0 | P a g e

Université Mohammed V – AgdalFaculté des Sciences Juridiques,Economiques et SocialesRabat

Département Sciences et Techniques

de Gestion

Option : Finance

Année Universitaire 2011 - 2012

Sous la direction de :

Mme LEHADIRI Anissa

Préparé par :

AHAMRI Imane

BENABDELALI Aniss

ROUMANI Soukayna

QAROUACH Abdelwadoud

L’audit Informatique

Introduction :

L’évolution des systèmes d’information a été développée suite au

processus de globalisation et d’internationalisation des marchés, cette

évolution ne pouvait qu’aider à la croissance des entreprises. Le

développement technologique a également marqué l’économie mondiale,

et a mis les systèmes d’information au centre des organisations, ceux-ci

sont devenu des facteurs stratégiques de la réalisation des performances

et de la pérennité.

On assistait alors, au positionnement des systèmes d’information au

sein d’une fonction réservée spécialement au traitement et au

développement des taches automatisées : la fonction informatique. Il

s’agit d’une fonction qui a été découverte avec l’invasion des ordinateurs,

elle a passé vers une fonction de contrôle, pour être ensuite une fonction

de gestion des données. Arrivée à sa maturité, la fonction informatique

aujourd’hui utilise un système d’information qui représente une aide à la

décision, un système harmonisé avec l’organisation et adapté aux

orientations de l’entreprise.

L’évolution exponentielle de l’environnement interne et externe de

l’entreprise requiert de celle-ci une réactivité rapide, en plus d’une claire

visibilité sur les actions futures, leurs atouts et leurs enjeux. Alors, le

système d’information se trouve confronté a un certain nombre de

difficultés de correspondance aux besoins de l’entreprise d’une part, ainsi

que d’autres difficultés de certification du point de vue des référentiels et

des normes en matière informatique d’autre part.

Cette certification de la correspondance les processus informatiques

et les normes relève des missions de l’audit informatique. Il représente

l’examen officiel de la fonction informatique de l’entreprise en conformité

avec les normes et les référentiels d’audit propres au système

informatique.

1 | P a g e

Pour une bonne assimilation de ce type d’audit, sa démarche et son

importance au sein d’une structure organisationnelle, il parait convenable

de commencer par une section introductive qui va nous permettre la

compréhension de l’entité auditée, la fonction informatique. Alors qu’est-

ce que la fonction informatique et quelle est son importance ?

Ensuite, on passera à la précision de la signification de l’audit

informatique, et la présentation de sa méthodologie. Alors, qu’est-ce que

l’audit informatique, quelle est sa démarche et quels sont ses outils ?

Pour enfin finir avec la présentation des normes et des référentiels

auxquels le fonctionnement de la fonction informatique doit correspondre.

Alors, qu’est-ce que le Maroc a apporté en terme normalisation des

processus informatiques ?

I- La fonction informatique :

Comme toutes les autres fonctions de l’entreprise, le rôle de la

fonction informatique est conséquent. La fonction informatique s’occupe

de l’architecture des systèmes mis en place au sein de l’entreprise. En

effet, il s’agit du système de sécurité, ainsi que des systèmes

d’information.

Dans cette section nous allons traiter l’importance de la fonction

informatique ainsi que son organisation pour passer ensuite à présentation

des systèmes d’information « SI » et la détermination des caractéristiques

d’un système d’information efficace.

1. Importance de la fonction informatique :

La gestion des systèmes d’information prend une dimension

stratégique au sein de l’entreprise, puisqu’elle l’accompagne dans le

montage des perspectives stratégiques ainsi que celles opérationnelles.

Dans ce sens, la fonction informatique joue un rôle central, le pilotage de

la gestion des systèmes d’information est placé au centre des

préoccupations de cette fonction.

2 | P a g e

La fonction informatique est organisée dépendamment de la taille

ainsi que le degré de maturité de l’organisation informatique. Par exemple,

dans une structure de taille importante, la direction informatique

représente le guide d’activité, elle permet de doter celle-ci d’une vision

claire sur le déroulement de différentes taches.

Figure 1 : Les principales fonctions d’une direction informatique

Source : http://bit.ly/xPtvUl

Le schéma ci-dessus illustre l’importance de la fonction informatique

dans la structure organisationnelle d’une grande entreprise disposant d’un

système informatique sophistiqué. La direction informatique est attachée à

la direction générale exactement comme les autres directions, ceci

implique que les dirigeants s’appuient sur cette fonction afin de mieux

réussir leurs missions.

Ceci peut ne pas être le cas pour d’autres entreprises de petite taille,

mais avec la complexité de l’environnement de l’entreprise la fonction

informatique requiert une attention particulière, une prise de connaissance

de l’informatique dans l’entreprise devient incontournable.

La maturité de l’organisation informatique est un aspect

organisationnel, fonctionnel et technologique fortement pris en

considération par les auditeurs et les cabinets de conseil ainsi que par les

experts comptables.

La dimension organisationnelle de cette maturité dépend de la

relation qui existe entre l’informatique et ses utilisateurs, il s’agit d’un

3 | P a g e

«contrat de services1» d’une part, et de la reconnaissance du rôle des

directions des systèmes d’informatiques d’autre part. La dimension

fonctionnelle et technologique représente le degré d’intégration et

d’ouverture des systèmes d’information, ceci dépend de l’utilisation des

nouvelles technologies par les partenaires.

En effet, les missions de ceux-ci ne peuvent être effectuées sans une

évaluation de la maturité du système informatique, qui leur permet

l’appréciation de sa place au sein de l’entreprise. L’objectif étant de

l’orienter vers une meilleure adaptation de l’informatique avec le contexte

de leur mission.

2. Organisation de la fonction informatique :

La fonction informatique est une fonction intégrante de

l’organisation de l’entreprise, sa stratégie par conséquence représente

une part de la politique globale de l’entreprise. Il faut souligner que la

gestion de la fonction informatique suit la même logique managerielle des

autres fonctions.

En effet, les responsables de la fonction informatique doivent déterminer

premièrement les objectifs de cette fonction, puis ils doivent procéder à la

planification et l’élaboration des stratégies, ensuite les responsables

doivent se doter du personnel convenable qui va leur permettre de mieux

mener leur mission pour la réalisation des objectifs fixés.

La mise en place des moyens se concrétise par la sélection du

personnel ainsi que de sa formation, également l’engagement de

superviseurs dont le rôle principal est le suivi de la réalisation des

procédures élaborées dans un premier temps, et la motivation du

personnel choisi pour la mission informatique.

Enfin, la description des fonctions est mise à la disposition du

personnel engagé dans le plan d’action stratégique ou opérationnel pour

1 On parle du « Services Level Agreement » SLA : le contrat ou la partie de contrat contenant l’ensemble des engagements du prestataire relativement aux niveaux de services à fournir au client.

4 | P a g e

un meilleur accompagnement. Les objectifs réalisés sont comparés à ceux

fixés au départ pour une meilleure visibilité sur l’accomplissement de la

mission informatique.

L’élaboration de la stratégie du système d’information doit suivre un

cycle qui permet à l’entreprise de fonder une stratégie et de s’améliorer

continuellement. Ceci est illustré dans le schéma ci-après :

Figure 2 : Représentation schématique de la stratégie des systèmes d’information

Source : Advisory, le conseil durable (2009), Efficacité et maitrise du système d’information, PWC,http://pwc.to/z0SjmD

L’organisation de la fonction informatique doit être prise au sérieux

puisqu’elle conditionne l’efficacité et la fiabilité des systèmes

d’information internes ou externes. D’ailleurs la stratégie de la fonction

informatique se base sur les systèmes d’informations. Cette stratégie

s’intéresse à l’organisation des systèmes d’informations, à leurs

performances ainsi qu’aux enjeux stratégiques et à l’architecture des

systèmes d’informations.

5 | P a g e

3. Le système d’information dans la fonction

informatique :

Le système d’information est d’une grande utilité au sein de

l’entreprise, puisqu’il sert d’aide à la décision, il permet en plus d’agir de

manière optimale, de faire des prévisions qui vont orienter les stratégies

élaborés. En adition il sert à contrôler et superviser les différentes activités

de l’entreprise.

Avec la complexité de l’environnement de l’entreprise, les dirigeants

comptent sur un système d’information efficace et fiable pour la création

de la valeur et la réalisation d’un avantage comparatif. Le système

d’information représente l’ensemble de moyens, de ressources,

d’éléments organisés permettant de collecter, saisir, traiter, stocker et

diffuser l’information2.

L’objectif de la mise en place des systèmes d’information se résume dans

leur rôle d’aide à la conception de la stratégie de l’entreprise, ainsi que

celui de la supervision de sa réalisation.

D’ailleurs, la mise en place d’un système d’information permet

d’assurer la continuité de l’activité, de se garantir une information fiable et

efficace à la gestion, et également se permettre d’effectuer des

ajustements au niveau des orientations stratégiques avec grande

souplesse.

2 TOURY A. (2006), Proposition d'une méthodologie pour la conduite des missions d'audit informatique, mémoire présenté pour l’obtention du diplôme national d’expert-comptable, ISCAE, p. 10, http://bit.ly/xFoxoB

6 | P a g e

Figure 3 : Place du système d’information

Source : SEMOUD A. et LAYMY A. (2006), Système d'information, Mémoire de Licence en SciencesEconomiques, Université Hassan II Mohammedia, http://bit.ly/A6HhvY

4. Les caractéristiques d’un système d’information :

Assurer la rentabilité et la pérennité de l’entreprise ainsi que sa

capacité d’évolution fait que les systèmes d’information doivent remplir

des conditions. Un système d’information efficace est un système à la fois

global, ouvert, orienté, et fiable.

Un système d’information global dans le sens où il permet d’avoir

une large couverture fonctionnelle, qui lui permet de centraliser

l’ensemble des flux d’information. Un système d’information global doit

être en adéquation avec l’ensemble des activités de l’entreprise.

Un système d’information doit être aussi ouvert sur les autres

systèmes afin de favoriser l’échange des données informatisées entre les

partenaires, et faciliter les transactions entre les différentes interfaces.

Un système d’information doit également être orienté de manière à

avoir une visibilité claire sur l’ensemble des informations disponibles.

Enfin, il doit être fiable et doté d’un système de sécurité qui va permettre

la protection des données.

7 | P a g e

II- Démarche et outils de l’audit informatique :

1. La notion d’audit informatique :

Un audit informatique consiste en une intervention réalisée par une

personne indépendante et extérieure au service audité, qui permet

d’analyser tout ou une partie d’une organisation informatique, d’établir un

constat des points forts et des points faibles et dégager ainsi les

recommandations d’amélioration.

L’audit informatique est une mission, qui ne demande pas de

simples auditeurs, puisque ces derniers doivent avoir de fortes

connaissances en informatique, car des notions, ainsi que des techniques

sont à cerner pour comprendre et savoir gérer un processus

d’informatisation.

2. La démarche générale d’audit informatique :

Face à la complexité des systèmes informatiques, les cabinets

d’audit internationaux ont développé des méthodologies propres et des

équipes spécialisées dans l’audit informatique. Nous présenterons dans ce

présent travail une méthodologie d’audit informatique dans le cadre d’une

mission d’audit comptable et financier.

Les quatre phases de la démarche d’audit informatique se

présentent comme suit :

Cadrage de la mission ; Compréhension de l’environnement informatique ; Identification et évaluation des risques et des contrôles afférents aux

systèmes ; Tests des contrôles.

2-1- Cadrage de la mission :

Les objectifs du cadrage de la mission se présentent comme suit :

8 | P a g e

Une délimitation du périmètre d’intervention de l’équipe d’audit

informatique. Cela peut être matérialisé par une lettre de mission,

une note interne, une réunion préalable organisée entre les équipes

d’audit financier et d’audit informatique ; Une structure d’approche d’audit et organisation des travaux entre

les deux équipes ; Une définition du planning d’intervention ; Une définition des modes de fonctionnement et de communication.

Lors de cette phase, l’auditeur informatique prendra connaissance

du dossier de l’équipe de l’audit financier (stratégie d’audit, rapports

d’audit interne, points d’audit soulevés au cours des précédents audits).

2-2- Compréhension de l’environnement informatique :

Elle a pour but de comprendre les risques et les contrôles liés aux

systèmes informatiques. Elle peut se faire sur la base notamment, de la

compréhension de l’organisation de la fonction informatique, des

caractéristiques des systèmes informatiques et de la cartographie des

applications. Elle doit permettre de déterminer comment les systèmes clés

contribuent à la production de l’information financière.

A- L’organisation de la fonction informatique :

A ce stade, l’auditeur devra saisir les éléments suivants :

- La stratégie informatique de l’entreprise : il s’agit bien d’un examen du

plan informatique, du comité directeur informatique, des tableaux de

bords etc.

- Le mode de gestion et d’organisation de la fonction informatique : il

s’agit notamment de comprendre dans quelle mesure la structure

organisationnelle de la fonction informatique est adaptée aux objectifs de

l’entreprise. En outre, il faudrait apprécier si la fonction informatique est

sous contrôle du management. A cet effet, il faudrait examiner les aspects

suivants :

L’organigramme de la fonction informatique (son adéquation par

rapport aux objectifs assignés à la fonction, la pertinence du

9 | P a g e

rattachement hiérarchique de la fonction, le respect des principes du

contrôle interne) ; La qualité des ressources humaines (compétence, expérience,

gestion des ressources, formation) ; Les outils de gestion et de contrôle (tableaux de bord, reporting,

contrôles de pilotage) ; Les procédures mises en place (leur formalisation, leur respect des

principes de contrôle interne, leur communication au personnel).

B- Caractéristiques des systèmes informatiques :

L’auditeur devra se focaliser sur les systèmes clés de façon à

identifier les risques et les contrôles y afférents. Ainsi, il faudrait

documenter l’architecture du matériel et du réseau en précisant :

Les caractéristiques des systèmes hardware utilisés (leur

architecture, leur procédure de maintenance, les procédures de leur

monitoring). Les caractéristiques des systèmes software (systèmes d’exploitation,

systèmes de communication, systèmes de gestion des réseaux, de

la base des données et de la sécurité, utilitaires).

C- La cartographie des applications :

La documentation des applications clés devrait être effectuée de

préférence, conjointement par l’équipe de l’audit financier et celle de

l’audit informatique. Les auditeurs financiers identifient les comptes

significatifs compte tenu du seuil de matérialité de la mission.

Les deux équipes recensent les processus qui alimentent ces

comptes. Il reviendra par la suite, à l’équipe d’audit informatique

d’inventorier les applications informatiques utilisées dans ces processus

ainsi que leurs caractéristiques (langage de développement, année de

développement, bases de données et serveurs utilisés).

2-3- Identification et évaluation des risques et des contrôles

afférents aux systèmes :

Il y a lieu d’identifier les risques liés aux systèmes informatiques et

au contrôle dans un environnement informatisé. Ils concernent aussi bien

10 | P a g e

les risques liés aux contrôles généraux informatiques que ceux liés aux

applications.

Se focaliser sur les risques ayant un impact direct ou indirect sur la

fiabilité des états financiers demeure indispensable.

Les risques liés à la fonction informatique sont relatifs à

l’organisation de la fonction informatique, au développement et mise en

service des applications, à la gestion de l’exploitation et à la gestion de la

sécurité.

Une fois ces risques recensés, l’auditeur devra évaluer les contrôles

mis en place par l’entreprise pour gérer ces risques.

2-4- Tests des contrôles :

Les tests des contrôles informatiques peuvent être effectués en

utilisant aussi bien des techniques spécifiques aux environnements

informatisés (contrôles assistés par ordinateurs, revue des codes, jeux de

tests) que des techniques classiques (examen des pièces et documents).

3. Outils d’audit informatique :

On présentera dans cette partie les outils d’audit informatique les

plus répandus, tout en insistant sur leurs avantages et leurs limites

respectives.

3-1- La programmation classique3 :

Elle est basée sur la manipulation d’un langage qui peut être

différent suivant le matériel et le site.

A- Formation à la programmation :

Une formation de base à l’informatique est évidemment nécessaire

pour comprendre et assimiler un langage de programmation.

La formation à l’apprentissage d’un langage nécessite :

3 PETIT G., JOLY D. et MICHEL J. (1985), Audit et informatique : Guide pour l'audit financier des entreprises informatisées, Volume 1, Ed. Paris : CLET, p. 229.

11 | P a g e

Une formation initiale, dont la durée est au minimum de deux à trois

semaines ; L’acquisition de l’expérience, ce qui implique que l’auditeur réalise

régulièrement des programmes.

La mise en œuvre d’un langage de programmation nécessite

également l’apprentissage du langage d’ordres de contrôle pour soumettre

les travaux à l’ordinateur.

B- Contraintes :

La conception, l’écriture et le test d’un programme sont des

opérations longues, même lorsqu’il s’agit de programmes simples. Si

l’auditeur ne pratique pas régulièrement le langage, son temps de «

réadaptation » est un élément supplémentaire dans l’estimation du coût

du test.

L’utilisation d’un langage de programmation permet de résoudre

théoriquement tous les tests d’audit nécessitant une informatisation.

L’investissement en programmation est par contre important mais

amortissable dans le cas de la reconduction des tests que les autres

exercices audités. La difficulté la plus importante concerne la nécessité d’une

formation adéquate des auditeurs si l’équipe d’audit ne dispose pas

d’un informaticien.

3-2- La programmation classique à l’aide de progiciels d’audit4 :

Les progiciels d’audit sont des ensembles de programmes

permettant une programmation simplifiée. Ils peuvent fournir une

collection des modules standardisés pour lesquels seul un paramétrage

est nécessaire.

4 PETIT G., JOLY D. et MICHEL J. (1985), Audit et informatique : Guide pour l'audit financier des entreprises informatisées, Volume 1, Ed. Paris : CLET, p. 230.

12 | P a g e

Le marché des progiciels propose des produits de conception et

d’utilisation très différentes, mais ayant tous pour objectif de limiter le

temps d’élaboration de la programmation.

A- Caractéristiques des progiciels d’audit :

Les progiciels d’audit peuvent appartenir à deux grandes familles :

générateurs de langages, nécessitant une compilation avant exécution et

programmes immédiatement exécutables après interprétation.

Les fonctionnalités prévues dans les progiciels d’audit peuvent être

regroupées en plusieurs catégories :

Générateur d’états, traitant plus ou moins automatiquement :- La lecture des fichiers, avec fusion ou rapprochement entre

fichiers. Ces derniers pouvant être sous forme traditionnelle ou de

base de données ;- La reconnaissance des enregistrements ;- L’application des critères de sélection : opérateurs SI, ET, OU,

NON, EGAL, INFERIEUR, SUPERIEUR ;- L’exécution d’opérations arithmétiques : addition, soustraction,

exponentielle, fonctions trigonométriques… ;- La totalisation automatique des zones numériques ;- Le tri des informations, soit avant traitement, soit après

sélection ;- Edition et mise en page.

Contrôle sur les données :- Contrôles de valeur par rapport à des fourchettes ;- Contrôles spécifiques : Validité des dates, séquences, doublons.

Méthode de stratification et d’échantillonnage basées sur des

approches statistiques. Outils liés à certaines techniques d’audit : comparaison de

programmes, analyse de fichiers créés par le système d’exploitation.

B- Le choix d’un progiciel d’audit :

Les critères de choix sont nombreux, ils portent en particulier sur :

La « transportabilité » du produit, c'est-à-dire la possibilité de

l’utiliser sur n’importe quel site. La facilité d’utilisation, liée à la conception du progiciel et à son

mode de paramétrage. La possibilité d’accéder aux bases de données.

13 | P a g e

La performance, surtout utile en cas d’utilisation systématique et

répétitive.

C- Formation5 :

Bien que d’emploi plus simple qu’un langage de programmation, le

progiciel d’audit demande une formation approfondie, et pouvant être

estimée d’une à deux semaines suivant les spécifications du produit. Une

formation à l’utilisation des ordres de contrôle est également

indispensable.

D- Contraintes :

Le danger principal dans l’utilisation des progiciels est leur facilité

d’emploi : Le programme fonctionne pratiquement sans problème, mais

peut traiter incorrectement les données, suite à un mauvais paramétrage.

Les résultats obtenus peuvent alors être totalement faux sous des

apparences tout à fait justes. L’auditeur doit donc être particulièrement

prudent et mettre en place des contrôles pour tester la validité de ses

travaux.

L’utilisation d’un progiciel est actuellement un moyen efficace et

plus économique pour pratiquer des tests informatisés. Conditionné à la

fois par les types de matériels sur lesquels il doit être implanté et par les

fonctionnalités attendues, le choix du progiciel doit permettre la résolution

du maximum de problèmes envisageables, sans attendre toutefois à ce

qu’il soit l’outil universel.

3-3- Micro-informatique6 :

A- Champ d’application :

Le développement actuel des logiciels sur micro-ordinateur et le coût

de moins en moins significatif du matériel conduisent tout naturellement

5 PETIT G., JOLY D. et MICHEL J. (1985), Audit et informatique : Guide pour l'audit financier des entreprises informatisées, Volume 1, Ed. Paris : CLET, p. 231.

6 PETIT G., JOLY D. et MICHEL J. (1985), Audit et informatique : Guide pour l'audit financier des entreprises informatisées, Volume 1, Ed. Paris : CLET, p. 232.

14 | P a g e

l’auditeur à se préoccuper du phénomène et à envisager l’utilisation de la

micro-informatique.

B- Productivité et micro-ordinateur :

L’utilisation du micro-ordinateur a été développée par certains

cabinets d’audit dans le cadre d’une amélioration de la « productivité », en

faisant le plus souvent appel au traitement de textes et aux tableurs.

Les applications significatives dans ce domaine recouvrent :

La gestion du planning prévisionnel et le suivi des temps,

permettant des synthèses par collaborateur et par dossier ; Le développement de feuilles de travail spécialisées pour : calculs,

répétitifs ou non, comparaisons de données financières entre

plusieurs exercices, calcul de pourcentage, etc. ; Le développement de plans de missions, qui peuvent, via des

modifications mineures, être reconduits d’un exercice à l’autre ; ces

plans sont alors conservés sur des fichiers de traitement de textes ; L’utilisation du traitement de textes pour l’élaboration des rapports ;

le micro-ordinateur pouvant, le cas échéant, être relié à un système

de traitement de textes ; L’utilisation des possibilités graphiques facilitant la compréhension

et l’analyse de certaines données.

3-4- Langages de 4ème génération7 :

A- Définition :

Sous ce vocable sont regroupés des logiciels dont les concepts de

base comprennent :

Un gestionnaire de données ; Un extracteur éditeur généralisé ; Un outil de prototypage d’application ; Des outils d’aide à la décision : tableur, graphisme ; Des macros de langages.

7 PETIT G., JOLY D. et MICHEL J. (1985), Audit et informatique : Guide pour l'audit financier des entreprises informatisées, Volume 1, Ed. Paris : CLET, p. 234.

15 | P a g e

Leur développement va prendre une importance croissante dans les

années à venir. L’auditeur doit donc rapidement prendre en compte ce

nouveau phénomène.

B- Approche de l’auditeur :

Si ces langages de 4ème génération sont utilisés dans tout l’éventail

de leurs possibilités, l’auditeur va disposer d’un outil très complet

d’investigation.

L’approche des systèmes par l’auditeur est facilitée par la présence

de dictionnaires de données généralisés et par des outils de

documentation automatique qui auront l’avantage d’être constamment

tenus à jour.

Ce nouvel environnement implique, de la part de l’auditeur, une

connaissance des outils avant de commencer ses travaux. En particulier,

l’apprentissage de l’utilisation des extracteurs/éditeurs généralisés est

indispensable pour qu’ils puissent pratiquer des analyses de fichiers, les

autres outils n’étant alors plus applicables.

Les langages de 4ème génération vont sûrement bouleverser

l’approche de l’auditeur, qui doit redéfinir sa méthodologie de travail. En

revanche, ces langages lui apportent une souplesse et une efficacité

accrue dans ses interventions.

Face aux besoins de contrôle des systèmes automatisés, l’auditeur

dispose d’une « boite à outils » riche, et extensible en fonction de

l’évolution très rapide des moyens informatiques. Les systèmes automatisés devant une règle générale plutôt qu’une

exception, il est nécessaire que les techniques deviennent

accessibles aux non-spécialistes. Les développements actuels

répondent aux besoins d’accès rapides, faciles et indépendants pour

les utilisateurs des systèmes d’information ; ils correspondent

également aux besoins de l’auditeur et lui apportent, ou

apporteront, une aide précieuse dans le déroulement et l’exécution

des travaux d’audit.

16 | P a g e

III- Normes professionnelles et référentiels de l’audit

informatique :

1. Les normes et référentiels marocains :

L’arsenal législatif marocain en matière d’audit informatique reste maigre

comparé à ce qui se fait à l’étranger. Voyons voir quelques exemples tirés

du code général de la normalisation comptable (CGNC), le code général

des impôts (CGI) et du manuel des normes de l’ordre des experts

comptables marocains (OEC).

Le CGNC par exemple, stipule que l’organisation du traitement

informatique doit obéir aux principes suivants8 :

La chronologie des enregistrements écarte toute insertion

intercalaire ; L’irréversibilité des traitements effectués exclut toute suppression

ou addition ultérieure d'enregistrement ; La durabilité des données enregistrées offre des conditions de

garantie et de conservation prescrites par la loi ; Garantir toutes les possibilités d'un contrôle et donner droit d'accès

à la documentation relative à l’analyse, à la programmation et aux

procédures de traitement.

Par ailleurs, la réglementation en matière fiscale fait référence à la

vérification de la comptabilité par l’administration des impôts. En effet, le

code général des impôts stipule que « si la comptabilité est tenue par des

moyens informatiques ou si les documents sont conservés sous forme de

microfiches, le contrôle porte sur l’ensemble des informations, données et

traitements informatiques qui concourent directement ou indirectement à

la formation des résultats comptables ou fiscaux et à l’élaboration des

déclarations fiscales, ainsi que sur la documentation relative à l’analyse, à

la programmation et à l’exécution des traitements »9.

8 Cabinet Seddik, Le code général de normalisation comptable (CGNC), p. 30, http://bit.ly/xzNMpd

9 Code Général des Impôts 2011, Article 212 du Livre II des procédures fiscales, p. 217.

17 | P a g e

Enfin, la norme 2102 du manuel des normes d’audit légal et

contractuel de l’ordre des experts comptables marocain10, et qui porte sur

l’évaluation du contrôle interne. Celle-ci stipule que l'évaluation du

contrôle interne de la « fonction informatique » (c'est-à-dire, l’ensemble

formé par le service informatique et par les utilisateurs dans leurs

relations avec le service) vise à garantir :

La fiabilité des informations produites ; La protection du patrimoine ; La sécurité et la continuité des travaux.

Ainsi, on remarque que les référentiels en matière de normes

comptables et de droit fiscal ne suivent pas de près l’évolution

technologique et appliquent des généralités à l’audit informatique.

2. Les normes internationales :

2-1- La Fédération internationale des comptables (IFAC) :

La fédération internationale des comptables ou International Federation of

Accountants (IFAC) est « une organisation internationale dont l’objectif

principal est de promouvoir les normes internationales d’audit : ISAs

applicables pour l’audit des états financiers… Parmi ces normes, on trouve

la norme ISA 401 et qui traite de l’audit réalisé dans un environnement

informatique »11.

En effet, la norme 401 stipule qu’un ordinateur est utilisé en règle

générale pour le traitement, le stockage et la communication des

informations financières. Elle fait aussi référence à un certain nombre de

risques, notamment ceux relatifs à l’absence ou l’insuffisance de

séparation des fonctions, d’absence de documentation des applications et

10 Ordre des experts comptables marocains, Manuel des normes, section 000, p. 52, http://bit.ly/za1yro

11 SEKKAT O. (2002), Le rôle de l’expert-comptable face aux risques de sécurité micro-informatique dans les PME – Proposition d’une démarche d’audit, mémoire présenté pour l’obtention du diplôme national d’expert-comptable, ISCAE, p. 63, http://bit.ly/xZFJgX

18 | P a g e

aux erreurs dans le développement et la maintenance des applications et

la possibilité d’accès non autorisés induits par l’utilisation d’un ordinateur.

Ainsi, les ordinateurs peuvent être utilisés par plusieurs personnes et

la mise en place d’un certain nombre de systèmes de protection devient

nécessaire. Ainsi la directive 1001 approuvée en 2001, et qui s’ajoute à la

norme ISA 401 préconise la mise en place d’un certain nombre de mesures

de sécurité telles que12 :

La protection de l’ordinateur et des supports de stockage contre les

risques de vol ou d’accès non autorisés ; La protection des données et programmes contre les risques

d’altération ou d’utilisation de logiciels sans licence ; La continuité des opérations.

Enfin, la directive 1002 adoptée durant la même année a permis

d’intégrer de nouvelles mesures relatives aux ordinateurs interconnectés

en réseaux et sur internet. Celle-ci vise :

A assurer l’intégrité des informations produite et l’absence

d’infection de l’entreprise par des virus ; La mise en place de mots de passes pour l’accès aux logiciels

d’application ; La mise en place de verrouillages du terminal en cas d’inactivité au-

delà d’un certain temps ; La tenue d’un journal de suivi des transactions ; Et un pare-feu au cas où l’entreprise est connectée à internet.

2-2- Objectifs de contrôle de l'Information et des Technologies

Associées (COBIT) :

COBIT (Control Objectives for Information and Related Technology)

est le résultat des travaux collectifs réalisés par les principaux acteurs de

la profession, auditeurs internes ou externes, fédérés au sein de l’ISACA13.

12 Op. Cit., p. 64.

13 Association des professionnels de la vérification et du contrôle des systèmes d'information, basée aux États-Unis est déployée dans les plus grandes villes du monde.

19 | P a g e

Développé en 1996, il a fait l’objet de plusieurs améliorations par la

suite.14

Il s’agit d’un modèle de contrôle permettant de satisfaire les besoins

de gouvernance en matière des technologies de l’information et d’assurer

l’intégrité de ces derniers et des informations qu’ils contiennent.

En effet, les informations doivent répondre à un certain nombre de

critères préconisés par COBIT, et qui se présentent comme suit15 :

Efficacité : réalisation des objectifs fixés ; Efficience : réalisation des processus aux meilleurs coûts ; Confidentialité : l’information est protégée des accès non

autorisés ; Intégrité : l’information correspond à la réalité de la situation ; Disponibilité : l’information est disponible pour les destinataires en

temps voulu ; Conformité : les processus sont en conformité avec les lois, les

règlements et les contrats ; Fiabilité : l’information de pilotage est pertinente.

Par ailleurs, COBIT s’articule autour de cinq axes stratégiques16,

destinés à trois publics différents17 (le management, les utilisateurs et les

auditeurs). Ces axes se présentent comme suit :

L’alignement stratégique : la capacité à fournir les services

souhaités en temps et en heure avec le niveau de qualité requis. Il

14 MOISAND D., GARNIER DE LABAREYRE F. (2009), CobiT : pour une meilleure gouvernance des systèmes d'information, Ed. Paris : Eyrolles, p. 3.

15 Op. Cit., p. 31.

16 MOISAND D., GARNIER DE LABAREYRE F. (2009), CobiT : pour une meilleure gouvernance des systèmes d'information, Ed. Paris : Eyrolles, p. 7.

17 SEKKAT O. (2002), Le rôle de l’expert-comptable face aux risques de sécurité micro-informatique dans les PME – Proposition d’une démarche d’audit, mémoire présenté pour l’obtention du diplôme national d’expert-comptable, ISCAE, p. 70, http://bit.ly/xZFJgX

20 | P a g e

s’agit à ce niveau-là de synchroniser les différents départements de

l’entreprise ; L’apport de valeur : la maîtrise des processus de fonctionnement

en termes d’efficacité et d’efficience ; La gestion des ressources : les ressources pour mesurer l’activité

informatique doivent être optimales pour répondre aux exigences

des métiers ; La gestion des risques : dans certains secteurs, l’activité cœur de

métier de l’entreprise peut être mise en péril en cas d’arrêt ou de

dysfonctionnement de ses systèmes informatiques ; La mesure de la performance : répondre aux exigences de

transparence et de compréhension des coûts, des bénéfices, des

stratégies, des politiques et des niveaux de services informatiques

offerts conformément aux attentes de la gouvernance des systèmes

d’information.

Enfin, COBIT comprend une synthèse qui correspond à une

présentation et définition des concepts et principes, un cadre de référence

qui décrit de façon détaillée 34 processus de management de

l’informatique et 302 objectifs de contrôle détaillés relatifs à ces derniers,

et enfin un guide d’audit qui comprend les points d’audit suggérés pour

chacun des 34 processus afin de faciliter le travail des auditeurs

informatiques.

Ainsi, l’utilisation de COBIT dans les missions d’audit est quasi

immédiate grâce à sa structure de base, aux nombreuses publications qui

viennent détailler encore les objectifs de contrôle et aux outils proposés

sur le marché pour automatiser les contrôles.

Conclusion :

Il paraît évident, à partir de l’ensemble des éléments qu’on a traité

tout au long de ce travail, que l’évolution des systèmes informatiques et

leur intégration inéluctable, à la comptabilité entre-autres, a poussé les

normes d’audit à s’adapter et à introduire des nouveautés.

21 | P a g e

En effet, parmi ces dernières on trouve l’intégration de nouvelles

règles telles que la protection des systèmes informatiques et des réseaux

et l’évaluation de nouveaux risques inhérents à ces systèmes mais aussi

des risques de vols et de piratage des données.

Toutefois, au Maroc les normes et référentiels d’audit informatique

demeurent inadaptés à un domaine en constante évolution, et ce bien que

le législateur marocain s’est forcé à introduire quelques règles en

comptabilité et en matière fiscale. Enfin, contrairement au cas du Maroc,

les pratiques à l’international ont fait l’objet de plusieurs mises-à-niveau,

notamment aux Etats-Unis et en France, afin de suivre l’évolution de

l’informatique.

Bibliographie :

Ouvrages :

22 | P a g e

MOISAND D., GARNIER DE LABAREYRE F. (2009), CobiT : pour une

meilleure gouvernance des systèmes d'information, Ed. Paris : Eyrolles,

274 pages.

PETIT G., JOLY D. et MICHEL J. (1985), Audit et informatique : Guide

pour l'audit financier des entreprises informatisées, Volume 1, Ed. Paris :

CLET, 268 pages.

Thèses :

SEKKAT O. (2002), Le rôle de l’expert-comptable face aux risques de

sécurité micro-informatique dans les PME – Proposition d’une démarche

d’audit, mémoire présenté pour l’obtention du diplôme national d’expert-

comptable, ISCAE, 200 pages, http://bit.ly/xZFJgX

TOURY A. (2006), Proposition d'une méthodologie pour la conduite des

missions d'audit informatique, mémoire présenté pour l’obtention du

diplôme national d’expert-comptable, ISCAE, 174 pages,

http://bit.ly/xFoxoB

SEMOUD A. et LAYMY A. (2006), Système d'information, Mémoire de

Licence en Sciences Economiques, Université Hassan II Mohammedia,

http://bit.ly/A6HhvY

Textes législatifs :

Le code général de la normalisation comptable (CGNC).

Le code général des impôts (CGI) 2011.

Le manuel des normes de l’ordre des experts comptables marocains (OEC).

Webographie :

Advisory, le conseil durable (2009), Efficacité et maitrise du système d’information, PWC, http://pwc.to/z0SjmD

23 | P a g e

http://bit.ly/xPtvUl

Table des matières

24 | P a g e