Proposition de corrigé UE 708 – Audit et système d’information – Session 2007 - Page 1 sur 5

Premier dossier :

1. Quelle distinction peut-on (doit-on ?) faire entre archivage et sauvegarde ?

La sauvegarde ne peut être confondue avec la notion d’archive : une sauvegarde a une vocation
transitoire, elle sera remplacée par une nouvelle version suivant un calendrier qui ne sera interrompu
qu’en cas d’incident grave ; une archive, au contraire, est justement créée pour durer et être conservé
durant une période qui souvent correspond à une obligation légale.

• La sauvegarde : il s’agit de mémoriser différentes versions (ou images) d’un même fichier afin de
pouvoir revenir sur la version -1,-2,…-n lorsque l’on constate une dégradation d’un fichier ou pour
identifier les modifications entre 2 versions. En cas de perte de données, c’est la sauvegarde la plus
« fraîche » qui permet de garantir la continuité du service. La pertinence de la sauvegarde décroît
au fil du temps.

• L’archivage : l’objectif est de constituer un ensemble cohérent d’informations représentatif d’une

période donnée. Le stockage est fait après validation « utilisateurs » de cette période et dans des
conditions techniques qui garantissent une longue conservation sans altération. L’archive est
atemporelle, son utilité est indépendante de son antériorité.

2. Qu’appelle-t-on le périmètre de la sauvegarde ?

L’ensemble des données et programmes du système central doit être globalement sauvegardé, en optant
pour une solution totale : la sauvegarde est la copie pure et simple de l’état du système à un instant. Au
cas où les volumes concernés excédent la capacité des supports, on découpe les sauvegardes en unités
logiques, mais il vaut mieux alors faire appel à des professionnels pour l’organisation de ces procédures.
Enfin, si des données importantes sont stockées sur des stations du réseau, on exécutera des
sauvegardes à distance de ces dernières.

Chaque type de données peut avoir un cycle de sauvegarde distinct, ainsi pour pour chaque cycle de
sauvegarde (C1, …..C4), il est important de déterminer ce qui est sauvegardé et ce qui ne l’est pas :

Périmètre des fichiers sauvegardés : C1 C2 C3 C4

Les programmes des applications

Les données permanentes des applications

Les documents des utilisateurs

Le système d’exploitation du serveur

….

3. Quelle différence y-a-t-il entre une norme et un standard ?

Une norme est un référentiel élaboré en consensus par l’ensemble des acteurs d’un marché :
producteurs, utilisateurs, laboratoires, pouvoirs publics, consommateurs etc..., et reflétant l'état de la
technique et des contraintes économiques à un moment donné.

La norme est un document d'application volontaire et contractuelle.

La Directive 98/34/CE indique que la norme est « une spécification technique approuvée par un
organisme reconnu à activité normative pour application répétée ou continue, dont l’observation n’est
pas obligatoire ... »
Le terme « standard » est souvent utilisé comme synonyme de norme du fait de son usage anglophone.
1
 Proposition de corrigé UE 708 – Audit et système d’information – Session 2007 - Page 2 sur 5

En revanche, pour beaucoup d’auteurs francophones le « standard » n’a pas la reconnaissance officielle
de la « norme ». Il doit être envisagé comme une « norme » de fait, qui a vocation à être validée par
l’organisme en charge de la normalisation.
Pour les anglophones, seul le terme « standard » existe et recouvre les deux sens.

4. Qu’est-ce que le COBIT ?

Développé par l'ISACA (Information System Audit & Control Association) dont l'AFAI (Association
Française de l'Audit et du conseil Informatique) est le correspondant en France, COBIT (Common
Objectives for Business Information Technology) est un référentiel de gouvernance des systèmes
d'information qui couvre 34 processus, répartis en quatre grands domaines :

• planning et organisation,
• acquisition et mise en place,
• fourniture du service et support,
• surveillance.

A partir de ce référentiel général, COBIT donne une liste détaillée de plus de 300 objectifs de contrôle
qui permettent à l'auditeur de cadrer son investigation. COBIT est utilisé comme une base solide de
points de contrôles, il aide à la sélection des zones critiques et à leur évaluation. Même s'il est parfois
nécessaire de le compléter en fonction des spécificités du sujet (pour un audit de sécurité il conviendra
par exemple d'ajouter les aspects propres aux dispositifs de sécurité existants ; il en sera de même pour
tout ce qui a trait au domaine légal et réglementaire), COBIT permet de prendre en compte des points
qui n'auraient pas été évoqués, faute d'y songer ou par manque de connaissances.

Le référentiel d'audit et/ou de contrôle établi à partir de COBIT permet à des auditeurs non
informaticiens de mener de façon professionnelle des audits informatiques intégrés aux audits généraux.
Il sert aussi à établir les questions à dérouler lors des entretiens. Le COBIT apparaît de l'avis général
comme une bonne base pour construire un référentiel métier dans une organisation. Ceci n'exclut pas
pour autant de le compléter par d'autres référentiels plus spécialisés.

Deuxième dossier : l’outil de simulation du contrôleur e gestion

1. Le schéma proposé permet-il d’affecter une ressource à un atelier ?

Pour répondre à cette question il faut se reporter au schéma de l’annexe 1. Dans ce schéma on constate
l’existence d’une cardinalité (1,1) portée par l’entité RESSOURCE pour l’association DISPOSE. Ceci
indique que chaque ressource est bien liée à une seule ligne de production. De même la cardinalité (1,1)
portée par l’entité LIGNE_PRODUCTION vers l’association APPARTIENT indique qu’une ligne de
production est bien rattachée qu’à un seul atelier.

Au final, par transitivité, il est donc possible de passer d’un individu de RESSOURCE à un individu
d’ATELIER.

2. Consommation prévue d’un composant, dont on connaît le code, durant la période de référence du modèle ?

Le schéma conceptuel proposé correspond à une base données dans laquelle figure les tables « utilise »
et « produit » :

utilise ( #code_produit, #code_composant, nb_composant )

produit ( code_produit, nom_produit, unite_produit, quantite_produit, taux_marge )

SELECT sum ( quantite_produit * nb_composant )

FROM utilise, produit
WHERE utilise.code_composant = ‘YYY’
AND utilise.code_produit = produit.code_produit ;

2
 Proposition de corrigé UE 708 – Audit et système d’information – Session 2007 - Page 3 sur 5

3. Le contrôleur de gestion est amené à réaliser de nombreuses simulations avec des hypothèses variées.
Il souhaite pouvoir en garder trace. Que pouvez-vous lui conseiller dans ce sens ? Comment cela
pourrait-il modifier le schéma conceptuel ?

Chaque simulation réalisée peut-être vue comme un scénario doté d’un certain nombre d’attributs :

• Un numéro d’ordre.
• Une date de réalisation.
• Le nom, prénom du concepteur.

Un fichier « plat » reprenant les valeurs des tables correspondant à la simulation constituera la
simulation elle-même.

Une autre approche peut être basée sur la sélection préalable des variables qui sont susceptibles d’être
modifiées dans une simulation, par exemple le coût horaire, le taux de marge ou la quantité produite.
Avec cette approche il est alors possible d’envisager une modification du schéma conceptuel et des
tables correspondantes :

3
 Proposition de corrigé UE 708 – Audit et système d’information – Session 2007 - Page 4 sur 5

Troisième dossier : la procédure des achats de composants

1. Expliquez l’importance de la séparation des fonctions pour cette procédure.

Un principe fondamental du contrôle interne est celui de la séparation des fonctions. Dans ce cas concret
il est fait référence à une fonction « achats », une fonction « réception », une fonction « comptable ».
Le fait que ces fonctions sont confiées à des personnes différentes dans des services distincts permet
d’éviter les risques suivants :

• Collusion avec les fournisseurs

• Atteinte aux biens
• Détournement des paiements

2. Mettez en évidence la cause de la perplexité du directeur financier. Proposez un schéma plus satisfaisant
pour ce dernier. Vous expliquerez les règles du formalisme que vous avez choisi.
Le schéma proposé correspond à un modèle conceptuel des traitements qui ne prend pas en compte les
aspects organisationnels. De la sorte la séparation des fonctions n’apparaît pas.

Pour répondre à ce besoin plusieurs formalismes sont possibles. Le schéma organisationnel des
traitements de la méthode MERISE qui s’inspire du diagramme de circulation des documents est une de
ces réponses.

4
 Proposition de corrigé UE 708 – Audit et système d’information – Session 2007 - Page 5 sur 5

Service Achats Service Réception Service Comptable Fournisseur (externe)

Responsable commercial

Commande

B de commande B de commande B de commande B de commande

Fournisseur X

Acceptation

Livraison

Magasinier

Réception

Rejet livraison

Bon de réception Bon de réception Bon de réception Fournisseur X

Responsable commercial Comptable

5
Proposition de corrigé UE 708 – Audit et système d’information – Session 2007 - Page 6 sur 9