Audit des ti

520 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
520
Sur SlideShare
0
Issues des intégrations
0
Intégrations
6
Actions
Partages
0
Téléchargements
19
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Le processus d’audit des systèmes d’information englobe la démarche complète d’audit, y compris les processus et les méthodologie approfondie, qui permet à un auditeur des SI d »effectuer l’audit de n’importe quel secteur de l’informatique de manière professionnelle.
    L’objectif est de s’assurer que le candidat au titre de CISA possède les connaissances nécessaires pour offrir des services d’audit conformes aux normes d’audit des TI, afin d’aider l’organisation à protéger et à contrôler ses systèmes d’information.
    Cette section représente 14 % des questions de l’examen CISA (soit environ 28 question).
  • Qualifiée et compétente : Vous avez la qualitication pour conduire un audit. Expertise dans le domaine spécifique à auditer
    Indépendant : L’auditeur n’est pas lié à l’organisation auditée, pas de relation intimes avec le personnel,
    Obtenir et évaluer objectivement les preuves : Les conclusions et recommandations doivent être fondées sur des faits réels et vérifiables
    De votre expertise vous devez fournir des recommandations réalistes et exactes.
  • 1- Le rôle de la fonction d’audit des SI interne doit être établi par une charte d’audit approuvée par la haute direction.
    L’audit des SI peut faire partie de l’audit interne en tant que groupe indépendant ou intégré à l’audit financier et opérationnel pour fournir aux vérificateurs financiers ou de gestion une assurance raisonnable quant à la fiabilité des contrôles des TI.

    2- Si les services d’audit des SI sont offerts par une firme externe, la portée et les objectifs de ces services doivent figurer dans un contrat en bonne et due forme ou dans un énoncé de travaux entre l’organisation contractante et le fournisseur de services.

    Dans les deux cas, pour maintenir son indépendance, la fonction d’audit interne doit être subordonnée à un Comité d’Audit s’il en existe ou à un niveau le plus élevé de la direction.
  • Professionnelle: L’auditeur doit être indépendant de l’audité et ne détenir aucun intérêt dans l’organisation auditée.
    Pas d’attitudes subversive, langage familier, camaraderie, blagues, sortie, …
    Organisationnelle : La fonction d’audit des SI doit être indépendante du département ou de l’activité à contrôler pour atteindre les objectifs visés de la mission d’audit.
  • La charte doit être approuvée par le plus haut niveau de la direction ou par le Comité d’Audit s’il en existe
    Une fois établie, elle ne peut être modifiée que si le changement peut être totalement justifié.
  • La planification à court terme tient compte des sujets d’audit qui seront couverts au cours de l’année, alors que la planification à long terme concerne les plans d’audit qui tiendront compte des questions liées au risque découlant des changements d’orientation stratégique de l’organisation en matière de TI et qui influeront sur l’environnement technologique de l’organisation.

    Conseil : Suivre une procédure étape précises.
  • Q1 = Premier trimestre (Janvier/Février/Mars)
    FERPA est une réglementation pour les écoles et universités publiques au USA.
  • Pour planifier un audit, l’auditeur doit posséder une bonne compréhension de l’environnement global qui fait l’objet d’un examen. Cela inclut une compréhension générale des différentes pratiques et fonctions administratives en relation avec le sujet de l’audit ainsi que des types de systèmes et de technologies d’information qui soutiennent l’activité. Par exemple, l’auditeur doit connaitre à fond le contexte de réglementation qui caractérise l’organisation.
  • La première des choses à faire est d’acquérir la compréhension du métier de l’organisation
    Health Insurance Portability and Accountability Act (HIPAA)
    Directives concernant la protection des renseignements personnels et le commerce électronique à l’intérieur de l’UE
    US Sarbanes-Oxley Act de 2002, qui exige l’évaluation des mesures de contrôle internes des TI d’une organisation
  • L’AR aide l’auditeur à repérer les risques et les vulnérabilités afin de lui permettre d’orienter ses travaux.
    L’AR débouche sur les mesures préventives permettant d’atténuer, annuler ou contrôler les effets négatifs des incidents.
  • Propension au risque : degré de risque résiduel que la haute direction est prête à accepter,
    Méthode de réduction du risque : Mettre fin au risque, Minimiser la probabilité de récurrence, l’incidence, le transfert/assurance.
  • En fonction du dégré de risques, elle aide l’auditeur à sélectionner les zones à étudier.
  • Les objectifs de contrôle internes correspondent au résultat souhaité ou au but à atteindre par la mise en œuvre des activités de contrôle (procédures).
    Par exemple, les objectifs de contrôle comprennent : La sauvegarde des actifs informationnels, la conformité aux politiques de l’organisation et aux prescriptions juridiques, l’autorisation et l’authentification, la confidentialité, l’exactitude et l’intégralité des données, la fiabilité des processus, la disponibilité des services TI, l’efficacité et l’économie des opérations, …
  • En complément du contrôle permanent exercé par les équipes opérationnelles, l’audit intervient de façon ponctuelle dans le cadre du suivi et du pilotage de l’efficacité du système de contrôle interne.
    COSO Committee of Sponsoring Organizations of the Treadway Commission
  • Employer uniquement le personnel qualifié
    Séparer les tâches (facteur dissuasif)
    Contrôler l’accès aux installations physiques
    Utiliser els documents bien conçus (Prévenir les erreurs)
    Etablir les procédures adéquates pour autoriser des opérations
    Utiliser un logiciel de contrôle d’accès qui ne permet qu’au personnel autorisé d’accéder aux fichiers sensibles
    Utiliser un logiciel de chiffrement pour prévenir toute divulgation non autorisée des données.

    Preventive Controls are most important, since they prevent an attack from occurring. Don’t you want to catch the attack before it occurs? Therefore, if you are given a choice of a preventive, detective or corrective control, select the preventive if you can only implement one.
  • Totaux de contrôle
    Point de vérification pour les projets
    Contrôle en écho pour les télécommunications
    Message d’erreur sur les étiquettes de bandes
    Reprise de la vérification des calculs
    Rapport de rendement périodique avec écarts
    Rapport sur le comptes en souffrance
    Fonction d’audit interne
    Examen des registres d’activités pour détecter les tentatives d’accès non autorisées
  • Planification d’urgence
    Procédures de sauvegarde
    Procédures de reprise
  • Distinguer : les contrôles généraux qui regroupent les politiques, les procédures et les pratiques établies par les gestionnaires pour offrir une assurance raisonnable que des objectifs spécifiques sont atteints. Ils s’appliquent à tous les secteurs de l’organisation, y compris l’infrastructure des TI et les services de soutien. (Contrôles comptables internes pour les opérations comptables, contrôles opérationnels en relation avec les opérations, contrôles administratifs en relation avec l’efficacité opérationnelle dans un secteur fonctionnel, les politiques et procédures organisationnelles, les politiques générales pour la conception et l’utilisation des documents et des enregistrements adéquats, les politiques de sécurité logiques et physiques, …)
    Les contrôles des SI qui sont des contrôles généraux convertis en contrôle spécifique pour les TI
  • L’auditeur des SI doit comprendre les divers types d’audits pouvant être effectués, à l’interne ou à l’externe, ainsi que les procédures d’audit qui leur sont associées.
    1- Il Touche à l’intégrité et à la fiabilité des informations financières
    2- EX. Audit des SI portant sur les contrôles d’application ou des systèmes de sécurité
    3- Evaluation des objectifs globaux de l’organisation liés à la sauvegarde, à l’efficacité et à la conformité des informations et des actifs financiers
    4-
  • 1-
    2- Ex conformité au SAS 70 (Statement on Auditing Standards )de l’American institute of Certified Public Accountants
    3- Enquête judiciaire : Analyse des appareils électroniques comme ordinateurs, téléphones, ANP, disques, commutateurs, routeurs, concentrateurs, messagerie, …
  • 1- Circonscrire la zone à auditer
    2- Par ex déterminer si des changements au code source d’un programme surviennent dans un environnement bien défini et contrôlé.
    3- Identifier les systèmes spécifiques, fonctions ou unités de l’org. À inclure dans l’examen.
    4- Identifier les habiletés techniques et les ressources nécessaires
    Identifier les sources d’information pour les tests ou les examens comme les dossiers fonctionnels, les politiques, les normes, les procédures fonctionnelles et les travaux d’audit précédents.
    Identifier les emplacements ou les installations à auditer
    5- Identifier et sélectionner l’approche d’audit pour vérifier et tester les contrôles
    Identifier une liste d’individus à rencontrer
    Identifier et obtenir les politiques de département, les normes et directives pour examen
    Développer les outils d’audit et la méthodologie pour tester et vérifier les contrôles
    6- Spécifique à l’organisation
    7- Spécifique à l’organisation
    8- Identifier les procédures d’examen de suivi
    Identifier les procédures pour évaluer/tester l’efficacité opérationnelle
    Identifier les procédures de test de contrôle
    Examiner et évaluer la validité des documents, politiques et procédures

  • Inhérent : Risque qu’il puisse exister une erreur importante ou significative si elle est combiner à d’autres erreurs rencontrées lors de l’audit en présumant qu’il n’y a aucun contrôle compensatoire
    Echec des contrôles : Risque qu’il existe une erreur importante qui ne soit pas évitée ni détectée en temps opportun par le système de CI.
    Non détection : Risque que l’auditeur des SI utilise une procédure de test inadéquate qui compromette les conclusions de l’audit.
    Global : Combinaison des catégories de risques d’audit ayant été évalués au titre de chaque objectif de contrôle spécifique.
  • 1- Connaissance de l’entreprise et du secteur d’activité, lois et règlementations, Résultats d’audit des années antérieures, Information financières récentes, Evaluation des risques inhérents
    2- Environnement de contrôle, Procédure de contrôle, Etablissement de l’équation du risque total, Evaluation du risque d’échec des contrôles, Evaluation du risque de non détection
    3- Identifier les contrôles clés qui doivent faire l’objet de tests, Effectuer les test sur la fiabilité, la prévention des risques et le respect des politiques et procédures de l’organisation
    4- Procédures analytiques, Test détaillés sur le solde des comptes, Autres procédures d’audit de corroboration
    5- Créer des recommandations, Rédiger le rapport d’audit
  • Are controls in place and consistently applied?
    Access control
    Program change control
    Procedure documentation
    Program documentation
    Software license audits
    System log reviews
    Exception follow-ups


    These are sample objectives and specific tests related to Compliance Testing
    Production software: software that has been through the complete development/testing process (whether internally or by a vendor) and is in use.

    Control: Is production software controlled?
    Test: Are production executable files built from production source files?
    Test: Were proper procedures followed in their release?

    Control: Is Sales DB access constrained to Least Privilege?
    Test: Are permissions allocated according to documentation?
    Test: When sample persons access DB, can they access only what is allowed?
  • Are transactions processed accurately?
    Are data correct and accurate?
    Double check processing
    Calculation validation
    Error checking
    Operational documentation
    If Compliance results are poor, Substantive testing should increase in type and sample number


    Here are some sample tests for Substantive Testing.

    Audit: Is financial statement section related to sales accurate?
    Test: Track processing of a sample transactions through the system, performing calculations manually
    Test: Test error conditions

    Audit: Is tape inventory correct?
    Test: Search for sample days and verify complete documentation and tape completeness
  • 1- La preuve obtenue d’une source extérieure est plus fiable que celle qui provient de l’intérieur de l’organisation. (Ex lettre de confirmation pour vérifier les soldes de créances)
    2- Considérer les titres et qualités, ainsi que les renseignements fonctionnelles des fournisseurs de preuves.
    3- Les preuves objectives sont plus fiables que les preuves qui demandent beaucoup plus de jugement ou une grande interprétation.
    4- L’auditeur des SI doit considérer le temps pendant lequel les renseignements existent ou sont disponibles lors de la détermination de la nature, du calendrier et de la portée des tests de conformité, et au besoin, des tests de corroboration.
  • l’observation et l’entretien avec le personnel dans l’exécution de leurs tâches aide l’auditeur des SI à identifier : Les fonctions réelles, les procédés et procédures réelles, la sensibilisation à la sécurité, les rapports hiérarchiques, …
  • Leur utilisation expose au risque d’échantillonnage = risque que l’auditeur tire des conclusion erronés de l’échantillon.
    L’échantillonnage statistique permet à l’auditeur de quantifier la probabilité d’erreur (Coefficient de confiance)
  • Plusieurs outils de collecte et d’analyse de données à disposition de l’auditeur.
  • Sécurité d’un routeur CISCO : Cisco Security MARS
    Audit de la sécurité d’un poste de travail : Microsoft Baseline Security Analyzer
    Audit des process opérationnels : MS Great Plain
  • Lors d’un atelier, le rôle du facilitateur est d’appuyer le processus décisionnel. Il crée un environnement favorable pour aider les participants à explorer leurs propres expériences et celles des autres, à déterminer les forces et faiblesses des contrôles et à partager leurs expériences, idées et préoccupations.
    Le facilitateurs ne doit pas être nécessairement un spécialiste de certains procédés ou sujet mais doit toutefois avoirs des compétences de base telles que : les aptitudes pour l’écoute active et habileté à poser de bonnes questions, y compris des questions pour analyser le sujet et faire avancer la discussion, de bonnes aptitudes pour la communication orale, y compris la capacité de poser des questions d’une façon non intimidante et à résumer le contenu, habileté à gérer la dynamique de groupe y compris gérer diverses personnalités pour éviter que certains membres dominent la discussion et gérer les processus pour atteindre les objectifs, Habileté à résoudre les conflits, capacité à bien gérer le temps pour respecter l’horaire des procédures.
  • L’auditeur joue le rôle de facilitateur dans le processus d’auto évaluation des contrôles
  • Traces inclus dans les ERP, les SE et les progiciels de sécurité réseau.
  • B
  • A
  • A
  • C La charte d’audit approuvée décrit les responsabilités, l’autorité et l’obligation de rendre compte de l’auditeur.
    La délimitation de l’audit se rapporte à un audit unique et n’accorde aucune autorité d’effectuer un audit.
    Une requête d’effectuer un audit de la part de la direction n’est pas suffisante, car elle se rapporte à un audit précis.
    L’échéancier d’audit approuvé n’accorde pas l’autorité d’effectuer un audit.
  • C Les risques inhérents existent indépendamment d’un audit et peuvent survenir à cause de la nature de l’entreprise. Pour réussir un audit, il est important de connaître les processus de gestion associés au type d’entreprise. Pour effectuer un audit, l’auditeur SI doit comprendre le processus de gestion. Il comprendra alors mieux les risques inhérents
  • A Une approche d’audit fondé sur le risque met l’accent sur la compréhension de la nature de l’entreprise et sur la capacité de déterminer et de catégoriser les risques. Les risques de gestion ont une influence sur la viabilité à long terme de l’entreprise. Ce faisant, l’auditeur des SI qui utilise l’approche d’audit fondé sur le risque doit être en mesure de comprendre les processus de gestion.
  • C Le risque inhérent correspond au risque qu’une erreur existe qui pourrait être importante ou significative lorsqu’elle est jumelée à d’autres erreurs découvertes durant l’audit, sans égard à l’existence des contrôles.
    Le risque d’échec des contrôles est le risque qu’une erreur importante existe et qu’elle ne soit pas évitée ou détectée à temps par le système de contrôle interne.
    Quant au risque de non détection, c’est le risque qu’un auditeur des SI utilise une procédure de test inadéquate qui conclut, de façon erronée, à l’inexistence d’erreurs importantes.
    Le risque aléatoire représente le risque que des suppositions incorrectes soient faites à propos des caractéristiques d’une population dans laquelle un échantillon a été prélevé.
  • D l’auditeur des SI n’est pas supposé ignorer les faiblesses des contrôles uniquement parce qu’elles sont hors de la portée de la revue prévue. De plus, la réalisation d’une revue détaillée des logiciels systèmes peut nuire à l’échéancier de l’audit, et l’auditeur des SI peut ne pas avoir la compétence technique pour faire une telle revue. Si l’auditeur a découvert des faiblesses relatives dans les contrôles, il doit les dévoiler. En émettant un avis de non-responsabilité, la responsabilité serait abandonnée. L’option appropriée serait donc de faire la revue des logiciels systèmes pertinents, puis de recommander une revue détaillée des logiciels systèmes en suggérant d’y accorder des ressources supplémentaires.
  • B Les enjeux à court et à long termes qui motivent la planification d’audit peuvent être fortement influencées par des changements à l’environnement de risque et aux processus administratifs de l’entreprise. La planification du déploiement des ressources d’audit disponibles est déterminée par les tâches d’audit prévues, qui dépendent à leur tour du processus de planification.
    La charte d’audit reflète le mandat de la haute direction envers la fonction d’audit et se trouve à un niveau plus abstrait.
    Les normes directives et procédures d’audit des SI s’appliquent universellement à toutes les missions d’audit et ne sont influencées par aucun enjeu à court ou à long terme
  • B Les ateliers dirigés fonctionnent bien au sein des entités. L’information pour le déroulement des opérations et le diagramme du flux des données ne serait pas aussi efficaces puisqu’ils ne détermineraient ni n’évalueraient pas nécessairement tous les problèmes de contrôle. Pour la même raison, les évaluations informelles des pairs seraient moins efficaces.
  • C La première étape de planification de l’audit est d’acquérir une compréhension de la mission, des objectifs et de la raison d’être de l’entreprise. En retour, ces éléments déterminent les politiques, normes, lignes directrices et procédures ainsi que la structure de l’organisation.
    Tous les autres choix dépendent d’une compréhension en profondeur des objectifs et de la raison d’être de l’entreprise
  • A La norme de planification (S5) établit les directives au sujet de la planification d’un audit. Elle exige une approche fondée sur le risque.
  • C Un contrôle correctif aide à corriger ou à minimiser les conséquences d’un problème. Les copie de sauvegarde peuvent être utilisées pour récupérer les fichiers en cas de dommages, ce qui réduit l’impact d’une altération.
    Les contrôles préventifs préviennent les problèmes avant qu’ils ne surviennent. Les copies de sauvegarde ne peuvent être utilisées pour éviter les dommages causés aux fichiers; donc elle ne constituent pas un contrôle préventif.
    Les contrôles de gestion modifient les systèmes de traitement afin de réduire la récurrence du problème. Les copies de sauvegarde ne modifient pas les systèmes de traitement; donc elles ne correspondent pas à la définition du contrôle de gestion.
    Les contrôle de détection aident à détecter et à signaler les problèmes à mesure qu’ils surviennent. Les copies de sauvegarde ne contribuent pas à détecter les erreurs.
  • 3. While answers 1 and 2 may also be performed with GAS, answer 3 is the most appropriate and generalized answer.
  • 1= Overlapping Control
    2= Compensating Control
    3= Countermeasure
    4= Corrective Control
    Discussion: Name each control type for 1-4.
  • 4 – Risk. Management recommendations is not appropriate because it lacks auditor independence. ISACA may provide suggestions, but the audit itself must be company-specifc.
  • 2 – Detective Control
  • 2 – Learn about the organization. This includes how the organization operates, applicable legislation, previous audit results. Risk assessment is performed in step 2, while preparing Audit objectives and scope occur in step 3. Study ISACA audit recommendations may occur in step 4.
    Discussion: Why might other steps not do well first?
  • 4. Integrated audit.
  • 4
  • 2 Control risk.
    4 is not a real risk type
  • Compliance Test
    3 and 4 are not test types.
  • 1: Inherent risk
    2: Control risk
    3: Detection risk
    4: Not a risk: controls can be changed to catch this.
  • Audit des ti

    1. 1. CISA Le Processus d’audit des SI
    2. 2. Objectifs A la fin de cette leçon ,vous serez capable de :  Définir les risques d’audit: risque inhérent, risque d’échec des contrôles, risque de non détection, risque global.  Distinguer les tests de conformité et les test de corroboration.  Définir les types de contrôle: Préventif, de détection, de correction  Décrire les types d’échantillonnage: statistique et discrétionnaire.  Décrire les types d’audit: financier, opérationnel, SI, intégré, Investigation légale  Décrire TAAO, Auto évaluation des contrôles, Audit continu.  Décrire les étapes d’un audit typique, Approche d’audit fondée sur le risque.
    3. 3. Définitions (L’audit & les Auditeurs)  Audit : Evaluation d’un système, d’un processus, d’un projet ou d’un produit d’une organisation.  Auditeur : Personne qualifiée, compétente et indépendante fournissant avec objectivité un service d’audit dans le but de rendre un rapport.
    4. 4. Deux types d’auditeur  Interne: Employé d’une organisation ayant pour rôle d’analyser et d’évaluer le système de contrôle interne.  Externe : Auditeur provenant d’une firme d’audit indépendante de l’organisation auditée.
    5. 5. Qualifications de l’auditeur :  Indépendance professionnelle  Indépendance organisationnelle  Adhésion à un code professionnel d’éthique  Détient les compétences et aptitudes nécessaires pour l’exécution de l’audit  Maintient ses connaissances techniques à jour (CPE)
    6. 6. Définition : Audit SI / IT  Analyse partielle ou exhaustive du fonctionnement d'un centre de traitement et de son environnement  Débouche sur un diagnostic précisant  l'adéquation des ressources matérielles et humaines aux besoins de l'entreprise  l'adéquation des résultats obtenus en regard des moyens engagés  l'adéquation des moyens en regard de la législation
    7. 7. Charte d’audit  Le rôle de la fonction d’audit des SI est établi par la Charte d’Audit. L’audit SI peut faire partie de l’audit interne en tant que groupe indépendant ou intégré à l’audit financier et opérationnel.  La charte d’audit doit énoncer clairement:  Les objectifs et les responsabilités de la direction pour la fonction d’audit des SI.  La délégation de pouvoir de la direction à la fonction d’audit.  L’autorité, la portée et les responsabilités globales de la fonction d’audit.  L’organisation de la fonction d’audit
    8. 8. Planning d’audit  Court terme : Généralement dans un an.  Long terme : Plus d’un an (5, 10, 15, …) Analyser les enjeux à court et long termes: • Les changement dans l’environnement affectant le niveau de risque; • L’évolution des technologies et des processus administratifs; • L’amélioration des méthodes d’évaluation; • Nouvelles réglementations applicables.
    9. 9. Planning d’audit (Exemple) Domaine à auditer Période Date dernier audit Responsabilité Procédures et politique d’enregistrement Q1 Jamais Auditeur Interne Plan de continuité Q2 2005 DSI, Consultant Sécurité FERPA : Interview du personnel Q3 Jamais Auditeur Interne IT : Test de pénétration Q4 2006 DSI, Consultant Sécurité
    10. 10. Etapes de planification d’un audit.  1- Acquérir la compréhension de la mission.  2- Réaliser une analyse des risques  3- Etablir la portée et les objectifs d’audit  4- concevoir l’approche ou la stratégie d’audit  5- Affecter les ressources aux tâches d’audit;  6- Prévoir la logistique du mandat
    11. 11. Acquérir la compréhension de la mission  Lire les documents de référence tels que les publications de l’industrie, les rapports annuels et les rapports d’analyse financières;  Etudier les rapports d’audit antérieurs ou les rapports concernant les TI;  Consulter les plans stratégiques à long termes relatifs au TI et aux activités de l’organisation;  Discuter avec les responsables clés pour comprendre les enjeux commerciaux;  Déterminer les règles spécifiques applicables aux TI;  Déterminer les fonctions des TI ou des activités qui y sont liées et qui ont été imparties;  Visiter les installations importantes de l’organisation.
    12. 12. Analyse des risques (Déf.)  Risque : La possibilité qu’une menace données exploite la vulnérabilité d’un actif ou d’un groupe d’actifs et cause ainsi un préjudice à l’organisation (ISO/IEC PDTR 13335-1).  Analyse de Risque : Technique d’identification et d’évaluation des facteurs susceptible de compromettre un processus ou un objectif.  L’AR = Evaluation -> Atténuation -> Ré évaluation.
    13. 13. AR Evaluer les contre-mesures  Analyse coût / bénéfices : Choisir les méthodes de gestion des risques adéquates en se basant sur :  Le coût de la mesure de contrôle en comparaison au degré de réduction du risque;  La propension de la haute direction au risque  Les méthodes de réduction du risque privilégiées
    14. 14. Analyse des Risques (Objectifs)  Permet de repérer les risques et les menaces pour un environnement SI et les contrôles internes.  Aide à évaluer les mesures de contrôle lors de la planification de l’audit.  Aide à déterminer les objectifs de l’audit;  Aide à prendre les décisions en rapport avec l’audit fondé sur le risque.  Permet d’implémenter les meilleures mesures de contrôle interne
    15. 15. Contrôle Interne  Structures organisationnelles, politiques, procédures et pratiques implémentées pour réduire les risques.  Donne à la direction une assurance raisonnable que les objectifs seront atteints et que le risque sera évité ou détecté et corrigé.  Permettent non seulement d’atteindre les objectifs de l’organisation, mais traitent également les évènements indésirables par la prévention, la détection et la correction.  Classifiés préventifs, détection et correction.
    16. 16. Contrôle Interne (COSO) processus intégré mis en œuvre par les responsables et le personnel d’une organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de l’organisation, des objectifs de l’entreprise. • réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) • respect des obligations de rendre compte; • conformité aux lois et réglementations en vigueur; • protection des ressources contre les pertes, les mauvais usages et les dommages.
    17. 17. Contrôle préventif  Détecte les problèmes avant qu’ils ne surviennent  Surveille les activités et les entrées  Tenter de prédire les problèmes potentiels avant qu’ils ne surviennent et effectuer les ajustements.  Prévenir les erreurs, les omissions ou les actes malveillants
    18. 18. Contrôle de détection  Détecte et rapporte toute occurrence d’erreur, omission ou acte malveillant.
    19. 19. Contrôle de Correction  Minimiser l’impact d’une menace  Remédier aux problèmes découverts par les contrôles de détection  Identifier les causes des problèmes  Corriger les erreurs causées par un problème  Modifier les systèmes de traitement pour minimiser les occurrences futures des problèmes
    20. 20. Contrôle internes (Objectifs)  La sauvegarde des actifs informationnels  L’intégrité de l’environnement des SI  L’identification et l’authentification approprié de l’utilisateur d’une ressource SI  L’efficacité et l’efficience des opération liés au SI  La disponibilité des services SI  L’amélioration de la protection des données et des systèmes  L’assurance de l’intégrité et de la fiabilité des systèmes par l’implémentation des procédures de gestion du changement efficaces.
    21. 21. Classification des Audits  Financier : Evaluation de l’exactitude des états financiers d’une organisation.  Opérationnel : Evaluation de la structure de contrôle interne d’un processus ou d’un domaine donné.  Intégré : Combine les étapes des audits financiers et opérationnels.  Administratif : Evaluation des enjeux liés à l’efficacité de la productivité opérationnelle au sein d’une organisation.
    22. 22. Classification des Audits (Suite)  SI : Evaluation des preuves afin de déterminer si les SI et les ressources liées protègent adéquatement les actifs informationnel d’une organisation.  Spécialisés : Audit SI de conformité lié à un service externe ou un standard.  Investigation légale : Audit spécialisé dans la découverte, la divulgation et le suivi des fraudes et des crimes.
    23. 23. Etapes d’un Audit Typique  1- Sujet d’audit  2- Objectif de l’audit  3- Portée de l’audit  4- Planification avant Audit  5- Procédures d’audit et de collecte de données  6- Procédures d’évaluation des tests ou des résultats d’examen  7- Procédures de communication avec la direction  8- Préparation du rapport d’audit
    24. 24. Risque d’audit  Se définit comme le risque que les renseignements puissent contenir une erreur importante qui pourrait ne pas être détectée lors de la vérification.  Risque inhérent  Risque d’échec des contrôles  Risque de non détection  Risque global
    25. 25. Démarche d’audit axé sur le risque  1- Recueillir les renseignements et planifier  2- Comprendre les contrôles internes  3- Effectuer les tests de conformité  4- Effectuer les test de corroboration  5- Conclure l’audit
    26. 26. Test de conformité # Test de corroboration  Les test de conformité consistent à recueillir des preuves dans le but de tester la conformité d’une organisation avec les procédures de contrôle.  Les tests de conformité détermine si les contrôles sont appliqués d’une façon qui respecte les procédures et les politiques de la direction.  L’objectifs est de fournir à l’auditeur des SI l’assurance raisonnable que le contrôle particulier sur lequel il entend se fier fonctionne comme il l’avait observé lors de l’évaluation préliminaire.
    27. 27. Test de conformité vs Test de corroboration  Les tests de corroboration consistent à recueillir les preuves pour évaluer l’intégrité des transactions individuelles, de données ou d’autres renseignements.  Les tests de corroboration fournissent des preuves de la validité et de l’intégrité des soldes dans les états financiers et des transactions à l’appui de ces soldes.
    28. 28. Preuve  Renseignements utilisé par l’auditeur pour déterminer si l’entité ou les données vérifiés respectent les critères ou les objectifs établis.  La preuve peut comprendre les observations de l’auditeur, les notes prises lors des entretiens, du matériel tiré de la correspondance, de la documentation interne ou des contrats avec les partenaires externes, ou les résultats des procédés de vérification.
    29. 29. Critères de fiabilité de la preuve  Indépendance du fournisseur de la preuve  Titre et qualité du fournisseur de la preuve  Objectivité de la preuve  Echéancier de la preuve
    30. 30. Techniques de collecte de preuves  Observations (Organisation, Personnel, Procédé)  Revue des politiques, procédures et standards  Documentation SI  Entretien avec le personnel compétents  Utilisation d’autres auditeurs ou experts  Echantillonnage (statistiques / discrétionnaires)  Techniques d’audit assistées par ordinateur
    31. 31. Echantillonnage  Statistique : Utilisation d’une méthode objective pour déterminer la taille de l’échantillon et les critères de sélection.  Discrétionnaire : Utilisation du jugement (appréciation) de l’auditeur pour déterminer la méthode d’échantillonnage, la taille de l’échantillon et les critères de sélection.
    32. 32. TAAO  Les TAAO sont des outils important pour recueillir et analyser les renseignements des systèmes possédant des environnements matériels et logiciels, des structures de données, des structures d’enregistrement ou des fonctions de traitement qui sont différentes.  Ils fournissent un moyen d’accéder aux données et de les analyser au regard d’un objectif d’audit prédéterminé, et de faire rapport des constatations de l’audit en mettant l’accent sur la fiabilité des enregistrements produits et gérés par le système.  La fiabilité de la source d’information utilisée permet de rassurer quant aux constatations énoncées.
    33. 33. Avantage des TAAO  Réduit le niveau du risque d’audit  Accroit l’indépendance des audités  Rapide disponibilité de l’information  Opportunité de quantifié les faiblesses d’un système de CI  Réduction des coûts liés au temps
    34. 34. TAAO (documents à conserver)  Rapport en ligne qui détaillent les questions à haut risque à examiner  Listages de programmes commentés  Organigrammes  Rapports échantillons  Disposition d’enregistrement et les descriptions de fichiers  Définition des champs  Instruction d’utilisation  Description des documents sources applicables
    35. 35. Auto évaluation des contrôles  Technique de gestion qui informe les actionnaires, clients et autres parties quant à la fiabilité du système de contrôle interne de l’organisation.  Méthodologie utilisée pour réviser les objectifs clés de l’entreprise, les risques liés à l’atteinte des objectifs de l’entreprise et les CI conçus pour gérer ces risques.  Ensemble d’outils dont le degré de sophistication va du simple questionnaire aux ateliers dirigés.
    36. 36. Avantages de l’AEC  Détection précoces des risques  Amélioration de l’efficacité des CI  Création de la cohésion des équipes grâce à la participation des employés  Développement, chez les employés et les propriétaires des contrôles, d’un sentiment d’appartenance relativement à ces contrôles et diminution des leur résistance face aux changement  Réduction des coûts du contrôle  Garantie donnée aux actionnaires et aux clients quant à la fiabilité.  …..
    37. 37. Inconvénients de l’AEC  Peut être perçue comme le remplacement d’une fonction d’audit.  Peut être perçue comme une charge de travail.  En cas de l’échec des améliorations suggérées, peut nuire au moral des employés.  Le manque de motivation peut nuire à la détection des contrôles insuffisants.
    38. 38. Audit continu  Méthode qui permet aux auditeurs indépendants de donner par écrit une assurance à propos d’un sujet à l’aide d’un ensemble de rapports d’audits produits en même temps ou peu après l’évènement relatif au sujet.  Le but est de fournir une plate-forme plus sécuritaires pour éviter les fraudes et un processus en temps réel qui garantit un niveau élevé de contrôle financier
    39. 39. Communication des résultats d’audit  Discuter des conclusions et des recommandations avec la direction lors de l’entrevue finale.  La présentation peut être un résumé ou une présentation visuelle.  Discuter avec le personnel de gestion de l’organisation afin d’arriver à un accord au sujet des conclusions et d’élaborer un plan d’actions correctives.  Le rapport d’audit n’a pas de format précis  Doit suggérer dés échéanciers pour la mise en œuvre des recommandations acceptées.
    40. 40. Question type examen  Une distinction qui peut être faite entre un test de conformité et un test de valeur est :  A. Les tests de conformités portent sur les détails alors que les tests de valeurs portent sur les procédures.  B. Les tests de conformité portent sur les contrôles alors que les tests de valeur portent sur les détails  C. Les tests de conformités portent sur les plans alors que les tests de valeur portent sur les procédures  D. Les tests de conformité portent sur les exigences réglementaires alors que les tests de valeur portent sur les tests de validation.
    41. 41. Question type examen  Une distinction importante qu’un auditeur informatique doit faire en évaluant et en classant les contrôles en contrôles de types préventif, de détection, correctif est :  A. L’endroit où l’on applique les contrôles sur les données en circulation dans le système.  B. Seuls les contrôles de prévention et de détection présentent un intérêt.  C. Les contrôles correctifs ne sont que des contrôles compensatoires.  D. Une classification permet à un auditeur informatique de déterminer les contrôles manquants.
    42. 42. Question type examen  Le bénéfice principal pour une organisation qui utilise des techniques d’auto évaluation des contrôles résulte de ce qu’elle :  A. Peut identifier les zones à risques élevés qui pourrait nécessiter ultérieurement une revue détaillée.  B. Permet aux auditeurs informatiques d’évaluer les risques de façon indépendante.  C. Peut être utilisée pour remplacer les audits traditionnels.  D. Permet à la direction d’abandonner sa responsabilité en ce qui concerne les contrôles.
    43. 43. Question type examen  Lequel des éléments suivants constitue une autorisation d’entreprendre un audit des SI?  A. La délimitation de l’audit, y compris ses buts et objectifs.  B. Une requête d’effectuer un audit de la part de la direction.  C. La charte d’audit approuvée.  D. L’échéancier d’audit approuvé.
    44. 44. Question type examen  Dans l’exécution d’un audit en fonction du risque, quelle évaluation des risques est d’abord complétée par l’auditeur des SI?  A. L’évaluation des risques de non-détection  B. L’évaluation des risques d’échec des contrôles  C. L’évaluation des risques inhérents  D. L’évaluation des risques de fraude
    45. 45. Question type examen  Dans l’élaboration d’un programme d’audit axé sur le risque, sur lequel des éléments suivants un auditeur des SI porterait-il probablement le PLUS son attention ?  A. Les processus d’entreprise  B. Les applications essentielles des TI  C. Les contrôles opérationnels  D. Les stratégies d’entreprise
    46. 46. Question type examen  Lequel des types de risques d’audit suivants présume une absence de contrôle compensatoire dans le domaine examiné ?  A. Risque d’échec des contrôles  B. Risque de non détection  C. Risque inhérent  D. Risque d’échantillonnage
    47. 47. Question type examen  Un auditeur des SI effectuant un examen des contrôles d’une application découvre une faiblesse dans les logiciels systèmes qui pourrait avoir une incidence importante sur l’application. L’auditeur des SI doit :  A. ne pas tenir compte de ces faiblesses, puisque l’examen des logiciels systèmes dépasse la portée de cet examen.  B. mener un examen détaillé des logiciels systèmes et faire état des faiblesses de contrôle.  C. inclure dans le rapport une déclaration que la vérification se limitait à l’examen des contrôles de l’application.  D. examiner les contrôles des logiciels systèmes, ceux-ci étant pertinents, et recommander un examen détaillé des logiciels systèmes.
    48. 48. Question type examen  Parmi les raisons suivantes, laquelle est la PLUS importante raison de revoir le processus de planification d’audit à des intervalles périodiques ?  A. Pouvoir planifier le déploiement des ressources d’audit disponibles.  B. Pouvoir tenir compte des changements à l’environnement de risque.  C. Pouvoir alimenter la documentation de la charte d’audit.  D. Pouvoir cerner les normes d’audit des SI applicables.
    49. 49. Question type examen  Lequel des éléments suivants est le PLUS efficace pour mettre en œuvre un système d’autoévaluation des contrôles au sein des entités ?  A. Revues informelles avec les pairs  B. Ateliers dirigés  C. Diagrammes descriptifs du flot de traitement  D. Diagrammes de flot de données
    50. 50. Question type examen  La PREMIERE étape de planification d’un audit est de :  A. définir les livrables de l’audit  B. Finaliser la portée et les objectifs de l’audit  C. acquérir une compréhension des objectifs de l’entreprise  D. concevoir l’approche pour l’audit ou la stratégie d’audit.
    51. 51. Question type examen  L’approche que doit utiliser un auditeur des SI pour planifier la couverture de l’audit des SI doit se baser sur :  A. le risque  B. l’importance relative  C. le scepticisme professionnel  D. le caractère suffisant des éléments probants de l’audit
    52. 52. Question type examen  Une entreprise effectue une copie de sauvegarde quotidienne des données critiques et des logiciels, et entrepose cette copie dans une installation externe. La copie de sauvegarde est utilisée pour restaurer les fichiers en cas d’interruption. Il s’agit de :  A. Un contrôle préventif  B. Un contrôle de gestion  C. Un contrôle correctif  D. Un contrôle de détection
    53. 53. Question type examen The PRIMARY purpose of generalized audit software (GAS) is to: 1. Find fraudulent transactions 2. Determine sample mean compared to population mean 3. Extract data for a Substantive Test 4. Organize an audit report
    54. 54. Question type examen A Compensating Control is defined as 1. Two strong controls address the same fault 2. A fault is addressed by a weak control and strong control in another area 3. A control addresses a specific problem 4. A control that fixes the problem after it is detected
    55. 55. Question type examen An IS auditor should plan their audit approach based upon: 1. Materiality 2. Management recommendations 3. ISACA recommendations 4. Risk
    56. 56. Question type examen A Hash Total is maintained on each batch file to ensure no transactions are lost. This is an example of a 1. Preventive Control 2. Detective Control 3. Compensating Control 4. Corrective Control
    57. 57. Question type examen The FIRST step that an auditor should take is: 1. Prepare the Audit Objectives and Scope 2. Learn about the organization 3. Study ISACA audit recommendations for the functional area 4. Perform a risk assessment
    58. 58. Question type examen An audit that considers how financial information is generated from both a business process and IS handling side is known as: 1. Financial audit 2. Operational audit 3. Administrative audit 4. Integrated audit
    59. 59. Question type examen An auditor over-tests (tests a greater percent than actually exist) samples that are expected to be most risky 1. Variable Sampling 2. Attribute Sampling 3. Statistical Sampling 4. Non-statistical Sampling
    60. 60. Question type examen The possibility that a router does not catch spoofed IP addresses is known as a 1. Inherent risk 2. Control risk 3. Detection risk 4. External risk
    61. 61. Question type examen Testing a firewall to ensure that it only permits web traffic into the DMZ is known as 1. Compliance Test 2. Substantive Test 3. Detection Test 4. Preventive Test
    62. 62. Question type examen An inherent risk for a school would be: 1. Students trying to hack into the system to change grades 2. A firewall does not catch spoofed IP addresses 3. An audit does not find fraud which actually exists 4. People do not change their passwords regularly
    63. 63. Remerciements  Pour IBT ( Institute of Business and Technologies)  BP: 15441 Douala - Cameroun  Par Arsène Edmond NGATO, CISA, CISM, PMP, OCP 10g/11g  Téléphone- 99183886  Email- arsenengato@yahoo.fr  Sources : Manuel de préparation CISA 2012, Divers articles téléchargés sur Internet.

    ×