (1989) a soulev plusieurs lments dans sa rponse cettequestion qui examine si laudit des SI runis les critres dune vritable profession.
Vu la multitude des sujets quil touche nous nous proposons de prsenter ses
arguments sous forme de plusieurs points que nous traitons un par un pour les
analyser tout en montrant lvolution enregistre par nos observations et qui feront
partie de notre discussion. Dautres points seront analyss travers les rponses aux
questions que nous proposons notre chantillon travers un questionnaire.
3.3.1 Traits professionnels
Quest-ce quun professionnel? Les thories cherchant distinguer des traits
professionnels sont trs anciennes. Logeais (1990) mentionne quon peut reconnatre
quatre approches classes selon un axe partant de la plus grande objectivit et allant
vers les thories les plus subjectives. La figure ci-dessous expose succinctement la
situation.
Objectivit
numration des traits ou des caractristiques
Identification des rles et des fonctions
Reconnaissance dun processus
tudes phnomnologiques et historiques
Subjectivit
Figure 3.1 volution des approches sur les traits professionnels. (Figure adapte de
Logeais ,1990, p.18)
8/2/2019 audit des systmes d'info
22/145
11Les professions peuvent tre classes dans une perspective plus large
doccupations se professionnalisant ou au contraire se dprofessionnalisant. Ainsi un
certain nombre de dimensions identifies par Pavalko (1971) permettent de
caractriser une profession ou une occupation comme le montre le tableau suivant :
Tableau 3.1Tableau reprsentatif des dimensions (occupation / profession)
Dimension Occupation Profession
Complexit analytique Absente Prsente
Orientation aux valeurssociales
Ngative Positive
Formation Courte, non spcialise,manipulation dobjet
sous-culture nonimportante
Longue, spcialise,manipulation de symboles,
sous-culture importante
Motivation Intrt personnel Service a la communaut
Autonomie Faible Grande
Sens de lengagement
envers loccupation court terme long terme
Sens communautaire Faible lev
Code dthique Inexistant Trs dvelopp
8/2/2019 audit des systmes d'info
23/145
12Comment ces facteurs sont interrelis et quelle est limportance dun facteur
par rapport aux autres ? Logeais (1990) ajoute que lorientation sociale et la
reconnaissance des valeurs de service, daltruisme sont les traits dominants chez les
professionnels. Trois caractristiques sont identifies:
Les professionnels possdent un corps de connaissances, un savoir intellectuel
spcialis acquis au cours dune longue formation. La division du travail
professionnel est base sur le fait que la fonction professionnelle est relie un
tat de crise, des besoins humains ou collectifs fondamentaux.
Les professionnels ont droit dentrer dans la vie prive, discrte de leurs clients
et dexercer sur eux une grande influence, ce droit est reconnu lgalement.
Le code dthique affecte la relation professionnelle et la communaut et est bas
sur lautorgulation.
Quen est-il de la profession des auditeurs des SI? La rponse ne nous parat
pas vidente, examinons dabord les volutions qua connu ce champ dexpertise
depuis 1989 par rapport aux dimensions cites ci-dessus afin davoir une meilleure
ide quant linquitude formule par Dunmore (1989).
3.3.2 volution du corpus de connaissance
Il y a lieu dans cette section de prsenter lassociation qui regroupe les
professionnels de laudit et du contrle des SI, savoir, lInformation Systems Auditorsand Control Association ISACA. Il sagit dun organisme but non-lucratif, qui assure
la promotion de la recherche et publie diffrents ouvrages destins informer et
former les utilisateurs des technologies de linformation sur les volets critiques du
contrle et de laudit des SI dans leur organisation.
8/2/2019 audit des systmes d'info
24/145
13Dunmore nous fait savoir quen 1989, les 8500 membres de lAssociation des
Auditeurs EDP sont membres des dpartements daudit interne, il peut tre dit que
laudit interne domine le domaine daudit des SI. A cette poque lISACA tait
connu sous le nom de EDP Auditors Association fonde depuis 1969. Actuellement
lISACA compte plus de 23000 membres, rpartis dans plus de 100 pays, organiss
sous forme de 161 chapitres.
On na pas pu accder linformation sur les domaines dinterventions de la
totalit des professionnels membres de lISACA, mais il suffit de jeter un coup dil
sur les caractristiques de leffectif des rpartitions des professionnels adhrant lAFAI (Association franaise dauditeurs informatique) qui est le chapitre franais
de lISACA pour comprendre quil ne sagit plus de lpoque o juste les auditeurs
internes dominaient ce champ dexpertise comme il fut en 1989 et comme le montre
la figure ci-dessous :
Figure 3. 2 Rpartition des membres de lAFAI par origine professionnelle. (Tir dehttp://www.afai.asso.fr ; Janvier 2002. Rubrique adhsion).
http://www.afai.asso.fr/http://www.afai.asso.fr/8/2/2019 audit des systmes d'info
25/145
14LISACA publie le journal Information Systems Audit and Control Journal, et
offre des services de librairie spcialise pour des ouvrages techniques. Elle dispense
galement un ensemble dactivits de formation et soccupe exclusivement de
ladministration de lexamen CISA Certified Information Systems Auditors. Nous
nous sommes investis pour adhrer cette association en tant que membre tudiant
candidat la certification CISA. Daprs nos investigations et participations aux
activits organises, nous pouvons dire quil sagit de lassociation qui contribuer
dans une large mesure la formation des professionnels candidats exercer comme
auditeurs et consultants en SI et, a donn une grande pousse la formation
dtudiants en audit des SI et ceux par lorganisation de la certification CISA. Lesexigences pour ce titre sont la russite de lexamen CISA, cinq annes dexprience,
ladhsion au code dthique ainsi que la formation continue. En 1989 quand
Dunmore a crit son article, il tait dj dtenteur du titre CISA.
La reconnaissance de ce titre a t faite par plusieurs organismes comme
tant le titre de spcialisation dans le domaine de laudit SI. Dans un communiqu
de presse en date du 15 janvier 2001 lICCA, Institut Canadien des Comptables
Agrs, reconnat le titre de CISA Certified Information Systems Auditors comme
titre de spcialisation en vrification et contrle des SI :
LICCA a annonc aujourdhui la conclusion dun accord avec lInformationSystems Audit and Control Association (ISACA), accrditant lISACA commeseule organisation dont le titre permet dtre reconnu comme CA spcialisteen vrification, contrle et scurit des SI. Les CA qui travaillent dans cedomaine et qui ne possdent pas le titre de CISA seront incits obtenir cetitre. Les CA qui possdent le titre de CISA et qui sont inscrits comme
spcialistes auprs de leur ordre provincial pourront tre reconnus commeCA spcialistes en vrification, contrle et scurit des SI et utiliser la formede titre CA-CISA2.
2 http://www.icca.ca (Janvier 2002. Rubrique communique de presse)
http://www.icca.ca/http://www.icca.ca/8/2/2019 audit des systmes d'info
26/145
15Par ailleurs, le Groupe de travail de lICCA sur les spcialits en technologies
de linformation recommande la cration dune alliance pour lexcellence en
technologies de linformation (TI) et dun programme dagrment de spcialistes en
TI lintention des CA. Ce programme ne vise pas ncessairement llaboration
dune spcialit en audit SI, mais plutt en conseil ou en gestion des TI. Dans un
projet en date du 6 novembre 2001 et visant la cration dune alliance pour
lexcellence en TI et dun programme dagrment de spcialistes ce groupe dfinit un
spcialiste comme une personne qui :
Est reconnue comme spcialiste par ses pairs, ses clients et ses associs enaffaires;
A consacr un pourcentage considrable de son temps la spcialit pendant
une priode prolonge;
A suivi des cours ou a russi aux examens appropris dans la spcialit en cause;
Suit des cours de perfectionnement professionnel qui se rapportent la spcialit
en cause;
Continue consacrer un pourcentage considrable de son temps la spcialit.
Du cot des auditeurs internes, nous avons constat que le mme intrt est
prsent envers ce champ dexpertise. En plus de la collaboration dans lorganisation
des sminaires de formation avec lISACA, la IIA Institute of Internal Auditors vient
daccorder aux dtenteurs du titre CISA une exemption de certaines partie de
lexamen pour lobtention du titre CIA Certified Internal Auditor qui est reconnu
comme tant le titre de renomm et de reconnaissance pour un auditeur interne :
Exemption : Pour obtenir la dsignation CIA, une personne doit passer avecsuccs les quatre examens. Depuis 1998, les personnes ayant dj un titrecomptable ou le titre CISA peuvent obtenir une exemption pour le quatrimeexamen3
3 http://www.ivim.com (Janvier 2002. Rubrique : programme CIA)
8/2/2019 audit des systmes d'info
27/145
16Dans larticle publi par Dunmore en 1989, laudit des SI est mentionn
parfois comme tant une discipline, comme tant une profession dans dautres cas et
finalement lauteur nous fait savoir que ce domaine dexpertise apparat comme une
sous spcialit de la profession daudit interne ou externe. Dunmore (1989) ajoute
que les opinions des auditeurs des SI non comme les opinions dauditeurs financiers,
nont pas de base lgale ou rglementaire accepte en tant quexpert tmoin.
Il est vrai que la lgislation officielle pour la certification des comptes
demeure sans changements, mais on remarque de plus en plus que les notes de
services bancaires au niveau des dpartements daudit interne et les exigences decollaboration entre organisme financier exigent lintervention dun spcialiste
reconnu et le rapport nest valide qua la signature dun professionnel auditeur tel
quun dtenteur du titre CISA. Ainsi le guide pour laudit des associations
INTERAC publi en 1998, mentionne que les vrifications de conformits requirent
la certification par un auditeur professionnel dtenteur de lun ou plus des titres
suivant : CA, CGA, CMA, CIA et CISA (Appendice C).
Stachtchenko (1995) et Weber (1999) considrent que ce titre crdibilise les
missions daudit SI et motive les collaborateurs. Ils rejoignent en quelque sorte les
prtentions de Dunmore (1989) quant lavenir de laudit des SI en affirmant que si
aujourdhui, le CISA est un critre de recrutement et de promotion alors demain, il
sera le diplme professionnel de rfrence. LISACA oblige ses membres suivre
tous les trois ans une formation continue sous forme dune exigence daccrditation
de 120 heures de formation en audit et contrle des SI, pour pouvoir garder le titre
CISA.4. Il est intressant de mentionner quactuellement il y a 12 000 personnes quiont le CISA dans le monde, ce titre constitue la rfrence mondiale en matire
daudit informatique.
4 http://www.isaca.org/cisacep1.htm (Janvier 2002. Rubrique: Continuing Education)
8/2/2019 audit des systmes d'info
28/145
17En poursuivant lvolution qua connu le domaine de laudit des SI, lISACA
a tabli que le caractre spcialis de laudit des SI et les comptences requises pour
effectuer un tel audit rendent ncessaires le dveloppement et la promulgation de
normes gnrales pour laudit des SI. partir de ces normes, savoir, les Standards
For Information Systems Auditing, de l ISACA (1997), laudit des SI se dfinit comme
tout audit qui comprend lexamen et lvaluation de tous les aspects (ou une partie
dentre eux) des systmes de traitement automatis de linformation, y compris les
procdures connexes non-automatises, et les interfaces qui les relient entre eux.
Les normes promulgues par lISACA sont applicables aux travaux dauditdes SI effectus par les membres de lassociation pour le contrle et laudit des SI et
par les dtenteurs du titre dauditeur en SI agr CISA. Lobjectif de ces normes est
dinformer les auditeurs du niveau minimal acceptable pour rpondre aux
responsabilits professionnelles tablies dans le code dthique professionnelle et
informer la direction et les autres parties intresses par les attentes de la profession
concernant le travail des praticiens. Ces normes sont entres en vigueur depuis le 25
juillet 1997. Le code dthique professionnelle de lISACA exige de ses membres
titulaires du CISA, le respect des normes daudit des SI quelle a promulgu. Le
respect de ces normes est considr trs srieusement et fortement encourag. Le
dveloppement et la diffusion des normes daudit de SI est la pierre angulaire de la
contribution professionnelle de lISACA la communaut de laudit des SI.
Dans sa rponse, Dunmore (1989) avance quun corps de connaissance existe
mais quil est petit par rapport dautres professions et nest pas entrain de slargir
de la vitesse dont il est suppos atteindre moins de se retrouver dpasser parlavanc technologique des systmes. Par corpus de connaissance on entend,
vocabulaire commun, mthodologie, code dthique, publications, normes et
procdures organisant le domaine. Il sagit ici dune question dimportance des
connaissances acquise et de leur vitesse dvolution.
8/2/2019 audit des systmes d'info
29/145
18Certaines organisations importantes font des efforts de recherches et de
dveloppement en normalisation dans le domaine de laudit des SI. Dailleurs, par
exemple lAICPA a labor conjointement avec lICCA. un service de certification
SysTrust qui permet de vrifier et de tester de faon indpendante la disponibilit, la
scurit et lintgrit des SI. Notre travail est compar principalement au cadre de
rfrence de lISACA que nous avons considr comme chef de fil dans ce domaine.
En faisant le rapprochement par rapport la situation qui nous est prsent en 1989,
nous notons que ce nest quau courant des cinq dernires annes que le domaine de
connaissance sest largi dune faon remarquable. En effet, les dates dadoption de
tout un arsenal de rglementation du mtier de la part des membres de lISACAconfirment notre observation, ainsi nous prsentons ci-dessous la date et le titre des
normes, dclaration et recommandation observer :
"Normes gnrales pour laudit des SI" en vigueur au 25 juillet 1997.
"Politique de gouvernance des SI " en vigueur au 1er juin 1998
"Contenu et forme dun rapport" en vigueur au 1er dcembre 1998
"Matrialit" en vigueur au 1er septembre 1999.
"Charte daudit" en vigueur au 1er septembre 1999.
"Conscience professionnelle" en vigueur au 1er septembre 1999.
"Documentation daudit" en vigueur au 1er septembre 1999.
"Externalisation des activits informatiques" en vigueur au 1er septembre 1999.
"lments probants" en vigueur au 1er dcembre 1999.
"Impact des contrles pervasifs des SI " en vigueur au 1er mars 2000.
"Irrgularits" en vigueur au 1er mars 2000.
"Rapport organisationnel et indpendance" en vigueur au 1er mars 2000. "valuation des risques et planification des audits" 1er septembre 2000.
"Sondage en audit" en vigueur au 1er mars 2000.
"Technique daudit assist par ordinateur" en vigueur au 1er dcembre 2000.
"Revue des systmes dapplication" en vigueur au 1er novembre 2001.
8/2/2019 audit des systmes d'info
30/145
19Nous constatons que le rythme dvolution du corpus de connaissance se
referant laudit des SI na pris de lacclration que ces quelques dernires annes.
Cependant on peut avancer que lanne 2000 et ses problmes inhrents peuvent tre
un tournant crucial et une mesure de lefficacit de la profession.
3.3.3 volution des professionnels dans leur carrire
Dunmore (1989) a par ailleurs suggr que la rotation constante dauditeurs
qualifis (quatre annes ou plus dexprience) limite le domaine de la connaissance
daudit des SI. Cette rotation, ajouta-t-il, est due au manque dune voie daccs decarrire pour les auditeurs SI. Non que les auditeurs SI soient bloqus ou sont
incapables de tenir dautres positions dautorit dans lorganisation mais quils sont
perus comme incapables de tenir dautres positions dautorit dans lorganisation
mais qui peut tre caus par labsence de prdcesseurs qui ont russi accder de
tels postes.
Dix ans plus tard, une tude par questionnaire a t entreprise auprs dun
chantillon comprenant des directeurs de dpartement daudit interne dans la rgion
du Nord du Texas, y compris le Dallas. Il sagit de ltude de Lucy (1999) qui sest
intress surtout la manire de rpartition des ressources pour les diffrentes
tches accomplis lors dun audit de SI. Les directeurs daudit de soixante dix-sept
organismes ont rpondu un questionnaire reprsentant ainsi 12 groupements de
diffrentes industries. Il est noter quapproximativement un tiers de tous les
organismes figurant dans lchantillon de Lucy (1998) emploient des auditeurs SI.
Cette tude indique que la moyenne dexprience dun auditeur dans laudit SI estde quatre ans au plus. Seulement trois dentre ceux qui ont quatre ans dexprience
en audit SI sont dans leurs organisations actuelles.
8/2/2019 audit des systmes d'info
31/145
20Par ailleurs Lucy (1999) confirme le fait que les auditeurs SI aient une
existence de transition tel que postul par Dunmore (1989). Il trouve que lorsque les
auditeurs SI se dplacent leur prochaine affectation, 47% dentre eux quittent leurs
organisations actuelles, 12% viennent dautres units opratoires et les mmes 12%
retournent apparemment leur dpartement dorigine ou aux autres dpartements
oprationnels. Au niveau de supervision et de gestion, plus de la moiti des
employes viennent de sources extrieures avec seulement 25% qui venaient du
dpartement daudit interne. Lucy (1999) prsume que ceci pourrait tre le rsultat
dune rotation leve au niveau des auditeurs SI, qui limite le nombre de candidats
ayant plus que quatre ans dexprience, tel quannonc par Dunmore depuis 1989.
Au fait, les constatations de Dunmore (1989) ne sarrtent pas jusqu ces
points. Ce dernier ajoute que la plupart des organisations ne sont pas sure de ce
quils doivent faire avec les auditeurs des SI particulirement ceux qui ont une
formation technique plus large. Par consquents plusieurs auditeurs de SI crent
leur propre chemin de carrire en allant vers des cabinets de service. Lauteur fait
une distinction entre deux catgories dauditeur SI, les techniciens de logiciel
exerant des tches de contrle et daudit de SI et les professionnels occupant des
fonctions dauditeurs SI. Les techniciens nont pas du mal rester au sein de
lentreprise alors que les auditeurs quittent aprs trois ou quatre ans dexprience.
Dans une autre recherche sur le problme de lvolution des auditeurs SI
dans leur carrire professionnelle, Siew (1999) a suppos quavec les applications
continues des technologies dinformation avances dans des SI, le futur semble
lumineux avec des voies daccs prometteuses de carrire pour des auditeurs SI.Cette tude a t ralise sur la base dun questionnaire expdie chacun des 345
membres du chapitre de lISACA Singapour en dcembre 1998.
8/2/2019 audit des systmes d'info
32/145
21Presque 65% des rpondants ont la qualification CISA et les 66% deux ont au
moins quatre six ans dexprience professionnelle dans laudit des SI.
Approximativement 19% (14 sur 75) des rpondants avaient dj quitt laudit des SI
pour dautres travaux. En outre, 32.7% des rpondants retenu pour constituer la base
des rsultats trouvs par cette tude ont manifest lintention de quitter leur fonction
dauditeurs de SI en faveurs dautres fonctions. Lanalyse des rsultats fait ressortir
trois explications a cette situation qualifi de turbulente par lauteur.
Lambigut des tches accomplir par ces auditeurs SI au sein de leur
entreprise : La plupart des auditeurs SI ont indiqu quils sont simultanmentresponsables dautres tches telles que laudit financier, audit oprationnel,
conseil en affaires, support de programmation ou gestion de projet.
La progression interne de carrire est non probable de se produire dans le sens
verticale du diagramme de la hirarchie des fonctions.
Les modules de salaire des auditeurs SI : Les rsultats supportent ainsi la
perception gnrale que les auditeurs SI ne sont pas bien compenss par rapport
leur collgue uvrant dans le domaine des technologies de linformation
comme les gestionnaires de dveloppement dapplication, des gestionnaires de
rseau, des chefs de projet et des gestionnaires du centre de calculs.
En dpit des suppositions pour une carrire prometteuse des professionnels
de laudit SI avec lemphase toujours croissante des technologies de linformation,
ltude de Siew (1999) a indiqu lvidence plutt contradictoire, avec une carrire
limite dans lorganisation, une cadence leve de rotation et une tendance des
auditeurs SI de quitter le domaine.
8/2/2019 audit des systmes d'info
33/145
223.4 Point de vue avant lenqute
Nous constatons une importante volution dans lorganisation de ce champdexpertise et le renforcement des traits professionnels indiqus dans la littrature
font toute la diffrence avec la situation dcrite en 1989. Lassociation de laudit et de
contrle de systme dinformation (ISACA), raffine continuellement des objectifs de
contrle la lumire de la technologie, met jour des normes de conduite
professionnelle et continue examiner et certifier des professionnels daudit.
tant donn quapproximativement un tiers des organismes emploient des
auditeurs SI, bien quil ny ait aucune rfrence prcdente, lenqute de Lucy (1999)
montre que beaucoup de praticiens estiment que cest une augmentation
significative depuis 1989. Tous ces lments prcdemment discuts dans ce
chapitre, concordent avec les dimensions dune profession tel que dcrite par
Logeais (1990) et tel quapprci par Dunmore (1989) lui-mme, savoir,
llargissement du corpus de connaissance, la reconnaissance dun titre
daccrditation et lvolution des professionnels dans leur carrire. En plus, nos
observations confirment lexistence des caractristiques annonces par Pavalko(1971) sur la qualification dune profession plutt quune occupation (Tableau 3.1).
Ltude de Siew (1999) et Lucy (1999) indique que ltat de la profession na
pas encore entirement volu de son tat tel que constat par Dunmore (1989). Ces
rsultats sont rvlateurs dinquitudes quant au dveloppement de la vie
professionnelle puisquil ny pas eu de changements significatifs par rapport aux
constatations faites de Dunmore en 1989 quant aux taux de rotation lev et la
difficult des organisations retenir des auditeurs SI qualifis.
8/2/2019 audit des systmes d'info
34/145
233.5 laboration des questions pour ltude
Les constats discuts dans les sections prcdentes nous poussent poserplusieurs questions sur lvolution de ltat de la situation pour mieux cerner le sujet
et tirer au plus clair nos analyses.
3.5.1 volution des connaissances dans le domaine de laudit SI
Dunmore (1989) note quil ny a pas beaucoup de littrature au sujet de
laudit SI et que les connaissances sont limites compares dautres professions.
Par les questions ci-dessous, on va tenter de mieux comprendre ltat actuel de laformation des gens qui soccupe de laudit des SI; surtout que Dunmore juge
lpoque quon a tudi laudit des SI mais pas suffisamment et que les
professionnels tendent auditer ce qils savent auditer mais pas ce qui doit tre
auditer. Avec lchelle suivante nous mesurons les perceptions des professionnels
sur ce sujet (1=faible, 2=moyenne, 3=Forte).
1) Quelle contribution apporte la formation universitaire actuelle lvolution de la
profession dauditeur de SI ?
2) Quelle contribution les recherches et publications actuelles en matire daudit des
SI apportent-elles lenrichissement de ce domaine de connaissance ?
3) Quelle est votre apprciation de leffort entrepris par lISACA pour augmenter la
comptence des professionnels de laudit des SI ?
Certains critres des rpondants pourront nous tre utiles pour avoir une
ide sur la formation des gens exerant le mtier, ainsi nous pensons rajouter la
question qui suit dans notre partie se referant aux donnes dmographiques de notre
chantillon.
http://www.isaca.org/http://www.isaca.org/8/2/2019 audit des systmes d'info
35/145
244) tes vous dtenteur du ou des titres professionnels suivants :
a) Comptable agre (CA)
b) Comptable en management agre (CMA)
c) Comptable gnral agre (CGA)
d) Auditeur interne agre (CIA)
e) Auditeur de systme dinformation agre (CISA)
f) Autres (spcifier) :
Dans les dernires questions de ce travail on voulu voir si on pouvaittrouver une diffrence entre les perceptions de ces points de vue entre les auditeurs
des SI internes et externes.
5) Est-ce que vous exercez laudit des SI en tant que :
Auditeur interne
Auditeur externe
3.5.2 volution des professionnels dans leur carrire
Dunmore (1989) estime que les gens exerants le mtier se trouvent limits
par un contrle sur ltendue de leur approche daudit, ils nont pas lautonomie
ncessaire pour effectuer les travaux quils jugent ncessaires. Sajoute un degr
faible dattention port envers cette fonction par les dirigeants. Les questions que
nous nous posons visent savoir si les entreprises arrivent maintenir les fonctionsde leurs auditeurs actuels, si ces gens se trouvent intresss continuer leurs
carrires dans ce domaine et sils ont des chances davancement et de promotion au
sein de leur entreprise. La non-motivation continuer dans lorganisation actuelle
est due au fait que les auditeurs des SI noccupent pas des postes plus levs dans la
8/2/2019 audit des systmes d'info
36/145
25hirarchie administrative que leurs collgues en matire financire ou de gestion,
ainsi le non-succs des auditeurs SI a accd des positions de contrle au-dessus
des fonctions daudit dans lentreprise apparat dominant. Voici les questions que
nous nous proposons notre chantillon :
6) Nombre danne exprience en audit des SI?
7) Le nombre danne dans lorganisation actuelle?
8) Comment sont les perspectives de carrire pour le personnel daudit des SI ?(1=Faible, 2= Moyenne, 3=Forte)
9) Quelle opportunit a un auditeur des SI daccder un poste de chef du
dpartement daudit interne au sein dune entreprise ? (1=Faible, 2=Moyenne,
3=Forte)
10) Comment jugez-vous limportance accorde la fonction de laudit des SI dans
les entreprises ? (1=Faible, 2=Moyenne, 3=Forte)
11) Est-ce que vous bnficier de lautorit ncessaire pour laccomplissement des
travaux daudit SI ? Oui Non
12) Pensez vous faire carrire dans le domaine de laudit des SI en y demeurant de
faon continue ? Oui Non
13) Est-ce que votre organisation prend les dispositions ncessaires pour maintenir
un auditeur de SI hautement qualifi ? Oui Non
8/2/2019 audit des systmes d'info
37/145
263.6 Rsultats de lenqute
Lobjectif tant de ramener des critres de rponses nos questionsinitialement poses dans le dbut de ce chapitre, savoir, llargissement du corpus
de connaissance dans le domaine de laudit des SI et lvolution des professionnels
dans leur carrire.
3.6.1 largissement des connaissances dans le domaine de laudit SI
Dans lensemble, les rsultats traduisent la perception de 37 auditeurs de SI
dont 19 comme tant auditeur internes (51.4%) et 18 comme auditeurs externes
(48.6%). Les rpondants obissent un certain profil, un pourcentage leve (94.6%)
de participant ayant complt le questionnaire dtiennent au moins un titre
professionnel. Un grand nombre est porteur du titre CISA Certified Information
System Auditor. La figure 3.4 donne une ide sur les proportions des titres dtenus
par les rpondants. Il sagit des titres suivants :
CMA2%
CGA10%
CISA
41%CIA10%
CISSP4%
CPA6%
CA27%
Figure 3.3: Rpartition de titres professionnels dtenus par les rpondants
8/2/2019 audit des systmes d'info
38/145
27Au total, 20 personnes dtiennent le titre CISA que ce soit comme unique titre
professionnel (7 personnes), dautres le dtiennent avec des titres daudit et de
comptabilit (13 personnes). Parmi les CA qui ont particip cette tude, 41%
dentre eux dtiennent le titre CISA que nous avons avanc comme tant la rfrence
dans le domaine de laudit des SI. Ceci rejoint en quelque sorte lintrt accru des
auditeurs financiers chercher une formation spcialise dans ce type daudit. Le
titre CISA se trouve tre jumel avec dautres titres. Ceci est vrai du cot des
auditeurs internes et des auditeurs externes. Le tableau suivant donne une ide sur
les personnes rpondant qui dtiennent un ou plusieurs titres professionnels en plus
du CISA :
Tableau 3.2Cumul du titre CISA avec dautres titres professionnels
Titres cumulsavec le CISA
Nombres depersonnes
Lgende
CA - CISA 13.5% CA : Comptable Agr
CIA - CISA 8% CIA : Certified Internal Auditor
CGA - CISA 5.7% CGA : Comptable Gnral Agr
CPA - CISA 5.7% CPA : Certified Public Accountant
CISSP - CISA 2.7% CISSP : Certified Information SystemSecurity Professionnal
8/2/2019 audit des systmes d'info
39/145
28Aprs avoir discuter de la formation universitaire suivie par les rpondants
notre questionnaire et limportance du titre CISA, nous prsentons dans ce qui suit
lassertion de Dunmore (1989), ensuite les rsultats obtenus notre enqute pour
chacun des points discuts.
En plus de montrer les rsultats globaux en pourcentage des rponses reues,
nous avons spar les perceptions des auditeurs internes et celle des auditeurs
externes. Scinder les rpondants en deux catgories nous donnera plus defficience
dans linterprtation des rsultats surtout dans le cas o les rponses sont
diffrentes.
Il est clair que les programmes universitaires constituent un support
important dans lvolution de lauditeur des SI dans sa carrire professionnelle.
Mme si lapprciation de ce support existant reste moyenne pour certains (57%) et
encore faible pour dautres (43%), la situation diffre de 1989 ou cette formation
navait pas de poids comme le prcise Dunmore (1989). Le tableau 3.3 montre les
perceptions des rpondants ce sujet.
Tableau 3.3Apprciation de la formation universitaire
Question Rsultat globalAuditeurExterne
AuditeurInterne
Quelle contribution apporte laformation universitaire actuelle
lvolution de la profession dauditeurde SI ?
Faible 43%
Moyenne 57%
Forte 0%
8
10
0
8
11
0
8/2/2019 audit des systmes d'info
40/145
29Dun autre cot, les avis restent trs proches pour dire que par rapport ltat
dcrit par Dunmore (1989) nous assistons des publications juges bonnes dans le
domaine de laudit des SI comme le montre le tableau 3.4.
Comme nous lavons indiqu dans notre discussion dans les sections
prcdente lISACA contribue largement dans lvolution de la pratique de laudit
des SI. En effet, selon le tableau 3.5 qui regroupent les rponses reues, 80 % des
rpondants apprcient fortement les efforts entrepris par cette association pour
augmenter la comptence de ce domaine dexpertise.
Tableau 3.4Contribution des recherches et publications
Question Rsultat globalAuditeurExterne
AuditeurInterne
Quelle contribution les recherches etpublications actuelles en matiredaudit des SI apportent-elles lenrichissement de ce domaine deconnaissance ?
Faible 0%
Moyenne 57%
Forte 43%
0
13
5
0
8
11
Tableau 3.5Effort entrepris par lISACA
Question Rsultat globalAuditeurExterne
AuditeurInterne
Quelle est votre apprciation deleffort entrepris par lISACApour augmenter la comptencedes professionnels de laudit desSI ?
Faible 0%Moyenne 20%
Forte 80%
02
16
05
14
http://www.isaca.org/http://www.isaca.org/8/2/2019 audit des systmes d'info
41/145
30
3.6.2 volution des professionnels dans leur carrire
Dunmore (1989) affirme que les auditeurs qualifis qui ont un minimum de 4
ans exprience ont tendance changer de fonction. Dunmore ajoute que les
entreprises narrivent pas maintenir ces auditeurs qualifis dans leur fonction ce
qui a fait que ces derniers quittent laudit des SI pour dautres fonctions. Nos
questions sur lexprience en audit SI dune part et sur la dure de lexprience du
rpondant dans son organisation actuelle dautre part, nous donnent les rsultats qui
figurent dans le tableau 3.6.
Selon ces rponses, la moyenne dexprience en audit des SI par nos
rpondants se situe autour de 5.4 ans. Par ailleurs, 40 % des rpondants ont plus
dexprience en audit SI que dans leur organisation actuelle, ce qui suppose que
chaque auditeur quitter son ancien employeur pour rejoindre son poste actuel.
Ceci nous ramne au mme constat tabli par Dunmore (1989) pour dire quil existe
une rotation et une tendance quitter lentreprise qui se manifeste chez les auditeurs
SI qualifis qui ont plus que 4 ans exprience.
Tableau 3.6Exprience des rpondants
QuestionRsultatglobal
AuditeurExterne
AuditeurInterne
Moyenne de nombre danne danslorganisation actuelle
4.5 4.8 4.2
Moyenne de nombre danne exprienceen audit des SI 5.4 6.2 4.7
8/2/2019 audit des systmes d'info
42/145
31Comme il sagit dune source dinquitude, on a pouss lanalyse plus loin
dans le sens o on a cherch si le phnomne reste aussi vrai pour les auditeurs SI
internes quexternes. En analysant ces rsultats du point de vue des 18 auditeurs
externes, on constate que 12 personnes parmi eux, cest--dire 66% ont plus
exprience en audit SI (6 annes) que dans leur organisation actuelle (4 annes). Ceci
laisse entendre quils ont chang demployeur au cours de leur carrire. Ce
phnomne reste aussi vrai du cot des auditeurs internes sauf quil nest pas
constat que la mme ampleur mais demeure inquitante puisque 41% dentre eux
semblent avoir vcu un changement demployeur.
Par ailleurs, le phnomne inverse est aussi prsent. Ainsi parmi le groupe
des auditeurs internes 34% ont plus exprience dans leur organisation actuelle quen
audit SI. Cette mme constatation est vraie aussi pour 34% des auditeurs SI externe
ce qui dmontre un intrt accru la spcialisation dans ce champ dactivit.
Dunmore (1989) estime que plusieurs causes font quune carrire en audit SI
nest pas attrayante. Notre auteur rajoute que le rsultat final a pour consquence
que ces gens quittent le domaine de laudit SI en faveur dautres fonctions que ce soit
dans leur organisation ou pour dautre employeur. Nous numrons ces dites causes
pour retrouver ensuite les rsultats de nos questions.
Les auditeurs SI sont perus comme incapable de tenir des positions
dautorit dans lorganisation et par consquent, ils nont pas accs des
postes plus levs dans la hirarchie de leur dpartement daudit. Nos
rsultats indiquent quune telle opportunit reste encore peu probablecomme la montre la perception des rpondants figurant au tableau 3.7.
8/2/2019 audit des systmes d'info
43/145
32Tableau 3.7
Opportunit davancement pour lauditeur SI
QuestionRsultatglobal
AuditeurExterne
AuditeurInterne
Quelle opportunit a un auditeur des SIdaccder un poste de chef dudpartement daudit interne au seindune entreprise ?
Faible 24%
Moyenne47%
Forte29%
4
7
7
5
10
4
Tableau 3.8Autonomie de lauditeur lors de lexcution des travaux daudit SI
QuestionRsultatglobal
AuditeurExterne
AuditeurInterne
Est-ce que vous bnficiez delautonomie et de lautorit ncessairepour laccomplissement des travauxdaudit des SI ?
Oui 70%
Non 30%
13
5
13
6
Les auditeurs SI ont un contrle sur leur activit qui empchent le bon
droulement des travaux. Daprs les rsultats figurant dans le tableau 3.8, la
situation est diffrente puisque 70% bnficient dun certain pouvoir qui leur
permet de bien grer leur mandat.
Dunmore (1989) prcise quil y a une importance relative accorde par la
direction laudit des SI et par la suite, ces derniers narrivent pas
maintenir des auditeurs SI qualifis. Ceci reste plus au moins vrai puisque
lintrt port par les dirigeants est jug tre moyen raison de 52% et dans
26% des cas comme tant faible (tableau 3.9). Mais dun autre cot, les
rpondants jugent 60% que leurs organisations font des efforts
considrables dans ce sens. Ceci est montr par le tableau 3.10.
8/2/2019 audit des systmes d'info
44/145
33Tableau 3. 9
Importance de la fonction audit SI dans les entreprises
Question Rsultat globalAuditeurExterne
AuditeurInterne
Comment jugez-vous limportanceaccorde la fonction de laudit desSI dans les entreprises ?
Faible26%
Moyenne 52%
Forte22%
8
7
3
2
12
5
Tableau 3.10Maintien de lauditeur SI qualifie par son entreprise
QuestionRsultatglobal
AuditeurExterne
AuditeurInterne
Est-ce que votre organisation prend lesdispositions ncessaires pour maintenir unauditeur de SI hautement qualifi ?
Oui 60%
Non 40%
14
4
12
7
Tableau 3.11Perspective de carrire en audit SI.
QuestionRsultatglobal
AuditeurExterne
AuditeurInterne
Comment sont les perspectives decarrire pour le personnel daudit desSI ?
Faible 5%
Moyenne 26%
Forte 69%
2
6
10
0
3
16Pensez vous faire carrire dans ledomaine de laudit des SI en ydemeurant de faon continue ?
Oui 80%
Non 20%
12
6
17
2
8/2/2019 audit des systmes d'info
45/145
34 la lumire de ce qui prcde, il est clair que la situation a volu mais les
constats dcrits en 1989 restent encore prsents. Toutefois, il faut noter que ceci na
pas empch les auditeurs SI de montrer leur intrt continuer de faire carrire en
audit SI et daffirmer que les perspectives de carrire sont prometteuses. Ces deux
dernires constatations dcoulent des rponses reues nos deux questions
figurantes au tableau 3.11. Donc nous sommes devant un changement dattitude par
rapport 1989. Toutefois, il est difficile de cerner si les auditeurs SI ont la conviction
de continuer leur carrire dans leurs organisations actuelle ou dans dautres
organisations quand loccasion se prsente. Nous reviendrons sur cette question
dans les chapitres qui suivent. Pour le moment nous nous contentons de savoir quenos rpondants affirment quils veulent continuer faire carrire dans le champ de
laudit des SI.
3.7 Conclusion
Est-ce que laudit des SI est vritablement une profession ? Ce chapitre a
permis de comprendre et de situer lvolution qua connu le domaine de laudit des
SI. De plus, il a mis en vidence dautres lments relis un succs de lISACA
dtre le leaderqui regroupe les gens du mtier. Les rpondants jugent quil y a eu un
enrichissement considrable du corpus de connaissance. Les professionnels en audit
SI qui ont rpondu notre tude affirment quils ont tendance continuer leur
carrire dans ce champ dexpertise. Ainsi, il semble quil sagit donc dune jeune
profession qui constitue une spcialit instruite dans la profession daudit en
gnral, quelle soit linterne ou a lexterne. Par consquent, nous dfinissons un
auditeur de systme dinformation comme la personne dtenteur du titre CISA, quirespecte le code dthique de lassociation ISACA, et qui remplit toutes les
conditions pour prserver son titre, savoir la formation continue et linvestissement
de son temps demploi dans la pratique de cette spcialit.
8/2/2019 audit des systmes d'info
46/145
CHAPITRE 4
JUSQU QUEL POINT LES ORGANISMES SONT SRIEUX AU SUJET DES
TRAVAUX DAUDIT DE SYSTMES DINFORMATION ?
Nous avons choisi de runir au niveau de ce chapitre les propos de Dunmore
(1989) qui concernent deux questions la fois. La premire sintresse au degr du
srieux de lexcution des travaux daudit SI par les entreprises. La seconde value le
degr du srieux port envers laudit des SI en gnral mais du cot des auditeurs
internes dune part et externe dautre part. Il sagit des questions suivantes :
1. Jusqu quel point les organismes sont srieux en excutant des audits de SI ?
2. Doit-on tre srieux au sujet des travaux daudit des SI ?
Notre choix de regrouper ces deux questions se trouve tre motiv par le fait
que les travaux daudit des SI sont indissociables du degr de srieux envers ce
domaine que ce soit au sein de lentreprise mme ou que ce soit par les gens exerant
cette fonction. En plus, largumentation qui nous est prsente par lauteur concerne
des arguments qui se rptent et qui se recoupent. Nous prsentons la rponse deDunmore (1989) sur ces points, les caractristiques que relve lauteur dcrivant
ainsi ltat de la situation en 1989 et finalement, une discussion qui englobe
lvolution observe incluant les questions et lanalyse des rponses notre outil de
recherche relatives ces lments discuts.
8/2/2019 audit des systmes d'info
47/145
364.1 Rponse de lauteur
Dunmore (1989) trouve quil y a un manque de srieux envers laudit et lecontrle des SI de la part des dirigeants des entreprises. La qualit de la fonction
daudit des SI peut varier dun service un autre. Au niveau des dpartements
daudit interne, le degr de srieux est mixte et la qualit des travaux est variable
dun service un autre. Quant aux firmes externes, elles ne semblent pas tre assez
srieuses au sujet de laudit des SI. Quelques auditeurs internes sont srieux sur ce
plan par contre dautres ne le sont pas.
4.2 Argumentation et points critiques
Les arguments de lauteur sont multiples, et tournent autour de cinq
constatations principales sur ltat de la situation lpoque. Les caractristiques du
manque de srieux envers laudit des SI sont apprcies par, le manque dun cadre
de rfrence qui puisse joindre les objectifs et lvaluation du contrle interne au
processus de gestion, le degr de comprhension des objectifs de laudit des SI,
limportance accorde par les dirigeants laudit des SI et aux auditeurs des SI.
Dunmore (1989) mentionne aussi la difficult dune possibilit de carrire
pour lauditeur SI au sein de lentreprise et finalement, il trouve que lintrt que
manifestent ces derniers envers lorganisation de leurs travaux est assez relatif.
Malgr le fait que ces arguments se recoupent et font rfrence plusieurs ides dj
rencontres dans le chapitre prcdent, nous allons les prsenter chacune dans une
sous-section part pour mieux les comprendre. Ensuite nous traons les
changements qui ont eu lieu depuis 1989 pour fin danalyse et discussion.
8/2/2019 audit des systmes d'info
48/145
374.2.1 Manque dun cadre de rfrence
Nous constatons daprs les rponses avances par lauteur que la directiondune organisation a des attentes plus fortes envers les fonctions fournies par
linformatique. Elle exige des dlais de livraison raccourcis et des niveaux de
services continuellement amliors non une attente pour llaboration dun cadre de
contrle adquat ou lexcution de travaux de conformit qui savrent loin dtre un
support pour le processus de gestion.
Dunmore (1989) dans sa rponse ce point mentionne la direction dune
socit voit et considre lautomation comme un outil stratgique qui offre un
avantage comptitif. Cela a rsult en une importance croissante sur des dlais de
temps serrs pour la demande de dveloppement de systme, et une disposition
augmente pour accepter des risques. cause de la rapidit de lautomatisation, ni
les auditeurs ni la direction ne peuvent attendre que des procds, procdures ou
modles soient mis en place pour tablir les contrles appropris et vrifier la
conformit. Les dirigeants sont occups par les profits et laccomplissement des
objectifs de lentreprise, cet effet le contrle et laudit des SI est une prioritrelative.
4.2.2 Degr de comprhension des objectifs de laudit des SI
La comprhension de la gestion et du contrle des systmes est une condition
ncessaire pour supporter la fonction daudit des SI et ltablissement dun
environnement pertinent de contrle. Ltat actuel montre un niveau faible de la
comprhension des objectifs de contrle du systme dinformation et de lintrt que
porte la direction envers lutilit, limpact et lapport de laudit SI sur le systme
dinformation de lentreprise.
8/2/2019 audit des systmes d'info
49/145
384.2.3 Importance accorde par les dirigeants laudit des SI
Les auditeurs des SI qui prfrent viter les systmes non financiers, lesnouvelles technologies et les questions daffaires en faveur dintrt de contrle
familier sont moins utiles la direction quils ne peuvent ltre. Pourquoi alors la
direction doit tre srieuse sur la question de laudit des SI ? La raison primaire pour
le manque de srieux au sujet daudit SI est le dcroissant intrt du domaine de
laudit des SI tel quil est prsent peru par les dirigeants.
4.2.4 Ressources alloues laudit des SI au sein de lentreprise
Une autre mesure de la faiblesse des ressources alloues tant le nombre de
personnes affectes laudit et le contrle des systmes de lentit. En effet Dunmore
(1989) nous fait part que le manque dune voie daccs adquate pour une carrire
dans ce domaine est une indication du soutien faible de la part de la direction dune
entreprise cette fonction.
4.2.5 Degr de srieux des professionnels envers laudit des SI
Daprs les constatations de lauteur qui sont tires de son exprience
professionnelle, ceux qui effectuent des travaux daudit de systme dinformation
manquent de dtermination et se contentent deffectuer leurs investigations dans des
zones faciles de contrles gnraux. Les constatations faites en 1989, dmontrent que
les travaux mens lors dun audit des SI se concentrent sur les zones faciles
(contrles gnraux et contrles dapplications) et ralisent peu de travail dans les
problmes moins controverss (dveloppement des systmes, revue defficacit,
tlcommunication, intelligence artificielle) les contrles de base sont effectus lors
de laudit annuel.
8/2/2019 audit des systmes d'info
50/145
394.3 Analyse et discussion
Aprs avoir prsent les arguments de Dunmore, il y a lieu de discuter des
volutions qui ont surgis depuis 1989 pour chacun de ces lments.
4.3.1 Manque dun cadre de rfrence
Dans un monde o la concurrence est forte et les changements sont rapides,
les dirigeants ont davantage dattentes de leurs systmes informatique. Ils
demandent plus de fonctionnalits, des dlais de ralisation plus courts, tout cela
un cot rduit et un niveau de risque acceptable. Le management a donc besoindun cadre de rfrence des pratiques de contrle et de matrise de linformatique,
applicable et accept, pour valuer son environnement informatique existant ou
projet. Or tel que dcrit par Dunmore (1989), la situation montre un cart entre
lavancement des technologies de linformation et lautomatisation des systmes
dune part, et les procds de contrle qui sont longs et lourds intgrer dans le
systme dautre part. Par la force des choses, les procds instaurs ne servaient plus
comme support au processus de gestion.
Depuis quelques annes, les organismes de contrle, les lgislateurs, et les
utilisateurs ressentent le besoin de plus en plus vident de disposer dun cadre de
rfrence en matire de contrle et de gestion, de linformatique et par
linformatique. Louvrage publi en 1970 par lICCA et intitul Normes de contrle
interne dans un cadre informatique a jou un rle important dans le domaine du
processus de gestion eu gard au recours linformatique aux fins de traitement des
donnes. Le dfi lors de la premire rvision de ces normes, en 1986, tait desassurer que leur contenu demeure pertinent compte tenu de lvolution rapide de
lenvironnement informatique. En 1998, cet ouvrage a fait lobjet damliorations et
de remaniements importants, ainsi la troisime dition publie par lICCA a port le
titre : La gestion du contrle de linformatique.Cette dition fournit un cadre de
8/2/2019 audit des systmes d'info
51/145
40rfrence qui permet de structurer les techniques de contrle. De plus, les normes de
contrle minimales quelle renferme constituent un seuil repre que les entreprises
doivent sefforcer datteindre si elles veulent tre en mesure de fournir le niveau
dintgrit attendu delles sur le plan du traitement des donnes et de linformation.
Par ailleurs, la llA a publi en 1991 (rvis en 1994), un rapport sur laudit et
le contrle des SI intitul System Auditability and Control, SAC Report qui a fourni
les premires tentatives de codifier les contrles dans un contexte de dpendance
vis--vis des tlcommunications et dintgration des technologies nouvelles. Le SAC
Report a soulign la ncessit dvaluer le risque, prsente le cot et les avantages descontrles et les avantages conomiques des contrles btis dans les systmes lors de
leur conception et dveloppement plutt que les ajouter aprs la mise en place.
Le SAC Report a identifi des risques comprenant la fraude, les erreurs, les
interruptions daffaires et lutilisation inefficace et inefficiente des ressources
informatiques et des technologies de linformation. Il a dtermin un ensemble
dobjectifs de contrle pour attnuer ces risques et assurer lintgrit, la scurit, et la
conformit de linformation. Le rapport a conclu que le systme de contrle interne
comprend trois composantes: lenvironnement de contrle, les systmes manuels et
automatiss, et les procdures de contrle. Lenvironnement de contrle inclut la
structure dorganisation, le cadre de contrle, les politiques et les procdures et les
influences externes. Les systmes automatiss se composent des logiciels de base et
des applications de systme. Les procdures de contrle se composent des contrles
dapplication et des contrles compensatoires. En plus des explications fournis, le
SAC Report classe les diffrents types de contrle relatifs aux SI en cinq grandescatgories de contrle: (1) prventif, rvlateur et correctif, (2) discrtionnaire et non-
discrtionnaire, (3) volontaire et obligatoire, (4) manuel et automatis, et (5)
dapplication et de contrles gnraux.
8/2/2019 audit des systmes d'info
52/145
41En 1996, afin de fournir un cadre complet et dtaill sur les objectifs
dtablissement de contrle dans un contexte volutif des technologies de
linformation, lInformation Systems Audit and Control Foundation (ISACF) a dit le
modle COBIT, Control Objectives for Information and Related Technology. partir de
lanalyse dun ventail dimpratifs plus large regroupant les impratifs en matire
de qualit, de fiduciaire et de scurit, sept catgories distinctes de contrle ont t
slectionnes. COBIT dfinit les objectifs de contrle de linformation et des
technologies associes comme suit:
1. Lefficacit : concerne toute information significative et pertinente pour leprocessus de gestion, distribue de manire ponctuelle, correcte, cohrente et
utilisable.
2. Lefficience : Concerne la mise disposition de linformation grce lutilisation
optimale (la plus productive et la plus conomique) des ressources.
3. La confidentialit : Concerne la protection de linformation sensible contre toute
divulgation non autorise.
4. Lintgrit : touche lexactitude et lintgralit de linformation ainsi qu sa
validit au regard des valeurs de lentreprise et de ses perspectives.
5. La disponibilit : proprit de linformation qui est dtre disponible et de le
rester lorsquun processus de gestion en a besoin. Concerne aussi la sauvegarde
des ressources ncessaires et des moyens associs.
6. La conformit : consiste se conformer aux lois, aux rglementations et aux
clauses contractuelles auxquelles le processus de gestion est soumis, cest dire
aux critres de gestion imposs par lenvironnement extrieur.
8/2/2019 audit des systmes d'info
53/145
427. La fiabilit de linformation : sadresse aux dirigeants et concerne la fourniture
dinformations pertinentes pour le fonctionnement de lentit et lexercice des
responsabilits sur le plan des finances et des rapports de conformit.
COBIT est destin trois publics diffrents :
a) Le management: pour laider trouver le juste quilibre entre le risque et
linvestissement en contrles, dans lenvironnement souvent imprvisible de
linformatique.
b) Les utilisateurs: pour obtenir des garanties concernant la scurit et les contrles
de leurs services informatiques, quils soient fournis par une structure interne ou
par des tiers.
c) Les auditeurs des SI: pour justifier leur opinion et/ou donner des conseils au
management sur les contrles internes.
Lainhart (1996) souligne que la mise en vidence des besoins de lentreprise
en matire de contrles de linformatique ainsi que la mise en application des
modles de contrle naissants et des normes internationales affrentes ont fait
voluer les objectifs de contrles, jusque l, outil dauditeur, vers un outil de
management, le COBIT. cet effet lauteur mentionne limportance de ce modle:
Dune part, nous avons assist au dveloppement et la publication de
modles gnraux de contrle de lentreprise tels que COSO (Commitee of
Sponsoring Organisations of the Treadway Commission-Internal Control-Integrated
Framework, 1992) aux tats-Unis, Cadbury en Grande-Bretagne, et CoCo au
Canada. Dautre part, il existe un nombre important de modles de contrle
plus spcifiques concernant linformatique. Dans cette dernire catgorie, on
8/2/2019 audit des systmes d'info
54/145
Recommended