audit des systèmes d'info

8/2/2019 audit des systmes d'info

1/145

UNIVERSIT DU QUBEC MONTREAL

LAUDIT DES SYSTMES DINFORMATION :

RFLEXION SUR LVOLUTION DE LA PROFESSION

TRAVAIL DIRIGPRSENT

COMME EXIGENCE PARTELLE

DE LA MATRISE EN SCIENCES COMPTABLES

PAR

ENNOURI MOEZ

SEPTEMBRE 2002


2/145

REMERCIEMENT

Dabord Dieu, qui nous devons reconnaissance pour la vie.

Ensuite mon pre, qui a su soublier pour me permettre une vie panouie dans le

bonheur, la joie et lamour.

mon directeur de recherche, M. Guy Villeneuve, pour son encadrement et ses

encouragements qui ont permis la ralisation de ce travail.

M. Jean Milzi, V-P de lassociation des professionnels de laudit et du contrle des

systmes dinformation, pour mavoir consacr son temps et ses comptences et

pour ce que nos entrevues ont eu de passionnants et motivants.

Mme Anne Fortin, directrice du programme de la matrise en sciences comptables,

pour son srieux, son ouverture et sa comprhension.

Finalement ma famille, mes amis et tous ceux qui mont enseign, encourag et

support tout au long de mes tudes.

Merci!


3/145

TABLE DES MATIRES

LISTE DES FIGURES ........................................................................................................ vi

LISTE DES TABLEAUX ..................................................................................................vii

RSUM.............................................................................................................................ix

CHAPITRE 1INTRODUCTION .............................................................................................................. 1

1.1 Problmatique et sa justification............................................................................... 1

1.2 Organisation du travail dirig................................................................................... 2

1.3 Choix de la terminologie............................................................................................ 3

CHAPITRE 2

CADRE MTHODOLOGIQUE ....................................................................................... 5

2.1 Introduction................................................................................................................. 5

2.2 Slection des rpondants ........................................................................................... 5

2.3 laboration du questionnaire.................................................................................... 6

2.3.1 Le prtest du questionnaire ............................................................................ 7

2.3.2 La collecte des donnes ................................................................................... 8

CHAPITRE 3

EST-CE QUE LAUDIT DES SYSTMES DINFORMATION ESTVRITABLEMENT UNE PROFESSION ?...................................................................... 9

3.1 Rponse de lauteur .................................................................................................... 9

3.2 Arguments de lauteur ............................................................................................... 9

3.3 Discussion et analyse................................................................................................ 10


4/145

iii3.3.1 Traits professionnels...................................................................................... 10

3.3.2 volution du corpus de connaissance......................................................... 12

3.3.3 volution des professionnels dans leur carrire........................................ 19

3.4 Point de vue avant lenqute................................................................................... 22

3.5 laboration des questions pour ltude ................................................................. 23

3.5.1 volution des connaissances dans le domaine de laudit SI .................... 23

3.5.2 volution des professionnels dans leur carrire........................................ 24

3.6 Rsultats de lenqute............................................................................................... 26

3.6.1 largissement des connaissances dans le domaine de laudit SI............. 26

3.6.2 volution des professionnels dans leur carrire........................................ 303.7 Conclusion ................................................................................................................. 34

CHAPITRE 4JUSQU QUEL POINT LES ORGANISMES SONT SRIEUX AU SUJET DESTRAVAUX DAUDIT DE SYSTMES DINFORMATION ? ..................................... 35

4.1 Rponse de lauteur .................................................................................................. 36

4.2 Argumentation et points critiques.......................................................................... 36

4.2.1 Manque dun cadre de rfrence.................................................................. 374.2.2 Degr de comprhension des objectifs de laudit des SI........................... 37

4.2.3 Importance accorde par les dirigeants laudit des SI ........................... 38

4.2.4 Ressources alloues laudit des SI au sein de lentreprise..................... 38

4.2.5 Degr de srieux des professionnels envers laudit des SI....................... 38

4.3 Analyse et discussion ............................................................................................... 39

4.3.1 Manque dun cadre de rfrence.................................................................. 39

4.3.2 Degr de comprhension des objectifs de laudit des SI........................... 46

4.3.3 Importance accorde laudit et aux auditeurs des SI ............................ 47




4.5.1 Cadre de rfrence ......................................................................................... 56


5/145

iv4.5.2 Degr de comprhension des objectifs de laudit des SI........................... 57

4.5.3 Importance accorde laudit et aux auditeurs des SI ............................ 58


4.5.5 Degr de srieux des professionnels externes............................................ 63

4.6 Conclusion ................................................................................................................. 64

CHAPITRE 5QUELLE EST LTENDUE DE LAUDIT DES SYSTMES DINFOMATION ?.... 66


5.2 Arguments de lauteur ............................................................................................. 66

5.3 Discussion et analyse des arguments..................................................................... 67

5.3.1 Champ dintervention de laudit des SI ...................................................... 67

5.3.2 Normes pour la pratique professionnelle................................................... 70

5.3.3 Caractre prventif de laudit SI .................................................................. 74

5.4 Point de vue et laboration des questions............................................................. 75


5.6 Conclusion ................................................................................................................. 79

CHAPITRE 6EST-CE QUE LA RELATION ACTUELLE ENTRE AUDITEURS DE SYSTMEDINFORMATION ET AUDITEURS FINANCIERS FONCTIONNE ? ................... 80




6.3.1 Diffrence entre audit des SI et audit financier.......................................... 81

6.3.2 Intgration entre auditeur SI et auditeur financier ................................... 836.3.3 Formation interdisciplinaire......................................................................... 85



6.5.1 Diffrence entre audit des SI et audit financier.......................................... 88


6/145

v6.5.2 Intgration entre audit SI et audit financier ............................................... 90

6.6 Conclusion ................................................................................................................. 91

CHAPITRE 7EST-CE QUUNE COMBINAISON DES TRAVAUX INTERNE ET EXTERNEDAUDIT DE SYSTMES DINFORMATION PEUT SE FAIRE RELLEMENT ? 92






7.6 Conclusion ................................................................................................................. 97

CHAPITRE 8CONCLUSION, LIMITES ET AVENUES DE RECHERCHE .................................... 98

8.1 Conclusion ................................................................................................................. 98

8.2 Limites de la recherche........................................................................................... 101

8.3 Avenues de recherche ............................................................................................ 102

BIBLIOGRAPHIE........................................................................................................... 104

APPENDICE AQUESTIONNAIRE......................................................................................................... 108

APPENDICE BENTREVUES................................................................................................................... 121

APPENDICE CGUIDE DAUDIT ........................................................................................................... 132


7/145

LISTE DES FIGURES

Figure Page

3.1 volution des approches sur les traits professionnels .... 10

3.2 Rpartition des membres de lAFAI par origine professionnelle . 13

3.3 Rpartition de titres professionnels dtenus par les rpondants . 26

4.1 Information sur COBIT. 44


8/145

LISTE DES TABLEAUX

Tableau Page

3.1 Tableau reprsentatif des dimensions (occupation / profession) 11

3.2 Cumul du titre CISA avec dautres titres professionnels ....... 27

3.3 Apprciation de la formation universitaire .. 28

3.4 Contribution des recherches et publications .... 29

3.5 Effort entrepris par lISACA ... 29

3.6 Exprience des rpondants . 30

3.7 Opportunit davancement pour lauditeur SI .... 323.8 Autonomie de lauditeur lors de lexcution des travaux daudit SI..... 32

3.9 Importance de la fonction audit SI dans les entreprises . 33

3.10 Maintien de lauditeur SI qualifie par son entreprise ... 33

3.11 Perspective de carrire en audit SI ..... 33

4.1 Utilisation ou planification pour lutilisation de COBIT 46

4.2 Utilisation ou planification pour lutilisation du CSA par lentreprise 49

4.3 Rsultats de lutilisation ou planification pour lutilisation du COBIT ... 57

4.4 Perception sur la confusion des attributs de laudit SI ... 57

4.5 Degrs de comprhension des objectifs de laudit SI par les dirigeants .. 58


9/145

viii

4.6 Importance accorde laudit SI .... 59

4.7 Participation de la direction dans la planification de laudit SI 59

4.8 Rsultat de lutilisation ou planification pour lutilisation du CSA . 60

4.9 Coordination entre lauditeur SI et le comit daudit . 60

4.10 Support de la direction lors de la planification pour laudit SI . 61

4.11 Apprciation du plan de relve de lentreprise en cas de sinistre .... 61

4.12 Moyens et outils affects laudit SI . 62

4.13 Effectif dauditeurs SI dans les entreprises ... 63

4.14 Revue des contrles par les auditeurs SI externes ... 64

5.1 Charte de mission pour laudit SI .. 77

5.2 Apprciation de la planification de la mission daudit SI .. 77

5.3 laboration du plan annuel daudit des SI ... 78

5.4 Perception sur la fonction daudit SI . 79

6.1 Fonctionnalit de la relation entre auditeur de SI et financier .. 88

6.2 Compatibilit dobjectifs entre audit SI et financier .... 88

6.3 Importance accorde loutput de laudit SI ... 89

6.4 Apprciation de la collaboration entre auditeurs SI et financier .. 90

6.5 Collaboration entre auditeurs SI et financier ... 91

7.1 Apprciation de la collaboration entre auditeur SI interne et externe.. 96


10/145

RSUM

Ce travail a pour thme gnral lvolution de laudit des systmesdinformation en tant que profession. Il sarticule autour des faits saillantsquinvoque Dunmore (1989) dans son article intitul Farewell to the InformationSystems Audit Profession. La rflexion de lauteur constitue une base de constats

marquant les conditions de lexercice de la fonction daudit des systmesdinformation (SI) au sein des entreprises. Lobjectif de notre travail consiste tracerles changements qui auraient eu lieu depuis cette poque. Afin datteindre notreobjectif, nous avons consacr un chapitre chacune des questions poses parDunmore (1989) o nous avons analys les arguments quil invoque pour yrpondre. Des lments de discussion sont venus enrichir nos rflexions par le biaisdun questionnaire destin aux professionnels de laudit et du contrle des SI.

Le questionnaire a t envoy aux auditeurs des SI dans la rgion deMontral qui sont membre de lassociation des professionnels de la vrification et ducontrle des systmes dinformation, APVCSI. Il a t dvelopp afin de mesurer les

perceptions de ces derniers sur les lments apports par Dunmore (1989). Le tauxde rponse de 28.46% montre lintrt des participants lgard des critresrecherchs travers notre outil pour ramener des lments pratiques des questionstouchant lvolution de ces professionnels dans leur carrire.

Lanalyse des informations recueillies nous donne un bon aperu surlvolution que connat le domaine de laudit des SI, et de ltat actuel des conditionsavec lesquelles laudit des SI est exerc, ce qui nous a aid exprimer notre point devue sur chacune des questions examines.

Les rpondants jugent quil y a eu un enrichissement considrable du corpusde connaissance depuis 1989. Les professionnels en audit SI qui ont rpondu notretude affirment quils ont tendance continuer leur carrire dans ce champdexpertise.

Les rponses sont venues confirmer nos attentes sur plusieurs points. Eneffet, selon les participants au sondage, il semble que la situation des auditeurs desSI ait connu des changements intressants sur certains points mais reste prs de ltattel que constat par Dunmore en 1989. Ainsi, certaines caractristiques de


11/145

xlorganisation des travaux daudit SI, les limites de la situation matrielle et moraledes auditeurs, soit lintrt manifest par les dirigeants des entreprises, le personnel

affect, les directives guidant leur intervention et les moyens mis leurs dispositionssont des facteurs qui semblent confirmer les nonces de Dunmore sur le soutienfaible quaccordent les dirigeants cette fonction.

Les participants ont indiqu que le manque de ressources qualifies sur lemarch de lemploi empche une plus grande expansion de ce domaine. Cettesituation semble tre occasionne par un manque de programme de formationuniversitaire en audit des SI qui relie les connaissances thoriques la pratiqueprofessionnelle. Compte tenu de la nature des missions et de la diversit desdomaines couvrir, lauditeur des SI se doit donc de possder une formation solideet une exprience prouve en informatique, en audit et en conseil.

Dans un second temps, ltude permet de faire ressortir quil y a unediffrence dans les perceptions des auditeurs internes par rapport aux auditeursexternes sur les conditions qui entourent lexercice de cette fonction.


12/145

CHAPITRE 1

INTRODUCTION

1.1 Problmatique et sa justification

Louverture des marchs, lmergence de nouvelles technologies, lexplosion

des moyens de communication dfinissent de nouveaux contextes pour les

organisations. Le systme dinformation ne constitue pas seulement un lment

essentiel dans la gestion, il devient lui-mme stratgique pour les entreprises

soucieuses de se doter davantages concurrentiels durables. Il est de plus en plus

indispensable de mesurer ses performances, de veiller sa cohrence densemble,

sa conformit aux normes, aux critres de qualit et de scurit.

Dans ce contexte, les auditeurs en systmes dinformation (SI) jouent un rle

dterminant. Lauditeur des SI qui est charg dtablir rapidement un diagnostic, se

trouve demble au cur des problmes de lorganisation dont il value le SI. Bien

que des recherches empiriques aient t ralises dans lenvironnement de gestiondes SI, il ny a pas eu dans le pass, un corps de connaissance ou thories qui

sintressent aux seuls besoins de laudit des SI. En consquence, Dunmore (1989) a

soulev plusieurs questions concernant le futur de laudit des SI comme profession.


13/145

2tant donn lintrt accru de ce champ dactivit, la rvolution que connat

la technologie de linformation depuis 1989, sa prsence et son incidence sur le

traitement des donnes au niveau des entreprises, nous avons estim que certaines

questions importantes souleves lpoque devraient tre rvalues et cest ces

dites questions que nous tentons de trouver rponse dans notre travail dirig afin

dexaminer de prs le champ dintervention et lvolution de laudit des SI en tant

que profession.

Les questions poses par Dunmore (1989) sont les suivantes:

1. Est-ce que laudit des SI est vritablement une profession?

2. Jusqu quel point les organismes sont srieux en excutant des travaux daudit

de SI ?

3. Doit-on tre srieux au sujet de laudit des SI ?

4. Quelle est ltendue de laudit des SI?

5. Est-ce que la relation actuelle entre auditeurs de SI et auditeurs financiers

fonctionne?

6. Est-ce quune combinaison des travaux interne et externe daudit des SI peut se

faire rellement?

1.2 Organisation du travail dirig

Cette section prsente la manire dont ce travail est organis. Notre tude est

cense apporter une contribution aux questions poses par lauteur avant quil dise

adieu la profession daudit des SI. Ainsi, treize ans plus tard, en reprenant lesconstatations souleves depuis 1989, nous examinons de prs le champ

dintervention et lvolution de laudit des SI en tant que profession.


14/145

3Sont prsents et discuts dans un chapitre, chacun des six questions

souleves et les diffrents points de largumentation qui accompagnent les rponses

de Dunmore (1989). Notre analyse se base sur des lments recueillis dans la

littrature produite par les professionnels et chercheurs en matire daudit des SI.

Afin de constater lvolution de la situation, une discussion suit la rponse et

largumentation de lauteur.

Notre discussion montre les changements observs sur le terrain de la

pratique professionnelle de laudit des SI, et ceux par le biais de nos entrevues avec

les professionnels (Appendice B) et sur la base des rponses nos interrogationsformules dans un questionnaire administr aux praticiens (Appendice A). En effet,

on a jug intressant de runir lavis des praticiens sur certaines constatations de

Dunmore (1989) par le biais dun questionnaire. Dautres lments soulevs par

lauteur sont confirms par la littrature et nos entrevues, ce qui a rendu notre

questionnaire plus souple et allg. Par les constatations et observations faites, on a

pu formuler un point de vue sur les lments traits par lauteur avant lenqute.

la fin de chaque chapitre, nous prsentons une conclusion qui tient compte des

rponses recueillies par notre questionnaire sur la question initialement souleve.

1.3 Choix de la terminologie

Le choix de notre part quant lutilisation du terme audit au lieu du terme

vrification se trouve motiv par lemploi de ce mot dans le dictionnaire de la

comptabilit et de la gestion financire,Mnard (1994). Il est noter que les termes

audit et auditeur seront utiliss dans ce travail mais que les termesvrification et vrificateur restent les plus populaires en pratique comptable au

Qubec. Cependant, en plus des termes audit et vrification, le terme

certification devient de plus en plus utilise depuis quelques annes.


15/145

4Dautre part, loffice gouvernemental de la langue franaise (OLF)1 propose la

traduction audit des SI/audit informatique comme quivalent lappellation en

anglais de linformation systems audit et donne la dfinition que nous prsentons :

Audit des SI : opration de diagnostic qui analyse de faon exhaustive et globale

le fonctionnement dun centre ou dun service informatique, afin de mesurer

ladquation entre les ressources matrielles et humaines mises en uvre, les besoins

de lentreprise, les objectifs recherchs et les rsultats attendus.

Note(s) : La vrification informatique diffre de laudit informatique : elle dcritun vnement sans tablir de diagnostic et elle ne porte pas sur la globalit des

activits ou des vnements. Certains audits informatiques peuvent porter sur des

facettes nvralgiques des activits. Cest le cas de laudit de scurit, notamment.

[Office de la langue franaise, 2000]

Ce mme organisme gouvernemental classe laudit des SI dans la dfinition

des domaines de mtiers pour lappellation demploi informatique et propose

lquivalent du mot anglais information systems auditor comme tant auditeur

informatique/auditeur SI. La dfinition suivante est propose:

Auditeur des SI : personne spcialise dans laudit informatique, qui possde une

expertise tendue en technologies de linformation et qui a habituellement obtenu un

certificat de comptences dlivr par un organisme autoris. [Office de la langue

franaise, 2001]

1 Office de la langue franaise. Organisme gouvernemental du Qubec.http://www.olf.gouv.qc.ca/ (Janvier 2002)
http://www.olf.gouv.qc.ca/http://www.olf.gouv.qc.ca/


16/145

CHAPITRE 2

CADRE MTHODOLOGIQUE

2.1 Introduction

Ce chapitre examine comment sest faite la collecte de donnes, les

techniques dcrites sont principalement : lentrevue, lobservation et un

questionnaire. Il sagit pour nous de rpondre aux nonces de Dunmore (1989)

daprs la perception des auditeurs des SI deux-mmes et de leur contexte de

travail.

2.2 Slection des rpondants

Nous avons entrepris des dmarches pour rencontrer les professionnels en

matire daudit et contrle des SI, la collecte de nos informations dcoule des

entrevues, courriers lectroniques et discussions avec des auditeurs de SI et repose

sur la gnration de questions spontanes dans le flot naturel dune entrevue

ouverte.

Aussi, on a pu avoir plusieurs rencontres auprs de membres du bureau

excutif de lAssociation des Professionnels de la Vrification et du Contrle des

systmes dinformation, APVCSI, qui est le chapitre tabli Montral et qui

reprsente lassociation mondiale qui regroupe les professionnels de laudit et du


17/145

6contrle des systmes dinformation, ISACA Information Systems Audit and Control

Association. Ainsi notre projet de travail a t discut avec certains responsables de

lAPVCSI avec qui nous avons eu loccasion de nous entretenir (Appendice B).

La relation tablie avec les auditeurs des SI, leurs commentaires repris dans

le rapport, leurs attentes par rapport ce travail sont autant de proccupations qui

confirment lintrt que portent ces derniers au sujet de ltude. La mthodologie

utilise consiste expdier un questionnaire tous les auditeurs des SI, membres de

lAPVCSI qui reprsente un effectif de 130 membres. Afin de faire participer le plus

grand nombre possible dauditeurs de SI notre tude, nous avons privilgilenvoie du questionnaire par courrier lectronique. Cette formule nous a permis

entre autre de rduire nos cots et les dlais.

2.3 laboration du questionnaire

Pour laborer ce questionnaire, il a fallu tablir au dpart ce que lon dsirait

chercher comme information, ceci correspond dans le cas actuel aux perceptions des

auditeurs des SI quant aux inquitudes formules par Dunmore (1989). Donc le

questionnaire doit tre conu de manire obtenir des points de vue sur certains

nombres de questions affrentes lvaluation de lenvironnement de la fonction

daudit des SI en se basant sur les lments invoqus par lauteur dans sa rponse

aux dites questions. Aprs cette tape, il a fallu se demander comment ces

informations devraient tre mesures. Pour cela, on a examin certaines publications

de mthodologie en la matire et on a consult les questionnaires existants pour fin

dinspiration et de prsentation, (Latour (1996) et Lucky (1999). partir de cessuggestions un questionnaire a t labor et complt par trois entrevues avec

certains membres de notre chantillon vis pour vrifier les termes choisis ce qui

constitue un prtest oral de notre outil.


18/145

7La formulation de nos questions est le fruit dune rflexion qui est bas sur

les lments de rponse et les constatations de Dunmore (1989) afin darriver

comparer les points de changement avec la situation dcrite lpoque et de nous

aider interprter les rsultats et enrichir ainsi notre discussion. Aprs ces diverses

tapes le questionnaire tait enfin prt pour le prtest crit.

2.3.1 Le prtest du questionnaire

Afin de vrifier empiriquement la qualit du questionnaire et le

perfectionner, nous lavons soumis un prtest. En effet, le prtest est une oprationprcieuse qui amne des modifications au questionnaire initial. Notre proccupation

ce stade, tait de prvoir comment les futurs rpondants ragiraient aux questions.

Trois principaux critres ont t respects ce niveau : la clart (qui assure la

comprhension), la pertinence (qui renvoie la capacit des informateurs de

rpondre) et la neutralit (qui favorise des rponses authentiques). Il importe

galement damener les rpondants accepter de rpondre et ainsi de minimiser les

refus (Blais, 1993). Dailleurs, afin de se prparer cette tape, nous nous sommes

inspirer des recommandations dictes par cet auteur en ce qui trait aux diffrents

critres respecter dans la formulation.

La validation du questionnaire a dbut par le prtest de la version

prliminaire du questionnaire auprs de trois membres du bureau excutif de

lAPVCSI. Pendant que les rpondants, runis dans une salle de confrence,

rpondaient au questionnaire, nous avons assist en tant quobservateur afin de

nous assurer que les questions qui soulvent des problmes dambigut, depertinence, de clart ou de comprhension soient immdiatement identifies. Une

fois le questionnaire rempli par tous les rpondants, nous avons tenu une runion de

groupe afin de discuter de chaque section du questionnaire. Notre discussion nous a

permis deffectu les corrections et les perfectionnements appropries.


19/145

8Nous avons privilgi lenvoie du questionnaire par courrier lectronique au

lieu de procder lenvoie par la poste. Cette formule constitue une innovation, elle

nous a permis de rduire les cots denvoie postaux et davoir des rponses dans des

brefs dlais. Le fait que nous nous adressions un chantillon de personnes qui sont

habitues linformatique, ceci nous a encourag de choisir cette mthode. De ce

fait, on arranger la technique de rponse ce besoin, et nous avons effectu la mise

en forme ncessaire afin de faire participer le plus grand nombre possible

dauditeurs de SI notre tude. Ainsi la version finale du questionnaire se trouve

complte (Appendice A).

2.3.2 La collecte des donnes

La version finale du questionnaire a t expdie 130 personnes le 26 mars

2002. Afin dassurer un taux de rponse lev, le questionnaire a t accompagn

dune note personnalise et signe par le vice prsident de lAPVCSI.

Aprs une dizaine de jours, et le 7 avril 2002 au moment denvoyer une lettre

de rappel par courrier lectronique accompagn par le questionnaire initiale, le taux

de rponse tait de 20% (26 rpondants). Le 13 avril, au moment de la compilation

finale, 37 questionnaires valides avaient t retourns lassociation APVCSI et nous

ont t transfrs notre adresse lectronique pour garder la confidentialit des

rpondants. Le nombre de questionnaire qui nous a t achemin reprsente un taux

de rponse de 28.46 %. Les rsultats prsents dans ce document traduisent

essentiellement les perceptions de 37 auditeurs de SI de la rgion de Montral.


20/145

CHAPITRE 3

EST-CE QUE LAUDIT DES SYSTMES DINFORMATION EST VRITABLEMENT

UNE PROFESSION ?

3.1 Rponse de lauteur

La premire question souleve par Dunmore (1989) examine si laudit des SI

est vritablement une profession. La rponse prsente montre que lauteur a des

doutes sil sagit vraiment dune profession, daprs lui, il sagit dun champ

dexpertise qui na pas encore runi les critres dune vritable profession, mais qui

le deviendra invitablement une. Il ajoute que laudit des SI apparat comme une

sous spcialit de la profession daudit interne ou externe.

3.2 Arguments de lauteur

Selon lauteur, une profession requiert la fois un corps de connaissance

aussi bien quun personnel de carrire, non juste un groupe de personne faisant

temporairement des travaux similaires. La rponse de lauteur regroupe deuxgrands volets savoir :

1. Le corpus de connaissance existant pour laudit des SI;

2. Lvolution des professionnels dans leurs carrires.


21/145

103.3 Discussion et analyse

Dunmore (1989) a soulev plusieurs lments dans sa rponse cettequestion qui examine si laudit des SI runis les critres dune vritable profession.

Vu la multitude des sujets quil touche nous nous proposons de prsenter ses

arguments sous forme de plusieurs points que nous traitons un par un pour les

analyser tout en montrant lvolution enregistre par nos observations et qui feront

partie de notre discussion. Dautres points seront analyss travers les rponses aux

questions que nous proposons notre chantillon travers un questionnaire.

3.3.1 Traits professionnels

Quest-ce quun professionnel? Les thories cherchant distinguer des traits

professionnels sont trs anciennes. Logeais (1990) mentionne quon peut reconnatre

quatre approches classes selon un axe partant de la plus grande objectivit et allant

vers les thories les plus subjectives. La figure ci-dessous expose succinctement la

situation.

Objectivit

numration des traits ou des caractristiques

Identification des rles et des fonctions

Reconnaissance dun processus

tudes phnomnologiques et historiques

Subjectivit

Figure 3.1 volution des approches sur les traits professionnels. (Figure adapte de

Logeais ,1990, p.18)


22/145

11Les professions peuvent tre classes dans une perspective plus large

doccupations se professionnalisant ou au contraire se dprofessionnalisant. Ainsi un

certain nombre de dimensions identifies par Pavalko (1971) permettent de

caractriser une profession ou une occupation comme le montre le tableau suivant :

Tableau 3.1Tableau reprsentatif des dimensions (occupation / profession)

Dimension Occupation Profession

Complexit analytique Absente Prsente

Orientation aux valeurssociales

Ngative Positive

Formation Courte, non spcialise,manipulation dobjet

sous-culture nonimportante

Longue, spcialise,manipulation de symboles,

sous-culture importante

Motivation Intrt personnel Service a la communaut

Autonomie Faible Grande

Sens de lengagement

envers loccupation court terme long terme

Sens communautaire Faible lev

Code dthique Inexistant Trs dvelopp


23/145

12Comment ces facteurs sont interrelis et quelle est limportance dun facteur

par rapport aux autres ? Logeais (1990) ajoute que lorientation sociale et la

reconnaissance des valeurs de service, daltruisme sont les traits dominants chez les

professionnels. Trois caractristiques sont identifies:

Les professionnels possdent un corps de connaissances, un savoir intellectuel

spcialis acquis au cours dune longue formation. La division du travail

professionnel est base sur le fait que la fonction professionnelle est relie un

tat de crise, des besoins humains ou collectifs fondamentaux.

Les professionnels ont droit dentrer dans la vie prive, discrte de leurs clients

et dexercer sur eux une grande influence, ce droit est reconnu lgalement.

Le code dthique affecte la relation professionnelle et la communaut et est bas

sur lautorgulation.

Quen est-il de la profession des auditeurs des SI? La rponse ne nous parat

pas vidente, examinons dabord les volutions qua connu ce champ dexpertise

depuis 1989 par rapport aux dimensions cites ci-dessus afin davoir une meilleure

ide quant linquitude formule par Dunmore (1989).

3.3.2 volution du corpus de connaissance

Il y a lieu dans cette section de prsenter lassociation qui regroupe les

professionnels de laudit et du contrle des SI, savoir, lInformation Systems Auditorsand Control Association ISACA. Il sagit dun organisme but non-lucratif, qui assure

la promotion de la recherche et publie diffrents ouvrages destins informer et

former les utilisateurs des technologies de linformation sur les volets critiques du

contrle et de laudit des SI dans leur organisation.


24/145

13Dunmore nous fait savoir quen 1989, les 8500 membres de lAssociation des

Auditeurs EDP sont membres des dpartements daudit interne, il peut tre dit que

laudit interne domine le domaine daudit des SI. A cette poque lISACA tait

connu sous le nom de EDP Auditors Association fonde depuis 1969. Actuellement

lISACA compte plus de 23000 membres, rpartis dans plus de 100 pays, organiss

sous forme de 161 chapitres.

On na pas pu accder linformation sur les domaines dinterventions de la

totalit des professionnels membres de lISACA, mais il suffit de jeter un coup dil

sur les caractristiques de leffectif des rpartitions des professionnels adhrant lAFAI (Association franaise dauditeurs informatique) qui est le chapitre franais

de lISACA pour comprendre quil ne sagit plus de lpoque o juste les auditeurs

internes dominaient ce champ dexpertise comme il fut en 1989 et comme le montre

la figure ci-dessous :

Figure 3. 2 Rpartition des membres de lAFAI par origine professionnelle. (Tir dehttp://www.afai.asso.fr ; Janvier 2002. Rubrique adhsion).
http://www.afai.asso.fr/http://www.afai.asso.fr/


25/145

14LISACA publie le journal Information Systems Audit and Control Journal, et

offre des services de librairie spcialise pour des ouvrages techniques. Elle dispense

galement un ensemble dactivits de formation et soccupe exclusivement de

ladministration de lexamen CISA Certified Information Systems Auditors. Nous

nous sommes investis pour adhrer cette association en tant que membre tudiant

candidat la certification CISA. Daprs nos investigations et participations aux

activits organises, nous pouvons dire quil sagit de lassociation qui contribuer

dans une large mesure la formation des professionnels candidats exercer comme

auditeurs et consultants en SI et, a donn une grande pousse la formation

dtudiants en audit des SI et ceux par lorganisation de la certification CISA. Lesexigences pour ce titre sont la russite de lexamen CISA, cinq annes dexprience,

ladhsion au code dthique ainsi que la formation continue. En 1989 quand

Dunmore a crit son article, il tait dj dtenteur du titre CISA.

La reconnaissance de ce titre a t faite par plusieurs organismes comme

tant le titre de spcialisation dans le domaine de laudit SI. Dans un communiqu

de presse en date du 15 janvier 2001 lICCA, Institut Canadien des Comptables

Agrs, reconnat le titre de CISA Certified Information Systems Auditors comme

titre de spcialisation en vrification et contrle des SI :

LICCA a annonc aujourdhui la conclusion dun accord avec lInformationSystems Audit and Control Association (ISACA), accrditant lISACA commeseule organisation dont le titre permet dtre reconnu comme CA spcialisteen vrification, contrle et scurit des SI. Les CA qui travaillent dans cedomaine et qui ne possdent pas le titre de CISA seront incits obtenir cetitre. Les CA qui possdent le titre de CISA et qui sont inscrits comme

spcialistes auprs de leur ordre provincial pourront tre reconnus commeCA spcialistes en vrification, contrle et scurit des SI et utiliser la formede titre CA-CISA2.

2 http://www.icca.ca (Janvier 2002. Rubrique communique de presse)
http://www.icca.ca/http://www.icca.ca/


26/145

15Par ailleurs, le Groupe de travail de lICCA sur les spcialits en technologies

de linformation recommande la cration dune alliance pour lexcellence en

technologies de linformation (TI) et dun programme dagrment de spcialistes en

TI lintention des CA. Ce programme ne vise pas ncessairement llaboration

dune spcialit en audit SI, mais plutt en conseil ou en gestion des TI. Dans un

projet en date du 6 novembre 2001 et visant la cration dune alliance pour

lexcellence en TI et dun programme dagrment de spcialistes ce groupe dfinit un

spcialiste comme une personne qui :

Est reconnue comme spcialiste par ses pairs, ses clients et ses associs enaffaires;

A consacr un pourcentage considrable de son temps la spcialit pendant

une priode prolonge;

A suivi des cours ou a russi aux examens appropris dans la spcialit en cause;

Suit des cours de perfectionnement professionnel qui se rapportent la spcialit

en cause;

Continue consacrer un pourcentage considrable de son temps la spcialit.

Du cot des auditeurs internes, nous avons constat que le mme intrt est

prsent envers ce champ dexpertise. En plus de la collaboration dans lorganisation

des sminaires de formation avec lISACA, la IIA Institute of Internal Auditors vient

daccorder aux dtenteurs du titre CISA une exemption de certaines partie de

lexamen pour lobtention du titre CIA Certified Internal Auditor qui est reconnu

comme tant le titre de renomm et de reconnaissance pour un auditeur interne :

Exemption : Pour obtenir la dsignation CIA, une personne doit passer avecsuccs les quatre examens. Depuis 1998, les personnes ayant dj un titrecomptable ou le titre CISA peuvent obtenir une exemption pour le quatrimeexamen3

3 http://www.ivim.com (Janvier 2002. Rubrique : programme CIA)


27/145

16Dans larticle publi par Dunmore en 1989, laudit des SI est mentionn

parfois comme tant une discipline, comme tant une profession dans dautres cas et

finalement lauteur nous fait savoir que ce domaine dexpertise apparat comme une

sous spcialit de la profession daudit interne ou externe. Dunmore (1989) ajoute

que les opinions des auditeurs des SI non comme les opinions dauditeurs financiers,

nont pas de base lgale ou rglementaire accepte en tant quexpert tmoin.

Il est vrai que la lgislation officielle pour la certification des comptes

demeure sans changements, mais on remarque de plus en plus que les notes de

services bancaires au niveau des dpartements daudit interne et les exigences decollaboration entre organisme financier exigent lintervention dun spcialiste

reconnu et le rapport nest valide qua la signature dun professionnel auditeur tel

quun dtenteur du titre CISA. Ainsi le guide pour laudit des associations

INTERAC publi en 1998, mentionne que les vrifications de conformits requirent

la certification par un auditeur professionnel dtenteur de lun ou plus des titres

suivant : CA, CGA, CMA, CIA et CISA (Appendice C).

Stachtchenko (1995) et Weber (1999) considrent que ce titre crdibilise les

missions daudit SI et motive les collaborateurs. Ils rejoignent en quelque sorte les

prtentions de Dunmore (1989) quant lavenir de laudit des SI en affirmant que si

aujourdhui, le CISA est un critre de recrutement et de promotion alors demain, il

sera le diplme professionnel de rfrence. LISACA oblige ses membres suivre

tous les trois ans une formation continue sous forme dune exigence daccrditation

de 120 heures de formation en audit et contrle des SI, pour pouvoir garder le titre

CISA.4. Il est intressant de mentionner quactuellement il y a 12 000 personnes quiont le CISA dans le monde, ce titre constitue la rfrence mondiale en matire

daudit informatique.

4 http://www.isaca.org/cisacep1.htm (Janvier 2002. Rubrique: Continuing Education)


28/145

17En poursuivant lvolution qua connu le domaine de laudit des SI, lISACA

a tabli que le caractre spcialis de laudit des SI et les comptences requises pour

effectuer un tel audit rendent ncessaires le dveloppement et la promulgation de

normes gnrales pour laudit des SI. partir de ces normes, savoir, les Standards

For Information Systems Auditing, de l ISACA (1997), laudit des SI se dfinit comme

tout audit qui comprend lexamen et lvaluation de tous les aspects (ou une partie

dentre eux) des systmes de traitement automatis de linformation, y compris les

procdures connexes non-automatises, et les interfaces qui les relient entre eux.

Les normes promulgues par lISACA sont applicables aux travaux dauditdes SI effectus par les membres de lassociation pour le contrle et laudit des SI et

par les dtenteurs du titre dauditeur en SI agr CISA. Lobjectif de ces normes est

dinformer les auditeurs du niveau minimal acceptable pour rpondre aux

responsabilits professionnelles tablies dans le code dthique professionnelle et

informer la direction et les autres parties intresses par les attentes de la profession

concernant le travail des praticiens. Ces normes sont entres en vigueur depuis le 25

juillet 1997. Le code dthique professionnelle de lISACA exige de ses membres

titulaires du CISA, le respect des normes daudit des SI quelle a promulgu. Le

respect de ces normes est considr trs srieusement et fortement encourag. Le

dveloppement et la diffusion des normes daudit de SI est la pierre angulaire de la

contribution professionnelle de lISACA la communaut de laudit des SI.

Dans sa rponse, Dunmore (1989) avance quun corps de connaissance existe

mais quil est petit par rapport dautres professions et nest pas entrain de slargir

de la vitesse dont il est suppos atteindre moins de se retrouver dpasser parlavanc technologique des systmes. Par corpus de connaissance on entend,

vocabulaire commun, mthodologie, code dthique, publications, normes et

procdures organisant le domaine. Il sagit ici dune question dimportance des

connaissances acquise et de leur vitesse dvolution.


29/145

18Certaines organisations importantes font des efforts de recherches et de

dveloppement en normalisation dans le domaine de laudit des SI. Dailleurs, par

exemple lAICPA a labor conjointement avec lICCA. un service de certification

SysTrust qui permet de vrifier et de tester de faon indpendante la disponibilit, la

scurit et lintgrit des SI. Notre travail est compar principalement au cadre de

rfrence de lISACA que nous avons considr comme chef de fil dans ce domaine.

En faisant le rapprochement par rapport la situation qui nous est prsent en 1989,

nous notons que ce nest quau courant des cinq dernires annes que le domaine de

connaissance sest largi dune faon remarquable. En effet, les dates dadoption de

tout un arsenal de rglementation du mtier de la part des membres de lISACAconfirment notre observation, ainsi nous prsentons ci-dessous la date et le titre des

normes, dclaration et recommandation observer :

"Normes gnrales pour laudit des SI" en vigueur au 25 juillet 1997.

"Politique de gouvernance des SI " en vigueur au 1er juin 1998

"Contenu et forme dun rapport" en vigueur au 1er dcembre 1998

"Matrialit" en vigueur au 1er septembre 1999.

"Charte daudit" en vigueur au 1er septembre 1999.

"Conscience professionnelle" en vigueur au 1er septembre 1999.

"Documentation daudit" en vigueur au 1er septembre 1999.

"Externalisation des activits informatiques" en vigueur au 1er septembre 1999.

"lments probants" en vigueur au 1er dcembre 1999.

"Impact des contrles pervasifs des SI " en vigueur au 1er mars 2000.

"Irrgularits" en vigueur au 1er mars 2000.

"Rapport organisationnel et indpendance" en vigueur au 1er mars 2000. "valuation des risques et planification des audits" 1er septembre 2000.

"Sondage en audit" en vigueur au 1er mars 2000.

"Technique daudit assist par ordinateur" en vigueur au 1er dcembre 2000.

"Revue des systmes dapplication" en vigueur au 1er novembre 2001.


30/145

19Nous constatons que le rythme dvolution du corpus de connaissance se

referant laudit des SI na pris de lacclration que ces quelques dernires annes.

Cependant on peut avancer que lanne 2000 et ses problmes inhrents peuvent tre

un tournant crucial et une mesure de lefficacit de la profession.

3.3.3 volution des professionnels dans leur carrire

Dunmore (1989) a par ailleurs suggr que la rotation constante dauditeurs

qualifis (quatre annes ou plus dexprience) limite le domaine de la connaissance

daudit des SI. Cette rotation, ajouta-t-il, est due au manque dune voie daccs decarrire pour les auditeurs SI. Non que les auditeurs SI soient bloqus ou sont

incapables de tenir dautres positions dautorit dans lorganisation mais quils sont

perus comme incapables de tenir dautres positions dautorit dans lorganisation

mais qui peut tre caus par labsence de prdcesseurs qui ont russi accder de

tels postes.

Dix ans plus tard, une tude par questionnaire a t entreprise auprs dun

chantillon comprenant des directeurs de dpartement daudit interne dans la rgion

du Nord du Texas, y compris le Dallas. Il sagit de ltude de Lucy (1999) qui sest

intress surtout la manire de rpartition des ressources pour les diffrentes

tches accomplis lors dun audit de SI. Les directeurs daudit de soixante dix-sept

organismes ont rpondu un questionnaire reprsentant ainsi 12 groupements de

diffrentes industries. Il est noter quapproximativement un tiers de tous les

organismes figurant dans lchantillon de Lucy (1998) emploient des auditeurs SI.

Cette tude indique que la moyenne dexprience dun auditeur dans laudit SI estde quatre ans au plus. Seulement trois dentre ceux qui ont quatre ans dexprience

en audit SI sont dans leurs organisations actuelles.


31/145

20Par ailleurs Lucy (1999) confirme le fait que les auditeurs SI aient une

existence de transition tel que postul par Dunmore (1989). Il trouve que lorsque les

auditeurs SI se dplacent leur prochaine affectation, 47% dentre eux quittent leurs

organisations actuelles, 12% viennent dautres units opratoires et les mmes 12%

retournent apparemment leur dpartement dorigine ou aux autres dpartements

oprationnels. Au niveau de supervision et de gestion, plus de la moiti des

employes viennent de sources extrieures avec seulement 25% qui venaient du

dpartement daudit interne. Lucy (1999) prsume que ceci pourrait tre le rsultat

dune rotation leve au niveau des auditeurs SI, qui limite le nombre de candidats

ayant plus que quatre ans dexprience, tel quannonc par Dunmore depuis 1989.

Au fait, les constatations de Dunmore (1989) ne sarrtent pas jusqu ces

points. Ce dernier ajoute que la plupart des organisations ne sont pas sure de ce

quils doivent faire avec les auditeurs des SI particulirement ceux qui ont une

formation technique plus large. Par consquents plusieurs auditeurs de SI crent

leur propre chemin de carrire en allant vers des cabinets de service. Lauteur fait

une distinction entre deux catgories dauditeur SI, les techniciens de logiciel

exerant des tches de contrle et daudit de SI et les professionnels occupant des

fonctions dauditeurs SI. Les techniciens nont pas du mal rester au sein de

lentreprise alors que les auditeurs quittent aprs trois ou quatre ans dexprience.

Dans une autre recherche sur le problme de lvolution des auditeurs SI

dans leur carrire professionnelle, Siew (1999) a suppos quavec les applications

continues des technologies dinformation avances dans des SI, le futur semble

lumineux avec des voies daccs prometteuses de carrire pour des auditeurs SI.Cette tude a t ralise sur la base dun questionnaire expdie chacun des 345

membres du chapitre de lISACA Singapour en dcembre 1998.


32/145

21Presque 65% des rpondants ont la qualification CISA et les 66% deux ont au

moins quatre six ans dexprience professionnelle dans laudit des SI.

Approximativement 19% (14 sur 75) des rpondants avaient dj quitt laudit des SI

pour dautres travaux. En outre, 32.7% des rpondants retenu pour constituer la base

des rsultats trouvs par cette tude ont manifest lintention de quitter leur fonction

dauditeurs de SI en faveurs dautres fonctions. Lanalyse des rsultats fait ressortir

trois explications a cette situation qualifi de turbulente par lauteur.

Lambigut des tches accomplir par ces auditeurs SI au sein de leur

entreprise : La plupart des auditeurs SI ont indiqu quils sont simultanmentresponsables dautres tches telles que laudit financier, audit oprationnel,

conseil en affaires, support de programmation ou gestion de projet.

La progression interne de carrire est non probable de se produire dans le sens

verticale du diagramme de la hirarchie des fonctions.

Les modules de salaire des auditeurs SI : Les rsultats supportent ainsi la

perception gnrale que les auditeurs SI ne sont pas bien compenss par rapport

leur collgue uvrant dans le domaine des technologies de linformation

comme les gestionnaires de dveloppement dapplication, des gestionnaires de

rseau, des chefs de projet et des gestionnaires du centre de calculs.

En dpit des suppositions pour une carrire prometteuse des professionnels

de laudit SI avec lemphase toujours croissante des technologies de linformation,

ltude de Siew (1999) a indiqu lvidence plutt contradictoire, avec une carrire

limite dans lorganisation, une cadence leve de rotation et une tendance des

auditeurs SI de quitter le domaine.


33/145

223.4 Point de vue avant lenqute

Nous constatons une importante volution dans lorganisation de ce champdexpertise et le renforcement des traits professionnels indiqus dans la littrature

font toute la diffrence avec la situation dcrite en 1989. Lassociation de laudit et de

contrle de systme dinformation (ISACA), raffine continuellement des objectifs de

contrle la lumire de la technologie, met jour des normes de conduite

professionnelle et continue examiner et certifier des professionnels daudit.

tant donn quapproximativement un tiers des organismes emploient des

auditeurs SI, bien quil ny ait aucune rfrence prcdente, lenqute de Lucy (1999)

montre que beaucoup de praticiens estiment que cest une augmentation

significative depuis 1989. Tous ces lments prcdemment discuts dans ce

chapitre, concordent avec les dimensions dune profession tel que dcrite par

Logeais (1990) et tel quapprci par Dunmore (1989) lui-mme, savoir,

llargissement du corpus de connaissance, la reconnaissance dun titre

daccrditation et lvolution des professionnels dans leur carrire. En plus, nos

observations confirment lexistence des caractristiques annonces par Pavalko(1971) sur la qualification dune profession plutt quune occupation (Tableau 3.1).

Ltude de Siew (1999) et Lucy (1999) indique que ltat de la profession na

pas encore entirement volu de son tat tel que constat par Dunmore (1989). Ces

rsultats sont rvlateurs dinquitudes quant au dveloppement de la vie

professionnelle puisquil ny pas eu de changements significatifs par rapport aux

constatations faites de Dunmore en 1989 quant aux taux de rotation lev et la

difficult des organisations retenir des auditeurs SI qualifis.


34/145

233.5 laboration des questions pour ltude

Les constats discuts dans les sections prcdentes nous poussent poserplusieurs questions sur lvolution de ltat de la situation pour mieux cerner le sujet

et tirer au plus clair nos analyses.

3.5.1 volution des connaissances dans le domaine de laudit SI

Dunmore (1989) note quil ny a pas beaucoup de littrature au sujet de

laudit SI et que les connaissances sont limites compares dautres professions.

Par les questions ci-dessous, on va tenter de mieux comprendre ltat actuel de laformation des gens qui soccupe de laudit des SI; surtout que Dunmore juge

lpoque quon a tudi laudit des SI mais pas suffisamment et que les

professionnels tendent auditer ce qils savent auditer mais pas ce qui doit tre

auditer. Avec lchelle suivante nous mesurons les perceptions des professionnels

sur ce sujet (1=faible, 2=moyenne, 3=Forte).

1) Quelle contribution apporte la formation universitaire actuelle lvolution de la

profession dauditeur de SI ?

2) Quelle contribution les recherches et publications actuelles en matire daudit des

SI apportent-elles lenrichissement de ce domaine de connaissance ?

3) Quelle est votre apprciation de leffort entrepris par lISACA pour augmenter la

comptence des professionnels de laudit des SI ?

Certains critres des rpondants pourront nous tre utiles pour avoir une

ide sur la formation des gens exerant le mtier, ainsi nous pensons rajouter la

question qui suit dans notre partie se referant aux donnes dmographiques de notre

chantillon.
http://www.isaca.org/http://www.isaca.org/


35/145

244) tes vous dtenteur du ou des titres professionnels suivants :

a) Comptable agre (CA)

b) Comptable en management agre (CMA)

c) Comptable gnral agre (CGA)

d) Auditeur interne agre (CIA)

e) Auditeur de systme dinformation agre (CISA)

f) Autres (spcifier) :

Dans les dernires questions de ce travail on voulu voir si on pouvaittrouver une diffrence entre les perceptions de ces points de vue entre les auditeurs

des SI internes et externes.

5) Est-ce que vous exercez laudit des SI en tant que :

Auditeur interne

Auditeur externe


Dunmore (1989) estime que les gens exerants le mtier se trouvent limits

par un contrle sur ltendue de leur approche daudit, ils nont pas lautonomie

ncessaire pour effectuer les travaux quils jugent ncessaires. Sajoute un degr

faible dattention port envers cette fonction par les dirigeants. Les questions que

nous nous posons visent savoir si les entreprises arrivent maintenir les fonctionsde leurs auditeurs actuels, si ces gens se trouvent intresss continuer leurs

carrires dans ce domaine et sils ont des chances davancement et de promotion au

sein de leur entreprise. La non-motivation continuer dans lorganisation actuelle

est due au fait que les auditeurs des SI noccupent pas des postes plus levs dans la


36/145

25hirarchie administrative que leurs collgues en matire financire ou de gestion,

ainsi le non-succs des auditeurs SI a accd des positions de contrle au-dessus

des fonctions daudit dans lentreprise apparat dominant. Voici les questions que

nous nous proposons notre chantillon :

6) Nombre danne exprience en audit des SI?

7) Le nombre danne dans lorganisation actuelle?

8) Comment sont les perspectives de carrire pour le personnel daudit des SI ?(1=Faible, 2= Moyenne, 3=Forte)

9) Quelle opportunit a un auditeur des SI daccder un poste de chef du

dpartement daudit interne au sein dune entreprise ? (1=Faible, 2=Moyenne,

3=Forte)

10) Comment jugez-vous limportance accorde la fonction de laudit des SI dans

les entreprises ? (1=Faible, 2=Moyenne, 3=Forte)

11) Est-ce que vous bnficier de lautorit ncessaire pour laccomplissement des

travaux daudit SI ? Oui Non

12) Pensez vous faire carrire dans le domaine de laudit des SI en y demeurant de

faon continue ? Oui Non

13) Est-ce que votre organisation prend les dispositions ncessaires pour maintenir

un auditeur de SI hautement qualifi ? Oui Non


37/145

263.6 Rsultats de lenqute

Lobjectif tant de ramener des critres de rponses nos questionsinitialement poses dans le dbut de ce chapitre, savoir, llargissement du corpus

de connaissance dans le domaine de laudit des SI et lvolution des professionnels

dans leur carrire.

3.6.1 largissement des connaissances dans le domaine de laudit SI

Dans lensemble, les rsultats traduisent la perception de 37 auditeurs de SI

dont 19 comme tant auditeur internes (51.4%) et 18 comme auditeurs externes

(48.6%). Les rpondants obissent un certain profil, un pourcentage leve (94.6%)

de participant ayant complt le questionnaire dtiennent au moins un titre

professionnel. Un grand nombre est porteur du titre CISA Certified Information

System Auditor. La figure 3.4 donne une ide sur les proportions des titres dtenus

par les rpondants. Il sagit des titres suivants :

CMA2%

CGA10%

CISA

41%CIA10%

CISSP4%

CPA6%

CA27%

Figure 3.3: Rpartition de titres professionnels dtenus par les rpondants


38/145

27Au total, 20 personnes dtiennent le titre CISA que ce soit comme unique titre

professionnel (7 personnes), dautres le dtiennent avec des titres daudit et de

comptabilit (13 personnes). Parmi les CA qui ont particip cette tude, 41%

dentre eux dtiennent le titre CISA que nous avons avanc comme tant la rfrence

dans le domaine de laudit des SI. Ceci rejoint en quelque sorte lintrt accru des

auditeurs financiers chercher une formation spcialise dans ce type daudit. Le

titre CISA se trouve tre jumel avec dautres titres. Ceci est vrai du cot des

auditeurs internes et des auditeurs externes. Le tableau suivant donne une ide sur

les personnes rpondant qui dtiennent un ou plusieurs titres professionnels en plus

du CISA :

Tableau 3.2Cumul du titre CISA avec dautres titres professionnels

Titres cumulsavec le CISA

Nombres depersonnes

Lgende

CA - CISA 13.5% CA : Comptable Agr

CIA - CISA 8% CIA : Certified Internal Auditor

CGA - CISA 5.7% CGA : Comptable Gnral Agr

CPA - CISA 5.7% CPA : Certified Public Accountant

CISSP - CISA 2.7% CISSP : Certified Information SystemSecurity Professionnal


39/145

28Aprs avoir discuter de la formation universitaire suivie par les rpondants

notre questionnaire et limportance du titre CISA, nous prsentons dans ce qui suit

lassertion de Dunmore (1989), ensuite les rsultats obtenus notre enqute pour

chacun des points discuts.

En plus de montrer les rsultats globaux en pourcentage des rponses reues,

nous avons spar les perceptions des auditeurs internes et celle des auditeurs

externes. Scinder les rpondants en deux catgories nous donnera plus defficience

dans linterprtation des rsultats surtout dans le cas o les rponses sont

diffrentes.

Il est clair que les programmes universitaires constituent un support

important dans lvolution de lauditeur des SI dans sa carrire professionnelle.

Mme si lapprciation de ce support existant reste moyenne pour certains (57%) et

encore faible pour dautres (43%), la situation diffre de 1989 ou cette formation

navait pas de poids comme le prcise Dunmore (1989). Le tableau 3.3 montre les

perceptions des rpondants ce sujet.

Tableau 3.3Apprciation de la formation universitaire

Question Rsultat globalAuditeurExterne

AuditeurInterne

Quelle contribution apporte laformation universitaire actuelle

lvolution de la profession dauditeurde SI ?

Faible 43%

Moyenne 57%

Forte 0%

8

10

0

8

11

0


40/145

29Dun autre cot, les avis restent trs proches pour dire que par rapport ltat

dcrit par Dunmore (1989) nous assistons des publications juges bonnes dans le

domaine de laudit des SI comme le montre le tableau 3.4.

Comme nous lavons indiqu dans notre discussion dans les sections

prcdente lISACA contribue largement dans lvolution de la pratique de laudit

des SI. En effet, selon le tableau 3.5 qui regroupent les rponses reues, 80 % des

rpondants apprcient fortement les efforts entrepris par cette association pour

augmenter la comptence de ce domaine dexpertise.

Tableau 3.4Contribution des recherches et publications


AuditeurInterne

Quelle contribution les recherches etpublications actuelles en matiredaudit des SI apportent-elles lenrichissement de ce domaine deconnaissance ?

Faible 0%

Moyenne 57%

Forte 43%

0

13

5

0

8

11

Tableau 3.5Effort entrepris par lISACA


AuditeurInterne

Quelle est votre apprciation deleffort entrepris par lISACApour augmenter la comptencedes professionnels de laudit desSI ?

Faible 0%Moyenne 20%

Forte 80%

02

16

05

14
http://www.isaca.org/http://www.isaca.org/


41/145

30


Dunmore (1989) affirme que les auditeurs qualifis qui ont un minimum de 4

ans exprience ont tendance changer de fonction. Dunmore ajoute que les

entreprises narrivent pas maintenir ces auditeurs qualifis dans leur fonction ce

qui a fait que ces derniers quittent laudit des SI pour dautres fonctions. Nos

questions sur lexprience en audit SI dune part et sur la dure de lexprience du

rpondant dans son organisation actuelle dautre part, nous donnent les rsultats qui

figurent dans le tableau 3.6.

Selon ces rponses, la moyenne dexprience en audit des SI par nos

rpondants se situe autour de 5.4 ans. Par ailleurs, 40 % des rpondants ont plus

dexprience en audit SI que dans leur organisation actuelle, ce qui suppose que

chaque auditeur quitter son ancien employeur pour rejoindre son poste actuel.

Ceci nous ramne au mme constat tabli par Dunmore (1989) pour dire quil existe

une rotation et une tendance quitter lentreprise qui se manifeste chez les auditeurs

SI qualifis qui ont plus que 4 ans exprience.

Tableau 3.6Exprience des rpondants

QuestionRsultatglobal

AuditeurExterne

AuditeurInterne

Moyenne de nombre danne danslorganisation actuelle

4.5 4.8 4.2

Moyenne de nombre danne exprienceen audit des SI 5.4 6.2 4.7


42/145

31Comme il sagit dune source dinquitude, on a pouss lanalyse plus loin

dans le sens o on a cherch si le phnomne reste aussi vrai pour les auditeurs SI

internes quexternes. En analysant ces rsultats du point de vue des 18 auditeurs

externes, on constate que 12 personnes parmi eux, cest--dire 66% ont plus

exprience en audit SI (6 annes) que dans leur organisation actuelle (4 annes). Ceci

laisse entendre quils ont chang demployeur au cours de leur carrire. Ce

phnomne reste aussi vrai du cot des auditeurs internes sauf quil nest pas

constat que la mme ampleur mais demeure inquitante puisque 41% dentre eux

semblent avoir vcu un changement demployeur.

Par ailleurs, le phnomne inverse est aussi prsent. Ainsi parmi le groupe

des auditeurs internes 34% ont plus exprience dans leur organisation actuelle quen

audit SI. Cette mme constatation est vraie aussi pour 34% des auditeurs SI externe

ce qui dmontre un intrt accru la spcialisation dans ce champ dactivit.

Dunmore (1989) estime que plusieurs causes font quune carrire en audit SI

nest pas attrayante. Notre auteur rajoute que le rsultat final a pour consquence

que ces gens quittent le domaine de laudit SI en faveur dautres fonctions que ce soit

dans leur organisation ou pour dautre employeur. Nous numrons ces dites causes

pour retrouver ensuite les rsultats de nos questions.

Les auditeurs SI sont perus comme incapable de tenir des positions

dautorit dans lorganisation et par consquent, ils nont pas accs des

postes plus levs dans la hirarchie de leur dpartement daudit. Nos

rsultats indiquent quune telle opportunit reste encore peu probablecomme la montre la perception des rpondants figurant au tableau 3.7.


43/145

32Tableau 3.7

Opportunit davancement pour lauditeur SI


AuditeurExterne

AuditeurInterne

Quelle opportunit a un auditeur des SIdaccder un poste de chef dudpartement daudit interne au seindune entreprise ?

Faible 24%

Moyenne47%

Forte29%

4

7

7

5

10

4

Tableau 3.8Autonomie de lauditeur lors de lexcution des travaux daudit SI


AuditeurExterne

AuditeurInterne

Est-ce que vous bnficiez delautonomie et de lautorit ncessairepour laccomplissement des travauxdaudit des SI ?

Oui 70%

Non 30%

13

5

13

6

Les auditeurs SI ont un contrle sur leur activit qui empchent le bon

droulement des travaux. Daprs les rsultats figurant dans le tableau 3.8, la

situation est diffrente puisque 70% bnficient dun certain pouvoir qui leur

permet de bien grer leur mandat.

Dunmore (1989) prcise quil y a une importance relative accorde par la

direction laudit des SI et par la suite, ces derniers narrivent pas

maintenir des auditeurs SI qualifis. Ceci reste plus au moins vrai puisque

lintrt port par les dirigeants est jug tre moyen raison de 52% et dans

26% des cas comme tant faible (tableau 3.9). Mais dun autre cot, les

rpondants jugent 60% que leurs organisations font des efforts

considrables dans ce sens. Ceci est montr par le tableau 3.10.


44/145

33Tableau 3. 9

Importance de la fonction audit SI dans les entreprises


AuditeurInterne

Comment jugez-vous limportanceaccorde la fonction de laudit desSI dans les entreprises ?

Faible26%

Moyenne 52%

Forte22%

8

7

3

2

12

5

Tableau 3.10Maintien de lauditeur SI qualifie par son entreprise


AuditeurExterne

AuditeurInterne

Est-ce que votre organisation prend lesdispositions ncessaires pour maintenir unauditeur de SI hautement qualifi ?

Oui 60%

Non 40%

14

4

12

7

Tableau 3.11Perspective de carrire en audit SI.


AuditeurExterne

AuditeurInterne

Comment sont les perspectives decarrire pour le personnel daudit desSI ?

Faible 5%

Moyenne 26%

Forte 69%

2

6

10

0

3

16Pensez vous faire carrire dans ledomaine de laudit des SI en ydemeurant de faon continue ?

Oui 80%

Non 20%

12

6

17

2


45/145

34 la lumire de ce qui prcde, il est clair que la situation a volu mais les

constats dcrits en 1989 restent encore prsents. Toutefois, il faut noter que ceci na

pas empch les auditeurs SI de montrer leur intrt continuer de faire carrire en

audit SI et daffirmer que les perspectives de carrire sont prometteuses. Ces deux

dernires constatations dcoulent des rponses reues nos deux questions

figurantes au tableau 3.11. Donc nous sommes devant un changement dattitude par

rapport 1989. Toutefois, il est difficile de cerner si les auditeurs SI ont la conviction

de continuer leur carrire dans leurs organisations actuelle ou dans dautres

organisations quand loccasion se prsente. Nous reviendrons sur cette question

dans les chapitres qui suivent. Pour le moment nous nous contentons de savoir quenos rpondants affirment quils veulent continuer faire carrire dans le champ de

laudit des SI.

3.7 Conclusion

Est-ce que laudit des SI est vritablement une profession ? Ce chapitre a

permis de comprendre et de situer lvolution qua connu le domaine de laudit des

SI. De plus, il a mis en vidence dautres lments relis un succs de lISACA

dtre le leaderqui regroupe les gens du mtier. Les rpondants jugent quil y a eu un

enrichissement considrable du corpus de connaissance. Les professionnels en audit

SI qui ont rpondu notre tude affirment quils ont tendance continuer leur

carrire dans ce champ dexpertise. Ainsi, il semble quil sagit donc dune jeune

profession qui constitue une spcialit instruite dans la profession daudit en

gnral, quelle soit linterne ou a lexterne. Par consquent, nous dfinissons un

auditeur de systme dinformation comme la personne dtenteur du titre CISA, quirespecte le code dthique de lassociation ISACA, et qui remplit toutes les

conditions pour prserver son titre, savoir la formation continue et linvestissement

de son temps demploi dans la pratique de cette spcialit.


46/145

CHAPITRE 4

JUSQU QUEL POINT LES ORGANISMES SONT SRIEUX AU SUJET DES

TRAVAUX DAUDIT DE SYSTMES DINFORMATION ?

Nous avons choisi de runir au niveau de ce chapitre les propos de Dunmore

(1989) qui concernent deux questions la fois. La premire sintresse au degr du

srieux de lexcution des travaux daudit SI par les entreprises. La seconde value le

degr du srieux port envers laudit des SI en gnral mais du cot des auditeurs

internes dune part et externe dautre part. Il sagit des questions suivantes :

1. Jusqu quel point les organismes sont srieux en excutant des audits de SI ?

2. Doit-on tre srieux au sujet des travaux daudit des SI ?

Notre choix de regrouper ces deux questions se trouve tre motiv par le fait

que les travaux daudit des SI sont indissociables du degr de srieux envers ce

domaine que ce soit au sein de lentreprise mme ou que ce soit par les gens exerant

cette fonction. En plus, largumentation qui nous est prsente par lauteur concerne

des arguments qui se rptent et qui se recoupent. Nous prsentons la rponse deDunmore (1989) sur ces points, les caractristiques que relve lauteur dcrivant

ainsi ltat de la situation en 1989 et finalement, une discussion qui englobe

lvolution observe incluant les questions et lanalyse des rponses notre outil de

recherche relatives ces lments discuts.


47/145

364.1 Rponse de lauteur

Dunmore (1989) trouve quil y a un manque de srieux envers laudit et lecontrle des SI de la part des dirigeants des entreprises. La qualit de la fonction

daudit des SI peut varier dun service un autre. Au niveau des dpartements

daudit interne, le degr de srieux est mixte et la qualit des travaux est variable

dun service un autre. Quant aux firmes externes, elles ne semblent pas tre assez

srieuses au sujet de laudit des SI. Quelques auditeurs internes sont srieux sur ce

plan par contre dautres ne le sont pas.

4.2 Argumentation et points critiques

Les arguments de lauteur sont multiples, et tournent autour de cinq

constatations principales sur ltat de la situation lpoque. Les caractristiques du

manque de srieux envers laudit des SI sont apprcies par, le manque dun cadre

de rfrence qui puisse joindre les objectifs et lvaluation du contrle interne au

processus de gestion, le degr de comprhension des objectifs de laudit des SI,

limportance accorde par les dirigeants laudit des SI et aux auditeurs des SI.

Dunmore (1989) mentionne aussi la difficult dune possibilit de carrire

pour lauditeur SI au sein de lentreprise et finalement, il trouve que lintrt que

manifestent ces derniers envers lorganisation de leurs travaux est assez relatif.

Malgr le fait que ces arguments se recoupent et font rfrence plusieurs ides dj

rencontres dans le chapitre prcdent, nous allons les prsenter chacune dans une

sous-section part pour mieux les comprendre. Ensuite nous traons les

changements qui ont eu lieu depuis 1989 pour fin danalyse et discussion.


48/145

374.2.1 Manque dun cadre de rfrence

Nous constatons daprs les rponses avances par lauteur que la directiondune organisation a des attentes plus fortes envers les fonctions fournies par

linformatique. Elle exige des dlais de livraison raccourcis et des niveaux de

services continuellement amliors non une attente pour llaboration dun cadre de

contrle adquat ou lexcution de travaux de conformit qui savrent loin dtre un

support pour le processus de gestion.

Dunmore (1989) dans sa rponse ce point mentionne la direction dune

socit voit et considre lautomation comme un outil stratgique qui offre un

avantage comptitif. Cela a rsult en une importance croissante sur des dlais de

temps serrs pour la demande de dveloppement de systme, et une disposition

augmente pour accepter des risques. cause de la rapidit de lautomatisation, ni

les auditeurs ni la direction ne peuvent attendre que des procds, procdures ou

modles soient mis en place pour tablir les contrles appropris et vrifier la

conformit. Les dirigeants sont occups par les profits et laccomplissement des

objectifs de lentreprise, cet effet le contrle et laudit des SI est une prioritrelative.

4.2.2 Degr de comprhension des objectifs de laudit des SI

La comprhension de la gestion et du contrle des systmes est une condition

ncessaire pour supporter la fonction daudit des SI et ltablissement dun

environnement pertinent de contrle. Ltat actuel montre un niveau faible de la

comprhension des objectifs de contrle du systme dinformation et de lintrt que

porte la direction envers lutilit, limpact et lapport de laudit SI sur le systme

dinformation de lentreprise.


49/145

384.2.3 Importance accorde par les dirigeants laudit des SI

Les auditeurs des SI qui prfrent viter les systmes non financiers, lesnouvelles technologies et les questions daffaires en faveur dintrt de contrle

familier sont moins utiles la direction quils ne peuvent ltre. Pourquoi alors la

direction doit tre srieuse sur la question de laudit des SI ? La raison primaire pour

le manque de srieux au sujet daudit SI est le dcroissant intrt du domaine de

laudit des SI tel quil est prsent peru par les dirigeants.

4.2.4 Ressources alloues laudit des SI au sein de lentreprise

Une autre mesure de la faiblesse des ressources alloues tant le nombre de

personnes affectes laudit et le contrle des systmes de lentit. En effet Dunmore

(1989) nous fait part que le manque dune voie daccs adquate pour une carrire

dans ce domaine est une indication du soutien faible de la part de la direction dune

entreprise cette fonction.

4.2.5 Degr de srieux des professionnels envers laudit des SI

Daprs les constatations de lauteur qui sont tires de son exprience

professionnelle, ceux qui effectuent des travaux daudit de systme dinformation

manquent de dtermination et se contentent deffectuer leurs investigations dans des

zones faciles de contrles gnraux. Les constatations faites en 1989, dmontrent que

les travaux mens lors dun audit des SI se concentrent sur les zones faciles

(contrles gnraux et contrles dapplications) et ralisent peu de travail dans les

problmes moins controverss (dveloppement des systmes, revue defficacit,

tlcommunication, intelligence artificielle) les contrles de base sont effectus lors

de laudit annuel.


50/145

394.3 Analyse et discussion

Aprs avoir prsent les arguments de Dunmore, il y a lieu de discuter des

volutions qui ont surgis depuis 1989 pour chacun de ces lments.

4.3.1 Manque dun cadre de rfrence

Dans un monde o la concurrence est forte et les changements sont rapides,

les dirigeants ont davantage dattentes de leurs systmes informatique. Ils

demandent plus de fonctionnalits, des dlais de ralisation plus courts, tout cela

un cot rduit et un niveau de risque acceptable. Le management a donc besoindun cadre de rfrence des pratiques de contrle et de matrise de linformatique,

applicable et accept, pour valuer son environnement informatique existant ou

projet. Or tel que dcrit par Dunmore (1989), la situation montre un cart entre

lavancement des technologies de linformation et lautomatisation des systmes

dune part, et les procds de contrle qui sont longs et lourds intgrer dans le

systme dautre part. Par la force des choses, les procds instaurs ne servaient plus

comme support au processus de gestion.

Depuis quelques annes, les organismes de contrle, les lgislateurs, et les

utilisateurs ressentent le besoin de plus en plus vident de disposer dun cadre de

rfrence en matire de contrle et de gestion, de linformatique et par

linformatique. Louvrage publi en 1970 par lICCA et intitul Normes de contrle

interne dans un cadre informatique a jou un rle important dans le domaine du

processus de gestion eu gard au recours linformatique aux fins de traitement des

donnes. Le dfi lors de la premire rvision de ces normes, en 1986, tait desassurer que leur contenu demeure pertinent compte tenu de lvolution rapide de

lenvironnement informatique. En 1998, cet ouvrage a fait lobjet damliorations et

de remaniements importants, ainsi la troisime dition publie par lICCA a port le

titre : La gestion du contrle de linformatique.Cette dition fournit un cadre de


51/145

40rfrence qui permet de structurer les techniques de contrle. De plus, les normes de

contrle minimales quelle renferme constituent un seuil repre que les entreprises

doivent sefforcer datteindre si elles veulent tre en mesure de fournir le niveau

dintgrit attendu delles sur le plan du traitement des donnes et de linformation.

Par ailleurs, la llA a publi en 1991 (rvis en 1994), un rapport sur laudit et

le contrle des SI intitul System Auditability and Control, SAC Report qui a fourni

les premires tentatives de codifier les contrles dans un contexte de dpendance

vis--vis des tlcommunications et dintgration des technologies nouvelles. Le SAC

Report a soulign la ncessit dvaluer le risque, prsente le cot et les avantages descontrles et les avantages conomiques des contrles btis dans les systmes lors de

leur conception et dveloppement plutt que les ajouter aprs la mise en place.

Le SAC Report a identifi des risques comprenant la fraude, les erreurs, les

interruptions daffaires et lutilisation inefficace et inefficiente des ressources

informatiques et des technologies de linformation. Il a dtermin un ensemble

dobjectifs de contrle pour attnuer ces risques et assurer lintgrit, la scurit, et la

conformit de linformation. Le rapport a conclu que le systme de contrle interne

comprend trois composantes: lenvironnement de contrle, les systmes manuels et

automatiss, et les procdures de contrle. Lenvironnement de contrle inclut la

structure dorganisation, le cadre de contrle, les politiques et les procdures et les

influences externes. Les systmes automatiss se composent des logiciels de base et

des applications de systme. Les procdures de contrle se composent des contrles

dapplication et des contrles compensatoires. En plus des explications fournis, le

SAC Report classe les diffrents types de contrle relatifs aux SI en cinq grandescatgories de contrle: (1) prventif, rvlateur et correctif, (2) discrtionnaire et non-

discrtionnaire, (3) volontaire et obligatoire, (4) manuel et automatis, et (5)

dapplication et de contrles gnraux.


52/145

41En 1996, afin de fournir un cadre complet et dtaill sur les objectifs

dtablissement de contrle dans un contexte volutif des technologies de

linformation, lInformation Systems Audit and Control Foundation (ISACF) a dit le

modle COBIT, Control Objectives for Information and Related Technology. partir de

lanalyse dun ventail dimpratifs plus large regroupant les impratifs en matire

de qualit, de fiduciaire et de scurit, sept catgories distinctes de contrle ont t

slectionnes. COBIT dfinit les objectifs de contrle de linformation et des

technologies associes comme suit:

1. Lefficacit : concerne toute information significative et pertinente pour leprocessus de gestion, distribue de manire ponctuelle, correcte, cohrente et

utilisable.

2. Lefficience : Concerne la mise disposition de linformation grce lutilisation

optimale (la plus productive et la plus conomique) des ressources.

3. La confidentialit : Concerne la protection de linformation sensible contre toute

divulgation non autorise.

4. Lintgrit : touche lexactitude et lintgralit de linformation ainsi qu sa

validit au regard des valeurs de lentreprise et de ses perspectives.

5. La disponibilit : proprit de linformation qui est dtre disponible et de le

rester lorsquun processus de gestion en a besoin. Concerne aussi la sauvegarde

des ressources ncessaires et des moyens associs.

6. La conformit : consiste se conformer aux lois, aux rglementations et aux

clauses contractuelles auxquelles le processus de gestion est soumis, cest dire

aux critres de gestion imposs par lenvironnement extrieur.


53/145

427. La fiabilit de linformation : sadresse aux dirigeants et concerne la fourniture

dinformations pertinentes pour le fonctionnement de lentit et lexercice des

responsabilits sur le plan des finances et des rapports de conformit.

COBIT est destin trois publics diffrents :

a) Le management: pour laider trouver le juste quilibre entre le risque et

linvestissement en contrles, dans lenvironnement souvent imprvisible de

linformatique.

b) Les utilisateurs: pour obtenir des garanties concernant la scurit et les contrles

de leurs services informatiques, quils soient fournis par une structure interne ou

par des tiers.

c) Les auditeurs des SI: pour justifier leur opinion et/ou donner des conseils au

management sur les contrles internes.

Lainhart (1996) souligne que la mise en vidence des besoins de lentreprise

en matire de contrles de linformatique ainsi que la mise en application des

modles de contrle naissants et des normes internationales affrentes ont fait

voluer les objectifs de contrles, jusque l, outil dauditeur, vers un outil de

management, le COBIT. cet effet lauteur mentionne limportance de ce modle:

Dune part, nous avons assist au dveloppement et la publication de

modles gnraux de contrle de lentreprise tels que COSO (Commitee of

Sponsoring Organisations of the Treadway Commission-Internal Control-Integrated

Framework, 1992) aux tats-Unis, Cadbury en Grande-Bretagne, et CoCo au

Canada. Dautre part, il existe un nombre important de modles de contrle

plus spcifiques concernant linformatique. Dans cette dernire catgorie, on


54/145

audit des systèmes d'info

Documents

Transcript of audit des systèmes d'info