Les guides d’audit TI
de l’ISACA

ISACA Chapitre Québec
4 décembre 2013
Présentateur

Javier Bentancur, CISA, MBA
javier.bentancur@isaca-quebec.ca
http://ca.linkedin.com/in/javierbentancur

4 dé...
L’association ISACA
1969 : «EDP Auditors Association»
1984 : APVCSI à Québec
1998 : ITGI
2013 :
o
o

+ de 110.000 membres ...
Objectifs
Expliquer les guides d’audit TI d’ISACA et leur
contexte d’utilisation.
Présenter des exemples des guides.
Intro...
Les guides d’audit TI de l’ISACA
Normes d’audit TI et d’assurance (ITAF v2)
o

Normes et directives

Outils et techniques
...
Les normes d’audit TI et
d’assurance (ITAF v2)
Les normes

Les directives
Les normes
Définition :
o

Lignes directrices qui encadrent les professionnels
de l’audit TI et de l’assurance.

Obligatio...
Structure des normes
Générales
(série 1000)
Performance
(série 1200)

• Conduite de la mission

Rapport
(série 1400)
4 déc...
Liste des normes
Générales
o
o
o
o
o
o
o
o

1001 : Charte d’audit
1002 : Indépendance de l’organisation
1003 : Indépendanc...
Liste des normes
Performance
o
o
o
o
o
o
o

1201 : Planification de la mission
1202 : Évaluation du risque dans la planifi...
Liste des normes
Rapports
o
o

1401 : Rapports
1402 : Activités de suivi

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

...
Les directives
Définition :
o

Instructions sur l’application des normes.

Le professionnel s’y réfère lors de leurs mises...
Structure des directives
Générales (série 2000)
o

2001 à 2008

Performance (série 2200)
o
o

2201 à 2207
2208 : Échantill...
Norme 1001

Exemple : La charte d’audit

4 déc 2013

• 1001.1 : Définit l’objectif, la
responsabilité, l’autorité et
l’imp...
Directive 2001

Exemple : La charte d’audit

4 déc 2013

• Suggère un mandat pour la fonction d’audit.
• Décrit le contenu...
Exemple : La charte d’audit
Lien des directives avec Cobit
Norme

Directive

Cobit 4

1001 : Charte d’audit

2001

ME 4.7 ...
Conclusion et questions

Référence universelle.
En constante évolution.
Commentaires de la
communauté.

4 déc 2013

ISACA ...
Outils et techniques d’audit TI
Concepts de base d’audit TI
Concepts de base d’audit TI
Objectif :
o

o

Mettre à la disposition des professionnels,
éducateurs et le public les princ...
Concepts de base d’audit TI
Caractéristiques :
o
o
o

Publiés depuis 2002 .
Une colonne du magazine «ISACA Journal».
Organ...
Concepts de base d’audit TI
Classification :
o
o
o
o
o
o
o

Processus d’audit.
Développement, acquisition, implementation ...
Processus d’audit TI

Exemple

4 déc 2013

•
•
•
•
•
•

Fonction d’audit TI (6).
Évidence d’audit (3).
Suivi du rapport (1...
Concepts à l’égard du
contrôle interne

Exemple

4 déc 2013

• Comment auditer une organisation de
services (rapport SOC)....
Exemple
Transformation des données pour
«CAAT»
• Introduction.
• Méthodologie «ETL» pour CAAT et
forage de données.
• Exem...
Conclusion et questions

Format papier et
numérique.
Lecture rapide.
Sujets d’actualité.

4 déc 2013

ISACA Québec - www.i...
Outils et techniques d’audit TI
Livres blanc (White papers)
Livres blanc ou « White papers »
Objectif :
o

Mettre à disposition l’information relevante et à jour
concernant des aspec...
Livres blanc 2013
Sécurité en tant que service (SAAS).
Données masives et protection de la vie privée.
Gouvernance du clou...
Exemple : Gouvernance du cloud
Objectif :
o

Décrire brièvement le cloud et présenter les
questions qui permettront aux di...
Exemple : Gouvernance du cloud

1
Les équipes de management ontelles élaboré un plan concernant
le cloud computing ? Ont-e...
Exemple : Gouvernance du cloud

2
Dans quelle mesure les plans
relatifs au cloud computing
servent-ils la mission de
l’ent...
Exemple : Gouvernance du cloud

3
Les équipes dirigeantes ont-elles
procédé à une évaluation
systématique de la préparatio...
Exemple : Gouvernance du cloud

4

Les équipes de management ontelles pris en compte les
investissements existants qui
pou...
Exemple : Gouvernance du cloud

5
Les équipes de management ontelles élaboré des stratégies
permettant de mesurer le retou...
Livres blanc 2012
Business Continuity Management: Emerging Trends
Cloud Computing Market Maturity Study Results
Security C...
Livres blanc 2011
Mobile Payments: Risk, Security and Assurance Issues.
Web Application Security: Business and Risk
Consid...
À venir (2014)
Programmes d’audit (Cobit5)
Contrôle et audit du cloud
Génération de la valeur à partir des données massive...
Conclusion et questions

Groupe de recherche.
Sujets d’actualité.
Conseils pratiques.

4 déc 2013

ISACA Québec - www.isac...
Outils et techniques d’audit TI
Références techniques
Références techniques
Objectif :
o

Faciliter aux professionnels de la sécurité, de l’audit
et du contrôle des TI (et non ...
PeopleSoft d’Oracle, v3, 2012

296 pages.
Sommaire (52
pages).

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

41
Suite Oracle e-Business, v3, 2010

407 pages.
Sommaire (38 pages).

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

42
SAP®ERP, v3, 2009

470 pages.
Sommaire (12
pages).

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

43
Base de données Oracle, v3, 2009

219 pages.
Sommaire (28 pages).

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

44
Exemple : Base de données Oracle
Architecture d’oracle DBMS.
Planification de l’audit.
Aspects de sécurité :
o

Système d’...
Conclusion et questions

Technologies spécifiques et
complexes.
Référence pour l’auditeur TI.

4 déc 2013

ISACA Québec - ...
Outils et techniques d’audit TI
Programmes d’audit TI
Programmes d’audit TI et d’assurance
Objectif :
o

Mettre à la disposition des professionnels de
l’assurance et de l’audit...
Programmes d’audit TI et d’assurance
Gestion de crises, de changements, de continuité
d’affaires, de risques, etc.
Cloud, ...
Exemple : Virtualisation avec VMware
Planification
o
o

la portée.
l’audit de l’application.

Programme d’audit
o
o
o
o

G...
Exemple : Virtualisation avec VMware
4 Environnement virtuel
o

4.1 Hypervisor
•
.1 Hardening guide.
•
.2 Mot de passe «Ro...
Exemple : Virtualisation avec VMware
4.1.6 Mis à jour de l’hypervisor

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

52
Conclusion et questions

Lien avec plusieurs
référentiels.
Technologies et sujets
variés.
Mise à jour vers Cobit 5.

4 déc...
Outils et techniques d’audit TI
Famille de produits Cobit5
Évolution de Cobit
1996 : Cobit V1 - pour l’audit TI
1998 : Cobit V2
2000 : Cobit V3
2005 : Cobit V4
o 2007 : Cobit 4.1, V...
Famille de produits Cobit 5

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

56
Famille de produits Cobit 5
Programme d’évaluation
Process Assessment Programme.
o Self-Assessment Guide.
o Process Assess...
Cobit 5 pour l’assurance

318 pages.
Format papier et numérique.
Volume payant.
Téléchargement :
o Présentation et brochur...
Cobit 5 pour l’assurance
Objectifs :
o

o

o

Orienter sur comment utiliser Cobit 5 pour la
fonction d’audit et d’assuranc...
Cobit 5 pour l’assurance
Table de matières :
o
o
o
o
o
o
o

Section 1 : Concepts de base sur l’assurance et application
de...
Les perspectives du guide

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

61
L’étendue du guide

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

62
Perspective : La fonction d’audit

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

63
Les composantes de l’audit

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

64
Les principes appliqués à l’audit TI

1 – Les parties prenantes
2 – L’entreprise de mur à mur
3 – Un cadre de référence in...
Exemple : 1-Les parties prenantes
Interne
o
o
o

Comité d’audit.
Groupes d’audit, risque et conformité.
Direction exécutiv...
Exemple : 1-Les parties prenantes
Types d’engagements d’assurance

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

67
Exemple: 1-Les parties prenantes
Caractéristiques des types d’engagements

Exemple: Indépendance
o Pas requise ou non gara...
Les facilitateurs et la fonction d’audit
Les facilitateurs de Cobit 5

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

69
Les facilitateurs et la fonction d’audit
1 - Principes, normes et cadre de références.
2 - Les processus.
3 – Les structur...
Modèle générique des facilitateurs

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

71
1 - Principes, normes et cadres de réf.
Objectif :
o

Identifier les principes, normes et cadres de référence
nécessaires ...
2 - Les processus
Les processus clés pour la fonction d’audit

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

73
Exemple : Le processus EDM01
Les livrables du processus

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

74
Exemple : Le processus EDM01
Les indicateurs pour mesurer la performance du
processus

4 déc 2013

ISACA Québec - www.isac...
Exemple : Le processus EDM01
Les activités du processus

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

76
3 – Les structures organisationnelles
Les structures pour la fonction d’audit
o
o
o
o

Comité d’audit et/ou de direction.
...
4 – Culture, éthique et comportement
Catégories
o
o
o

Globales à l’organisation (5)
Professionnelle (8)
Gestion (10)

4 d...
5 – Informations
Éléments d’information (18)

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

79
6 - Services, infrastructure et applications
Services
o
o
o
o
o
o
o
o

Rapport et communication.
Assurance qualité.
Suivi ...
6 – Services, infrastructure et applications
Applications de support
o
o
o
o
o
o
o
o

Registre des risques.
Outils techniq...
7 – Personnel, aptitudes et compétences
Rôles et compétences
o
o
o
o
o
o
o

Description
Expérience
Éducation
Qualification...
Questions

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

83
Perspective : Le processus d’audit

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

84
Le processus d’audit
Évaluation de la fonction d’audit TI
o

Processus MEA01, MEA02, MEA03.

Évaluation des facilitateurs
...
Démarche d’audit basé sur Cobit5

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

86
Démarche d’audit basé sur Cobit5
A-Déterminer
l’étendu
• A1 ( 2)
• A2 (5)
• A3 (7)

4 déc 2013

Comprendre les
facilitateu...
Exemple : Flux de travail A-2.4
A-2.4 Traduire les priorités en objectifs d’audit

4 déc 2013

ISACA Québec - www.isaca-qu...
Exemple: Flux de travail A-3
A-3 Déterminer les facilitateurs

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

89
Exemple : Flux de travail B-7.5
B-7.5 Évaluation des services (f6)

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

90
Lien avec d’autres guides
ITAF
o

Normes d’audit d’ISACA

IPPF
o

ITAF
IPPF

Normes d’audit d’IIA

SSAE16

SSAE-16
o

Norm...
Exemple : Lien avec IPPF
IPPF :
o

o

Cadre conceptuel de l’IIA qui organise les exigences
professionnelles des auditeurs....
Exemple : Lien avec IPPF
Tableau comparatif

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

93
Questions

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

94
Programme d’audit - BYOD
Adaptation du processus
générique
o
o

Structuré dans 3 phases
Aligné avec Cobit5

Procédés et di...
Programme d’audit – BYOD
A-2.4 Traduire les priorités en objectifs d’audit

4 déc 2013

ISACA Québec - www.isaca-quebec.ca...
Programme d’audit – BYOD
A-3 Déterminer les facilitateurs

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

97
Exemple : Programme d’audit – BYOD
B-2.1 Évaluation des principes (f1) : Engagement

4 déc 2013

ISACA Québec - www.isaca-...
Exemple : Programme d’audit – BYOD
B-7.5 Évaluation des service (f6) : MDM

4 déc 2013

ISACA Québec - www.isaca-quebec.ca...
Conclusion et questions

Adaptation de Cobit 5 pour
la fonction d’audit.
Approche structuré pour la
réalisation des mandat...
Merci
javier.bentancur@isaca-quebec.ca
Prochain SlideShare
Chargement dans…5
×

Les guides d'audit TI de l'ISACA

5 107 vues

Publié le

Les guides d'audit TI de l'ISACA
ISACA Section de Québec

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
5 107
Sur SlideShare
0
Issues des intégrations
0
Intégrations
346
Actions
Partages
0
Téléchargements
660
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Les guides d'audit TI de l'ISACA

  1. 1. Les guides d’audit TI de l’ISACA ISACA Chapitre Québec 4 décembre 2013
  2. 2. Présentateur Javier Bentancur, CISA, MBA javier.bentancur@isaca-quebec.ca http://ca.linkedin.com/in/javierbentancur 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 2
  3. 3. L’association ISACA 1969 : «EDP Auditors Association» 1984 : APVCSI à Québec 1998 : ITGI 2013 : o o + de 110.000 membres dans 180 pays + de 200 délégations dans 80 pays 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 3
  4. 4. Objectifs Expliquer les guides d’audit TI d’ISACA et leur contexte d’utilisation. Présenter des exemples des guides. Introduire le nouveau guide basé sur Cobit5. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 4
  5. 5. Les guides d’audit TI de l’ISACA Normes d’audit TI et d’assurance (ITAF v2) o Normes et directives Outils et techniques o o o o o Concepts de base d’audit TI Livres blanc (« White papers ») Références techniques Programmes d’audit TI Famille de produits Cobit 5 Cobit 5 pour l’assurance (audit TI) o Guide professionnel basé sur Cobit 5 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 5
  6. 6. Les normes d’audit TI et d’assurance (ITAF v2) Les normes Les directives
  7. 7. Les normes Définition : o Lignes directrices qui encadrent les professionnels de l’audit TI et de l’assurance. Obligation de les respecter et de les appliquer à tout intervention professionnelle. Concernent l’éthique, l’indépendance, l’objectivité, la diligence, la connaissance, la capacité et les compétences du professionnel. Valides depuis 1-nov-2013. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 7
  8. 8. Structure des normes Générales (série 1000) Performance (série 1200) • Conduite de la mission Rapport (série 1400) 4 déc 2013 • Principes directeurs de la profession d’audit • Types de rapports, moyens de communication et informations communiquées ISACA Québec - www.isaca-quebec.ca 8
  9. 9. Liste des normes Générales o o o o o o o o 1001 : Charte d’audit 1002 : Indépendance de l’organisation 1003 : Indépendance professionnelle 1004 : Attentes raisonnables 1005 : Conscience professionnelle 1006 : Compétence 1007 : Affirmations 1008 : Critères 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 9
  10. 10. Liste des normes Performance o o o o o o o 1201 : Planification de la mission 1202 : Évaluation du risque dans la planification 1203 : Exécution et supervision 1204 : Matérialité 1205 : Éléments probants 1206 : Utilisation du travail d’autres experts 1207 : Irrégularités et actes illégaux 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 10
  11. 11. Liste des normes Rapports o o 1401 : Rapports 1402 : Activités de suivi 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 11
  12. 12. Les directives Définition : o Instructions sur l’application des normes. Le professionnel s’y réfère lors de leurs mises en œuvre, et fait appel à son jugement professionnel. Il doit être en mesure de justifier tout écart visà-vis celles-ci. Présentement en révision. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 12
  13. 13. Structure des directives Générales (série 2000) o 2001 à 2008 Performance (série 2200) o o 2201 à 2207 2208 : Échantillonnage d’audit Rapport (série 2400) o 2401 à 2402 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 13
  14. 14. Norme 1001 Exemple : La charte d’audit 4 déc 2013 • 1001.1 : Définit l’objectif, la responsabilité, l’autorité et l’imputabilité de la fonction d’audit. • 1001.2 : Indique que la charte d’audit doit être approuvée par le niveau approprié de l’organisation. ISACA Québec - www.isaca-quebec.ca 14
  15. 15. Directive 2001 Exemple : La charte d’audit 4 déc 2013 • Suggère un mandat pour la fonction d’audit. • Décrit le contenue de la charte d’audit : • L’objectif, la responsabilité, l’autorité et la réédition de comptes, etc. • Suggère de considérer un processus d’assurance qualité pour la mettre à jour. • Décrit le contenu de la lettre du mandat. • La responsabilité, l’autorité et la réédition de comptes, etc. ISACA Québec - www.isaca-quebec.ca 15
  16. 16. Exemple : La charte d’audit Lien des directives avec Cobit Norme Directive Cobit 4 1001 : Charte d’audit 2001 ME 4.7 – Assurance indépendante. ME 2.5 – Assurance de contrôle interne. 1206 : Utilisation du travail d’autres experts 2206 ME 2.5 – Assurance de contrôle interne. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 16
  17. 17. Conclusion et questions Référence universelle. En constante évolution. Commentaires de la communauté. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 17
  18. 18. Outils et techniques d’audit TI Concepts de base d’audit TI
  19. 19. Concepts de base d’audit TI Objectif : o o Mettre à la disposition des professionnels, éducateurs et le public les principes concernant l’audit TI. Permettre l’avancement du domain de l’audit TI par des opinions. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 19
  20. 20. Concepts de base d’audit TI Caractéristiques : o o o Publiés depuis 2002 . Une colonne du magazine «ISACA Journal». Organisés selon les principes du modèle Curricula d’ISACA pour les professionels de l’audit et l’assurance TI. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 20
  21. 21. Concepts de base d’audit TI Classification : o o o o o o o Processus d’audit. Développement, acquisition, implementation et maintenance d’applications d’affaires. Évaluation des processus d’affaires et gestion de risques. Récupération aux désastres et continuité d’affaires. Gestion, planification et organisation des SI. Protection des actifs informationnels. Pratiques techniques d’infrastructures et des opérations. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 21
  22. 22. Processus d’audit TI Exemple 4 déc 2013 • • • • • • Fonction d’audit TI (6). Évidence d’audit (3). Suivi du rapport (1). Concepts à l’égard du contrôle interne (7). Concepts fondamentaux d’audit (11). Gestion de l’audit (2). ISACA Québec - www.isaca-quebec.ca 22
  23. 23. Concepts à l’égard du contrôle interne Exemple 4 déc 2013 • Comment auditer une organisation de services (rapport SOC). • Comprendre le nouveau rapport SOC. • Le cycle de vie du développement des contrôles. • Comment utiliser COSO (parties 1 et 2). • Audit des contrôles généraux et d’applications. • Audit de sécurité. ISACA Québec - www.isaca-quebec.ca 23
  24. 24. Exemple Transformation des données pour «CAAT» • Introduction. • Méthodologie «ETL» pour CAAT et forage de données. • Exemples. • Outils de transformation de données. • Conclusion. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 24
  25. 25. Conclusion et questions Format papier et numérique. Lecture rapide. Sujets d’actualité. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 25
  26. 26. Outils et techniques d’audit TI Livres blanc (White papers)
  27. 27. Livres blanc ou « White papers » Objectif : o Mettre à disposition l’information relevante et à jour concernant des aspects pouvant impacter les opérations des organisations. Caractéristiques: o o o o Flux RSS. Commentaires (feedback). Autres ouvrages liés. Format numérique. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 27
  28. 28. Livres blanc 2013 Sécurité en tant que service (SAAS). Données masives et protection de la vie privée. Gouvernance du cloud: informations indispensables aux conseils d’administration. Données masives : Impacts et avantages . Résultat de l’étude sur la sensibilisation aux menaces avancées persistentes. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 28
  29. 29. Exemple : Gouvernance du cloud Objectif : o Décrire brièvement le cloud et présenter les questions qui permettront aux dirigeants d’évaluer les avantages d’intégrer le cloud dans la stratégie de leurs organisations. Sujets : o o o La valeur du cloud. La gouvernance du cloud. Les informations indispensables au conseil d’administration (les questions). 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 29
  30. 30. Exemple : Gouvernance du cloud 1 Les équipes de management ontelles élaboré un plan concernant le cloud computing ? Ont-elles évalué la valeur générée et les coûts d’opportunité ? 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 30
  31. 31. Exemple : Gouvernance du cloud 2 Dans quelle mesure les plans relatifs au cloud computing servent-ils la mission de l’entreprise ? 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 31
  32. 32. Exemple : Gouvernance du cloud 3 Les équipes dirigeantes ont-elles procédé à une évaluation systématique de la préparation de l’organisation ? 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 32
  33. 33. Exemple : Gouvernance du cloud 4 Les équipes de management ontelles pris en compte les investissements existants qui pourraient être perdus dans leur planification de mise en oeuvre du cloud computing ? 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 33
  34. 34. Exemple : Gouvernance du cloud 5 Les équipes de management ontelles élaboré des stratégies permettant de mesurer le retour sur investissement de l’adoption du cloud computing et de l’évaluer par rapport aux risques ? 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 34
  35. 35. Livres blanc 2012 Business Continuity Management: Emerging Trends Cloud Computing Market Maturity Study Results Security Considerations for Cloud Computing Calculating Cloud ROI: From the Customer Perspective Virtualization Desktop Infrastructure (VDI) Incident Management and Response Guiding Principles for Cloud Computing Adoption and Use 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 35
  36. 36. Livres blanc 2011 Mobile Payments: Risk, Security and Assurance Issues. Web Application Security: Business and Risk Considerations. Geolocation: Risk, Issues and Strategies. Data Analytics—A Practical Approach. Leveraging XBRL for Value in Organizations. Sustainability. Electronic Discovery. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 36
  37. 37. À venir (2014) Programmes d’audit (Cobit5) Contrôle et audit du cloud Génération de la valeur à partir des données massives (2013) Scénarios de risques (Cobit5 pour les risques) Utilisation de Cobit 5 pour SOX SAP ERP v4: aspects de sécurité, audit et contrôle 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 37
  38. 38. Conclusion et questions Groupe de recherche. Sujets d’actualité. Conseils pratiques. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 38
  39. 39. Outils et techniques d’audit TI Références techniques
  40. 40. Références techniques Objectif : o Faciliter aux professionnels de la sécurité, de l’audit et du contrôle des TI (et non TI) l’évaluation des produits installés. Caractéristiques o o o Livre format papier, payant. Téléchargement gratuit: sommaire, programme d’audit et questionnaire de contrôle interne. Communauté de pratique. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 40
  41. 41. PeopleSoft d’Oracle, v3, 2012 296 pages. Sommaire (52 pages). 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 41
  42. 42. Suite Oracle e-Business, v3, 2010 407 pages. Sommaire (38 pages). 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 42
  43. 43. SAP®ERP, v3, 2009 470 pages. Sommaire (12 pages). 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 43
  44. 44. Base de données Oracle, v3, 2009 219 pages. Sommaire (28 pages). 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 44
  45. 45. Exemple : Base de données Oracle Architecture d’oracle DBMS. Planification de l’audit. Aspects de sécurité : o Système d’exploitation, privilèges, contrôle d’accès, relations de confiance, réseau. Contrôles généraux. Programme d’audit. Questionnaire du contrôle interne. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 45
  46. 46. Conclusion et questions Technologies spécifiques et complexes. Référence pour l’auditeur TI. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 46
  47. 47. Outils et techniques d’audit TI Programmes d’audit TI
  48. 48. Programmes d’audit TI et d’assurance Objectif : o Mettre à la disposition des professionnels de l’assurance et de l’audit TI des exemples de programmes d’audit avec une vocation éducative. Caractéristiques : o o Modèle basé sur Cobit. Liens avec COSO, ITAF, Cobit. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 48
  49. 49. Programmes d’audit TI et d’assurance Gestion de crises, de changements, de continuité d’affaires, de risques, etc. Cloud, biométrie, VOIP, Medias sociaux, etc. Lotus Notes, Sharepoint, Base de données MS-SQL, MS File share, serveur de services web Apache, etc. VPN, PKI, IPv6, Mobile computing, Active directory, z/OS, VMWare, UNIX/Linux, etc. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 49
  50. 50. Exemple : Virtualisation avec VMware Planification o o la portée. l’audit de l’application. Programme d’audit o o o o Gouvernance de l’environnement virtuel. Préparation sur le champ. Environnement virtuel. Respect des normes de l’organisation. Évaluation de la maturité. Architecture de virtualisation. Indicateurs de performance. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 50
  51. 51. Exemple : Virtualisation avec VMware 4 Environnement virtuel o 4.1 Hypervisor • .1 Hardening guide. • .2 Mot de passe «Root». • .3 Lockdown mode. • .4 Protection du shell ESXi. • .5 Piste d’audit. • .6 Mises à jour de l’hypervisor. • .7 Séparation de fonctions. • .8 Mot de passe de la base de données. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 51
  52. 52. Exemple : Virtualisation avec VMware 4.1.6 Mis à jour de l’hypervisor 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 52
  53. 53. Conclusion et questions Lien avec plusieurs référentiels. Technologies et sujets variés. Mise à jour vers Cobit 5. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 53
  54. 54. Outils et techniques d’audit TI Famille de produits Cobit5
  55. 55. Évolution de Cobit 1996 : Cobit V1 - pour l’audit TI 1998 : Cobit V2 2000 : Cobit V3 2005 : Cobit V4 o 2007 : Cobit 4.1, Val IT, Risk IT,… 2012 : Famille de produits Cobit 5 o 2013 : Cobit 5, pour l’assurance 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 55
  56. 56. Famille de produits Cobit 5 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 56
  57. 57. Famille de produits Cobit 5 Programme d’évaluation Process Assessment Programme. o Self-Assessment Guide. o Process Assessment Model. o Assessor Guide. o 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 57
  58. 58. Cobit 5 pour l’assurance 318 pages. Format papier et numérique. Volume payant. Téléchargement : o Présentation et brochure. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 58
  59. 59. Cobit 5 pour l’assurance Objectifs : o o o Orienter sur comment utiliser Cobit 5 pour la fonction d’audit et d’assurance. Proposer une démarche d’audit basée sur les facilitateurs de Cobit 5. Présenter des exemples de programmes d’assurance (d’audit). 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 59
  60. 60. Cobit 5 pour l’assurance Table de matières : o o o o o o o Section 1 : Concepts de base sur l’assurance et application des principes de Cobit 5. Section 2A : Utilisation des facilitateurs de Cobit 5 pour la gestion de la fonction d’audit ou d’assurance. Section 2B : Réalisation des mandats d’audit en utilisant les facilitateurs de Cobit 5. Section 3 : Relation avec autres référentiels. Annexe B : Guide détaillé sur les facilitateurs pour la fonction d’audit. Annexe C : Description détaillée des processus clés pour l’audit. Annexe D : Exemples de programmes d’audit. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 60
  61. 61. Les perspectives du guide 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 61
  62. 62. L’étendue du guide 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 62
  63. 63. Perspective : La fonction d’audit 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 63
  64. 64. Les composantes de l’audit 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 64
  65. 65. Les principes appliqués à l’audit TI 1 – Les parties prenantes 2 – L’entreprise de mur à mur 3 – Un cadre de référence intégré 4 – Démarche globale 5 – Distinction entre gouvernance et gestion 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 65
  66. 66. Exemple : 1-Les parties prenantes Interne o o o Comité d’audit. Groupes d’audit, risque et conformité. Direction exécutive et d’affaires. Externe o o o o 4 déc 2013 Actionnaires. Auditeurs externes. Entités de réglementation. Partenaires d’affaires et clients. ISACA Québec - www.isaca-quebec.ca 66
  67. 67. Exemple : 1-Les parties prenantes Types d’engagements d’assurance 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 67
  68. 68. Exemple: 1-Les parties prenantes Caractéristiques des types d’engagements Exemple: Indépendance o Pas requise ou non garantie (établir les responsabilités). o Optimiser la fonction. o Doit être établie, vérifiée et conservée. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 68
  69. 69. Les facilitateurs et la fonction d’audit Les facilitateurs de Cobit 5 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 69
  70. 70. Les facilitateurs et la fonction d’audit 1 - Principes, normes et cadre de références. 2 - Les processus. 3 – Les structures organisationnelles. 4 – Culture, éthique et comportement. 5 – Informations. 6 – Services, infrastructure et applications. 7 – Personnel, aptitudes et compétences. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 70
  71. 71. Modèle générique des facilitateurs 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 71
  72. 72. 1 - Principes, normes et cadres de réf. Objectif : o Identifier les principes, normes et cadres de référence nécessaires pour construire et maintenir une fonction d’audit TI efficace et efficiente. Les normes d’audit TI Les bonnes pratiques o Le code d’éthique professionnelle. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 72
  73. 73. 2 - Les processus Les processus clés pour la fonction d’audit 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 73
  74. 74. Exemple : Le processus EDM01 Les livrables du processus 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 74
  75. 75. Exemple : Le processus EDM01 Les indicateurs pour mesurer la performance du processus 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 75
  76. 76. Exemple : Le processus EDM01 Les activités du processus 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 76
  77. 77. 3 – Les structures organisationnelles Les structures pour la fonction d’audit o o o o Comité d’audit et/ou de direction. Direction d’audit. Direction de conformité (interne, externe). Audit externe. Les bonnes pratiques o o o o Composition. Mandat, principes d’opération, niveaux d’autorité et de contrôle. Rôles et responsabilités (lien des rôles avec les processus organisationnels). Intrants et extrants. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 77
  78. 78. 4 – Culture, éthique et comportement Catégories o o o Globales à l’organisation (5) Professionnelle (8) Gestion (10) 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 78
  79. 79. 5 – Informations Éléments d’information (18) 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 79
  80. 80. 6 - Services, infrastructure et applications Services o o o o o o o o Rapport et communication. Assurance qualité. Suivi du temps. Engagement des ressources. Accès à l’information. Suivi des lois, réglementations, etc. Risques émergents. Évaluation de la performance. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 80
  81. 81. 6 – Services, infrastructure et applications Applications de support o o o o o o o o Registre des risques. Outils techniques (CAATs). Bibliothèque de pratiques d’audit. Gestion documentaire. Outils de planification. Suivi d’incidents. Outils d’analyse et d’échantillonnage. Workflow. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 81
  82. 82. 7 – Personnel, aptitudes et compétences Rôles et compétences o o o o o o o Description Expérience Éducation Qualifications Connaissance Compétences techniques Comportement 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 82
  83. 83. Questions 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 83
  84. 84. Perspective : Le processus d’audit 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 84
  85. 85. Le processus d’audit Évaluation de la fonction d’audit TI o Processus MEA01, MEA02, MEA03. Évaluation des facilitateurs o Démarche d’audit basé sur Cobit5. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 85
  86. 86. Démarche d’audit basé sur Cobit5 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 86
  87. 87. Démarche d’audit basé sur Cobit5 A-Déterminer l’étendu • A1 ( 2) • A2 (5) • A3 (7) 4 déc 2013 Comprendre les facilitateurs et les évaluer • • • • • • • B1 (2) B2 (5) B3 (7) B4 (5) B5 (5) B6 (5) B7 (5) B8 (5) ISACA Québec - www.isaca-quebec.ca Communication des résultats • C1 (2) • C2 (3) 87
  88. 88. Exemple : Flux de travail A-2.4 A-2.4 Traduire les priorités en objectifs d’audit 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 88
  89. 89. Exemple: Flux de travail A-3 A-3 Déterminer les facilitateurs 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 89
  90. 90. Exemple : Flux de travail B-7.5 B-7.5 Évaluation des services (f6) 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 90
  91. 91. Lien avec d’autres guides ITAF o Normes d’audit d’ISACA IPPF o ITAF IPPF Normes d’audit d’IIA SSAE16 SSAE-16 o Normes des rapports SOC 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 91
  92. 92. Exemple : Lien avec IPPF IPPF : o o Cadre conceptuel de l’IIA qui organise les exigences professionnelles des auditeurs. Composition: La définition d’audit interne, le code d’éthique et les normes d’audit interne de l’IIA. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 92
  93. 93. Exemple : Lien avec IPPF Tableau comparatif 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 93
  94. 94. Questions 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 94
  95. 95. Programme d’audit - BYOD Adaptation du processus générique o o Structuré dans 3 phases Aligné avec Cobit5 Procédés et directives 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 95
  96. 96. Programme d’audit – BYOD A-2.4 Traduire les priorités en objectifs d’audit 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 96
  97. 97. Programme d’audit – BYOD A-3 Déterminer les facilitateurs 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 97
  98. 98. Exemple : Programme d’audit – BYOD B-2.1 Évaluation des principes (f1) : Engagement 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 98
  99. 99. Exemple : Programme d’audit – BYOD B-7.5 Évaluation des service (f6) : MDM 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 99
  100. 100. Conclusion et questions Adaptation de Cobit 5 pour la fonction d’audit. Approche structuré pour la réalisation des mandats. Exemples de programmes d’audit actuels. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 100
  101. 101. Merci javier.bentancur@isaca-quebec.ca

×