28/01/2014

L’OPTIMISATION DE L’AUDIT DES CONTRÔLES
TI : SE DÉMARQUER AVEC DES RESSOURCES
LIMITÉES
FRANÇOIS BEAUPRÉ, CPA, ...
28/01/2014

OBJECTIF ET AGENDA
Objectif
 Partager notre expérience en proposant des pistes de solution
pour aider les équ...
28/01/2014

OPTIMISATION ... DÉFINITION …
Optimisation  Recherche d’une plus grande efficience.
Efficience  Ratio des ef...
28/01/2014

PLANIFICATION PLURIANNUELLE –
ÉVALUATION DES RISQUES
-Faire un inventaire des compagnies / processus / système...
28/01/2014

PLANIFICATION PLURIANNUELLE –
CHOIX DES MANDATS
-Faire l’évaluation des ressources disponibles (heures / $$$)
...
28/01/2014

PLANIFICATION PLURIANNUELLE –
UTILISATION DES ITGC
-Utiliser les tests sur les ITGCs faits par les vérificateu...
28/01/2014

PLANIFICATION ANNUELLE - DÉPÔT
-Expliquer la démarche pour le choix des mandats
- Illustrer la répartition du ...
28/01/2014

PLANIFICATION ANNUELLE – ACCÈS
Obtenir un accès en lecture aux différentes applications
opérationnelles et de ...
28/01/2014

KICKOFF DE MANDATS
-Discuter des enjeux avec le management
- Aller se faire présenter aux ressources
-Envoyer ...
28/01/2014

PLANIFICATION DU MANDAT – PLAN DE TRAVAIL
Faire l’inventaire des risques pour le mandat. Conserver les risques...
28/01/2014

PLANIFICATION DU MANDAT – PLAN DE TRAVAIL
Considérer l’utilisation des TVI pour tester une population
complète...
28/01/2014

DURANT L’EXÉCUTION - ÉCHANTILLONAGE
Si évaluer comme pouvant être profitable, segmenter la
population pour réd...
28/01/2014

DURANT L’EXÉCUTION – PÉPIN EN VUE …
En cas de doutes sur la manière de procéder, se référer :
-Aux normes et g...
28/01/2014

DURANT L’EXÉCUTION – AUDITS TECHNIQUES /
SPÉCIALISÉS
Ne pas ré-inventer la roue dans la définition des procédé...
28/01/2014

DURANT L’EXÉCUTION – EN ENTREVUE
-Ne pas laisser les audités se vider le cœur mais rester attentif
pour de l’i...
28/01/2014

DURANT L’EXÉCUTION – EN DÉPASSEMENT DE
TEMPS
Si le plan de travail ne peut être respecté :
-Ajouter du temps, ...
28/01/2014

DURANT L’EXÉCUTION – ON FRAPPE UN MUR
Si malgré tout, et avec la bonne volonté de tous, l’information
n’est pa...
28/01/2014

CONSTRUCTION DES RAPPORTS
Clé du succès = connaitre son auditoire et s’adapter
 Fréquence des rapports
 Appa...
28/01/2014

SUIVIS DES MANDATS ET REDDITION DE COMPTE
-Expliquer clairement les attentes et le déroulement du
processus. F...
28/01/2014

REDDITION DE COMPTES – RAPPORT ANNUEL
L’objectif est de rendre compte des actions et de la performance
de la V...
28/01/2014

REDDITION DE COMPTES – RAPPORT ANNUEL
Indicateurs de performance :
- Ratio d’utilisation des ressources
Jours-...
28/01/2014

REDDITION DE COMPTES – RAPPORT ANNUEL
Indicateurs de performance :
-Ratio de répartition des travaux (compagni...
28/01/2014

REDDITION DE COMPTES – RAPPORT ANNUEL
Tableau IV
Suivi des recommandations émises par la vérification interne
...
28/01/2014

RÉFLEXION COLLABORATIVE
– ON VEUT VOUS ENTENDRE !
-Un sujet par table
-Le but est de générer de la discussion ...
28/01/2014

RÉFLEXION COLLABORATIVE
– PLANIFICATION ANNUELLE
-Importance de bien prioriser les projets
-Bien documenter le...
28/01/2014

RÉFLEXION COLLABORATIVE
– PLANIFICATION DES MANDATS
-Bien faire comprendre les enjeux & risques au management
...
28/01/2014

RÉFLEXION COLLABORATIVE
– EXÉCUTION DU MANDAT
-Focusser sur la meilleure méthode pour obtenir les éléments
pro...
28/01/2014

RÉFLEXION COLLABORATIVE
– RÉDACTION DU RAPPORT
-Bien identifier notre auditoire
-Débuter la rédaction tôt dans...
28/01/2014

RÉFLEXION COLLABORATIVE
– SUIVI DES RECOMMANDATIONS
-Obtenir un engagement de la direction à tous les niveaux....
28/01/2014

RÉFLEXION COLLABORATIVE
– RELATION AVEC LE COMITÉ DE VÉRIFICATION
-S’assurer du degré d’intérêt du comité afin...
Prochain SlideShare
Chargement dans…5
×

L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources limitées

1 803 vues

Publié le

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 803
Sur SlideShare
0
Issues des intégrations
0
Intégrations
861
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources limitées

  1. 1. 28/01/2014 L’OPTIMISATION DE L’AUDIT DES CONTRÔLES TI : SE DÉMARQUER AVEC DES RESSOURCES LIMITÉES FRANÇOIS BEAUPRÉ, CPA, CA, CISA ET PATRICE BOURDAGES 22 JANVIER 2014 http://www.isaca-quebec.ca 1
  2. 2. 28/01/2014 OBJECTIF ET AGENDA Objectif  Partager notre expérience en proposant des pistes de solution pour aider les équipes d’audit de contrôles TI à améliorer leur efficience  Partager les bonnes pratiques dans les diverses organisations et générer une réflexion sur la gestion des travaux des équipes d’audit de contrôles TI Présentation axée sur une perspective d’équipe d’audit interne mais peut parfois être calqué pour une équipe d’auditeurs externes 2 2
  3. 3. 28/01/2014 OPTIMISATION ... DÉFINITION … Optimisation  Recherche d’une plus grande efficience. Efficience  Ratio des efforts (jours-pers) / résultats de l’audit Les résultats en audit : Meilleure couverture des risques Qualité de la documentation produite Satisfaction des parties prenantes / visibilité accrue de la fonction de VI 3 3
  4. 4. 28/01/2014 PLANIFICATION PLURIANNUELLE – ÉVALUATION DES RISQUES -Faire un inventaire des compagnies / processus / systèmes Et parallèlement -Dresser l’univers d’audit des TI -Évaluer les risques à l’aide d’éléments qualitatifs et quantitatifs. 4 4
  5. 5. 28/01/2014 PLANIFICATION PLURIANNUELLE – CHOIX DES MANDATS -Faire l’évaluation des ressources disponibles (heures / $$$) - Segmenter selon le type de mandat (audit, conseil, support aux vérificateurs externes, conformité, etc) - Segmenter selon le risque perçu pour obtenir une couverture adéquate, selon les attentes des parties prenantes 5 5
  6. 6. 28/01/2014 PLANIFICATION PLURIANNUELLE – UTILISATION DES ITGC -Utiliser les tests sur les ITGCs faits par les vérificateurs externes. Compléter au besoin avec des tests faits à l’interne. Peut être fait en rotation -Utiliser pour obtenir de l’assurance sur la fiabilité des contrôles applicatifs et réduire les tailles d’échantillon 6 6
  7. 7. 28/01/2014 PLANIFICATION ANNUELLE - DÉPÔT -Expliquer la démarche pour le choix des mandats - Illustrer la répartition du temps entre les types de mandat / les compagnies / les systèmes / etc -Lister les mandats et prévoir quelques mandats « au cas où »  Permettra éventuellement de comparer réel versus prévu 7 7
  8. 8. 28/01/2014 PLANIFICATION ANNUELLE – ACCÈS Obtenir un accès en lecture aux différentes applications opérationnelles et de soutien Obtenir un accès en lecture aux différentes bases de données. Utiliser de manière responsable 8 8
  9. 9. 28/01/2014 KICKOFF DE MANDATS -Discuter des enjeux avec le management - Aller se faire présenter aux ressources -Envoyer la lettre mandat -Travailler plusieurs mandats en même temps – s’assurer que la balle soit toujours dans la cour de l’audité 9 9
  10. 10. 28/01/2014 PLANIFICATION DU MANDAT – PLAN DE TRAVAIL Faire l’inventaire des risques pour le mandat. Conserver les risques en fonction de la portée. Faire un plan de travail en relation les risques évalués et définir un budget (nombre d’heures) pour chaque aspect Dans le plan de travail, identifier les intervenants. Peut être recyclé en document de suivi de l’avancement du mandat 10 10
  11. 11. 28/01/2014 PLANIFICATION DU MANDAT – PLAN DE TRAVAIL Considérer l’utilisation des TVI pour tester une population complète : -Le risque est évalué comme très important / obligation règlementaire et la couverture requise est donc très élevée OU -L’élément à tester se porte bien et la validation de la population prendra environ le même temps que la validation d’un échantillon OU -C’est du « repeat business » … On devra tester la population de façon répétitive (à toutes les années par exemple) 11 11
  12. 12. 28/01/2014 DURANT L’EXÉCUTION - ÉCHANTILLONAGE Si évaluer comme pouvant être profitable, segmenter la population pour réduire la taille d’échantillon et/ou améliorer la qualité de couverture des risques: -Réduire la population de façon significative en éliminant les éléments non risqués OU -Faire une sélection à partir de critères de risques OU - Segmenter la population en groupes homogènes pour faire la sélection 12 12
  13. 13. 28/01/2014 DURANT L’EXÉCUTION – PÉPIN EN VUE … En cas de doutes sur la manière de procéder, se référer : -Aux normes et guidelines de l’ISACA / IIA / CPA -À un collègue -Au gros bon sens 13 13
  14. 14. 28/01/2014 DURANT L’EXÉCUTION – AUDITS TECHNIQUES / SPÉCIALISÉS Ne pas ré-inventer la roue dans la définition des procédés de vérification … Vérifier l’existence de programmes de vérification sur le site de l’ISACA (« tools and techniques »), des GTAG (IIA) ou d’autres sites spécialisés Utilisation d’outils gratuits (attention à la fiabilité!) Consulter des collègues 14 14
  15. 15. 28/01/2014 DURANT L’EXÉCUTION – EN ENTREVUE -Ne pas laisser les audités se vider le cœur mais rester attentif pour de l’information pertinente … Réorienter les discussions au besoin -En prendre et en laisser … L’ampleur d’un problème vue par un audité <> vu par la direction  Équilibre difficile à trouver mais nécessaire 15 15
  16. 16. 28/01/2014 DURANT L’EXÉCUTION – EN DÉPASSEMENT DE TEMPS Si le plan de travail ne peut être respecté : -Ajouter du temps, en fonction de la perception du risque versus les autres aspects du mandat et par rapport aux autres mandats -Exclure spécifiquement de l’audit et proposer d’en faire un sujet distinct pour un mandat ultérieur 16 16
  17. 17. 28/01/2014 DURANT L’EXÉCUTION – ON FRAPPE UN MUR Si malgré tout, et avec la bonne volonté de tous, l’information n’est pas trouvable pour répondre à un test sur un risque … "Nous n'avons pas été en mesure de déterminer"  "La direction n'a pas l'information requise pour ..." Une limitation d'information <> limitation de portée ... Le manque d'information de la direction pour la prise de décision / surveillance des contrôles/processus est en soi une trouvaille qui est reportable ! 17 17
  18. 18. 28/01/2014 CONSTRUCTION DES RAPPORTS Clé du succès = connaitre son auditoire et s’adapter  Fréquence des rapports  Apparence des rapports 18 18
  19. 19. 28/01/2014 SUIVIS DES MANDATS ET REDDITION DE COMPTE -Expliquer clairement les attentes et le déroulement du processus. Faire sentir sa présence tout au long de la résolution (sans les tacher !) -Suivre les recommandations à l’aide d’un registre -Ne pas tester si l’audité n’est pas convaincu que c’est résolu -Rendre compte de façon périodique et en fonction des risques et attentes du comité de vérification 19 19
  20. 20. 28/01/2014 REDDITION DE COMPTES – RAPPORT ANNUEL L’objectif est de rendre compte des actions et de la performance de la VI (bulletin annuelle de la VI !) Reprise de la planification annuelle pour comparer ce qui était prévu à ce qui a été fait. Doit être présenté pour donner une visibilité à la vérification TI 20 20
  21. 21. 28/01/2014 REDDITION DE COMPTES – RAPPORT ANNUEL Indicateurs de performance : - Ratio d’utilisation des ressources Jours-personnes-mandat / jours-personnes-totaux-disponible - Ratio de complétion des mandats : Mandants complétés / mandats prévus (en nombre de mandats ou en jours-personnes de mandats pondérés ou non) 21 21
  22. 22. 28/01/2014 REDDITION DE COMPTES – RAPPORT ANNUEL Indicateurs de performance : -Ratio de répartition des travaux (compagnies / unités d’affaires / processus / système) Jours-personnes selon axe / jours-personnes-mandat -Indicateur de suivi des recommandations: Recommandations non débutées-en cours-terminéesabandonnées / recommandations émises 22 22
  23. 23. 28/01/2014 REDDITION DE COMPTES – RAPPORT ANNUEL Tableau IV Suivi des recommandations émises par la vérification interne 100% 90% 32 14 42 80% 32 70% 60% 12 50% 54 12 39 40% 30% 20% 10 12 2 11 2 10% 0% 2006 2007 2008 Réglées 2009 En cours 2010 2011 Non débutées 23 23
  24. 24. 28/01/2014 RÉFLEXION COLLABORATIVE – ON VEUT VOUS ENTENDRE ! -Un sujet par table -Le but est de générer de la discussion et d’échanger le plus d’information possible -15 minutes pour en discuter et on mets tout en commun 24 24
  25. 25. 28/01/2014 RÉFLEXION COLLABORATIVE – PLANIFICATION ANNUELLE -Importance de bien prioriser les projets -Bien documenter les mandats choisis -Faire preuve de réalisme dans la détermination des effectifs disponibles 25 25
  26. 26. 28/01/2014 RÉFLEXION COLLABORATIVE – PLANIFICATION DES MANDATS -Bien faire comprendre les enjeux & risques au management -Faire preuve de confiance et arriver préparé pour maintenir sa crédibilité envers l’interlocuteur 26 26
  27. 27. 28/01/2014 RÉFLEXION COLLABORATIVE – EXÉCUTION DU MANDAT -Focusser sur la meilleure méthode pour obtenir les éléments probants -Capitaliser sur les lacunes imprévisibles (petites surprises) pour accroitre la visibilité et la crédibilité de la VI -Utiliser à bon escient l’effet de levier dont la VI dispose 27 27
  28. 28. 28/01/2014 RÉFLEXION COLLABORATIVE – RÉDACTION DU RAPPORT -Bien identifier notre auditoire -Débuter la rédaction tôt dans le processus, tout en validant les constat au fur et à mesure. Néanmoins, s’assurer d’avoir « the big picture » lors du dépôt -Demeurer concis et ne pas s’éparpiller -Démontrer le travail effectué en rapportant ce qui va bien autant que ce qui va mal -S’assurer que l’audité va s’approprié le rapport en établissant avec lui les plans d’action 28 28
  29. 29. 28/01/2014 RÉFLEXION COLLABORATIVE – SUIVI DES RECOMMANDATIONS -Obtenir un engagement de la direction à tous les niveaux. -Gérer les relations avec la gouvernance afin que les engagements de la haute direction se répercutent dans les lignes d’affaires. -Obtenir des dates de réalisation réalistes. S’assurer que le risque résiduel par rapport au point dénoté est acceptable par rapport aux dates de réalisation. -Maintenir un environnement de travail positif malgré un climat pouvant être tendu du à certains rapports 29 29
  30. 30. 28/01/2014 RÉFLEXION COLLABORATIVE – RELATION AVEC LE COMITÉ DE VÉRIFICATION -S’assurer du degré d’intérêt du comité afin d’adapter les communication et de maintenir l’intérêt. Les sonder au besoin -Les communications doivent être claires et succinctes. -Le comité doit être briefé sur les points critiques. 30 30

×