Principe et règles d’audit
Principe et règles d’audit
2.1.
Principe d’audit
Le principe et les règles d’audit suivent logiquement l’exposé précédent. D’abord, comme dans toute branche de l’activité d’une entreprise, l’audit doit exister en informatique, et même davantage en fonction des vulnérabilités et des coûts qu’elle induit. Un audit informatique n’a de sens que si sa finalité est définie : contrôle fiscal, juridique, expertise judiciaire, vérification de l’application des intentions de la direction, examen de l’efficacité ou de la sécurité d’un système, de la fiabilité d’une application, etc.
Objectifs et audit informatiques
67
Exemple.– Une « évaluation du système informatique », pourtant souvent proposée commercialement, n’a aucun sens. Le terme implique une notion de valeur, donc chiffrée, subjectivement avec une référence par conséquent, alors qu’aucune notation n’a de fondement objectif. Ne sont fondées que des approches par aspects sur objets, exprimées concrètement par « tel composant du système, sujet de la mission, présente telles qualités et tels défauts ». PRINCIPE.– Auditer rationnellement est expliciter les finalités de l’audit, puis en déduire les moyens d’investigation jugés nécessaires et suffisants. Pratiquement, c’est apprécier dans un but précis, et une situation concrète observée (le « comment »), l’application du principe et des règles (le « pourquoi »). 2.2. Règles d’audit
Quel que soit le type de l’audit (interne ou externe, contractuel ou légal, etc.), la finalité est toujours de
L’audit informatique
68
porter un jugement sur le management du système d’information et l’exécution de ses objectifs. C’est donc la comparaison entre ce qui est observé (un acte de management ou d’exécution) et ce que cela devrait être, selon un système de références.
• Il est clair que le jugement ne peut se limiter à une
approbation ou plus souvent à une condamnation, qui serait totalement inutile en soi aux audités, mais préciser ce