SlideShare une entreprise Scribd logo

L Audit Process

SAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
SAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
1  sur  58
Télécharger pour lire hors ligne
Cycle de Préparation au C.I.S.A Processus d’Audit Mohamed SAAD, CISA, ITIL, PMP, ISO 27 001 LA 1
Sommaire I- Introduction II- Normes et standards professionnels d’audit III- Analyse des risques IV- Le contrôle interne V- La réalisation de l’audit VI- Le CSA (Control Self Assessment) VII- Le Corporate Governance 2
Introduction 3
I- Introduction L’objectif majeure du processus d’Audit est: Que l’auditeur ait les connaissances nécessaires pour conduire un audit des systèmes d’information en concordance avec les normes et standards de l’Audit des S.I Que l’auditeur assure que les technologies d’information de l’entreprise sont alignées sur le plan stratégique et qu’elles sont bien gérées et contrôlées 4
I- Introduction L’organisation de la fonction d’Audit Le rôle de la fonction d’audit doit être statué dans une charte d’audit La charte doit renseigner clairement sur la responsabilité et les objectifs du Top Man. ainsi que la délégation de l’autorité qu’il confère à la fonction d’audit des TI Ce document doit arrêter: L’autorité, le périmètre et les responsabilités de la fonction d’audit des TI Le Top Man. et le comité d’audit doivent approuver cette charte Une fois la charte établie et approuvée, elle ne doit être modifiée qu’en cas de changement majeure justifié 5
I- Introduction Le management des ressources des S.I Les ressources des auditeurs S.I sont limitées, et leur temps est planifié et optimisé L’auditeur SI doit avoir les connaissances nécessaires pour gérer les projets d’audit avec le staff d’audit Des compétences particulières peuvent être requises pour planifier certains audits spécifiques Le management de l’audit des SI doit avoir les connaissances nécessaires sur le planning de charges de ses ressources Des outils de management des projets sont utilisés 6 pour maîtriser les charges
I- Introduction Le management des ressources des S.I Les technologies de l’information sont en perpétuel changement ce qui exige des auditeurs d’être constamment Up to date Nouvelles techniques d’audit Nouveaux métiers en terme des TI La formation continue constitue un objectif majeure dans la mise à niveau des compétences des auditeurs 7
I- Introduction La planification des ressources La planification de l’audit concerne le court et le long terme Le court terme: Les audit devant être couvert durant l’année Le long terme: Les plans d’audit devant tenir compte des changements majeurs dans les plans stratégiques des TI de l’organisation Les changements devant concerner l’environnement des TI L’analyse des plannings du court et du long terme doit être annuelle 8
I- Introduction La planification des ressources L’auditeur doit être informé au préalable: Avoir des connaissance sur le domaine à auditer Les informations, contrôles et pratiques utilisés dans l’activité à auditer L’environnement réglementaire 9
I- Introduction La planification des ressources Planifier un audit, demande de l’auditeur SI de: 1. Avoir des connaissances sur l’activité (l’objectif, les processus, la technologie…) 2. Effectuer une analyse des risques 3. Conduire une revue de contrôle interne 4. Arrêter le périmètre et les objectifs de l’audit 5. Développer une approche et une stratégie d’audit 10
I- Introduction La planification des ressources Les étapes permettant à l’auditeur de collecter des informations sur l’activité: Analyser les publications et les rapports annuels, Analyser les rapports d’analyse financière (auditeurs, commissariat au compte…) Revoir les plans stratégiques à long terme Interview des managers clé de l’activité Revoir les rapports d’audit SI précédents 11
Normes et standards professionnels d’audit 12
II- Normes et standards professionnels d’Audit Les standards techniques proposés par ISO, EDIFACT… Les Codes de Conduite proposés par le Conseil de l'Europe, l'OCDE, l'ISACA Les critères de qualification pour les systèmes informatiques et les processus ; ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Common Criteria… Les standards professionnels du contrôle interne et de l'audit ; COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO… Les pratiques et exigences métiers proposées par les forums professionnels (ESF, I4) ainsi que les plates-formes soutenues par les gouvernements (IBAG, NIST, DTI)… Les exigences spécifiques aux secteurs de la banque, du commerce électronique et de la fabrication de TI 13
II- Normes et standards professionnels d’Audit Présentation de l’ISACA: Association de professionnels de l’Audit et du contrôle des SI fondée en 1969 20 000 membres 100 pays Mission: • Promouvoir la profession d’auditeur informatique • Développement de standards et guides d’audit • Conférences, formation, publications, ouvrages… Cobit: Control Objectives for Information and Related Technology www.isaca.org 14
II- Normes et standards professionnels d’Audit 010 Charte d’Audit 010.010 Responsabilité et autorité la responsabilité et l’autorité liées à la fonction d’audit des systèmes d’information doivent être définies de façon appropriée dans une charte d’audit ou une lettre de mission 15
II- Normes et standards professionnels d’Audit 020 Indépendance 020.010 Indépendance professionnelle Pour tout ce qui concerne l’audit, l’auditeur en systèmes d’information doit être indépendant de l’audité en attitude et en apparence 020.020 Rapport organisationnel la fonction d’audit des systèmes d’information doit être suffisamment indépendante du domaine audité pour permettre une réalisation objective de l’audit 16
II- Normes et standards professionnels d’Audit 030 Éthique et normes professionnelles 030.010 Code d’éthique professionnelle L’auditeur en SI doit se conformer au code d’éthique professionnelle de l’association pour le contrôle et l’audit des SI 030.020 Conscience professionnelle la conscience professionnelle et l’observation des normes professionnelles d’audit applicables à tous les aspects du travail de l’auditeur en SI 17
II- Normes et standards professionnels d’Audit 040 Compétences 040.010 Compétences et connaissances L’auditeur en SI doit être techniquement compétent et posséder les connaissances nécessaires à la réalisation de son travail d’auditeur 040.020 Formation professionnelle continue L’auditeur en SI doit maintenir ses compétences techniques grâce à une formation professionnelle continue appropriée 18
II- Normes et standards professionnels d’Audit 050 Planification 050.010 Planification d’un audit L’auditeur en SI doit planifier le travail d’audit de SI pour répondre aux objectifs de l’audit et pour se conformer aux normes professionnelles d’audit applicables 19
II- Normes et standards professionnels d’Audit 060 Réalisation du travail d’audit 060.010 Supervision Le personnel d’audit des SI, l’auditeur en SI doit être supervisé de façon adéquate pour offrir l’assurance que les objectifs de l’audit sont atteints et que les normes professionnelles d’audit applicables sont observées 060.020 Éléments probants Durant le cours de l’audit, l’auditeur SI doit recueillir des éléments probants suffisants, fiables, pertinents et utiles pour accomplir efficacement les objectifs de l’audit. Les résultats et conclusions de l’audit doivent être appuyés par une analyse et une interprétation appropriée de ces éléments probants 20
II- Normes et standards professionnels d’Audit 070 Rapport 070.010 Contenu et forme du rapport L’auditeur en SI doit fournir aux destinataires voulus un rapport, sous une forme appropriée, après l’achèvement du travail d’audit. Le rapport d’audit doit mentionner le but, les objectifs, la période couverte, la nature et l’étendue de l’audit réalisé. Le rapport doit identifier l’organisation, les destinataires voulus et toute restriction dans la distribution. Le rapport doit contenir les résultats, conclusions et recommandations ainsi que toute réserve ou qualification de l’auditeur vis à vis de l’audit 21
II- Normes et standards professionnels d’Audit 080 Activités de suivi 080.010 Suivi L’auditeur en SI doit demander et évaluer les informations appropriées concernant les résultats, conclusions et recommandations antérieures pour déterminer si les mesures appropriées ont été mises en place dans des délais raisonnables 22
II- Normes et standards professionnels d’Audit Lois et règlements Lois et règlements sectoriels: banque, mutuelles, secteur alimentaire, secteur pharmaceutique… Lois et règlements applicables aux SI 23
II- Normes et standards professionnels d’Audit La façon d’auditer: Le Top Man. et la DSI ont-ils prévu la prise en compte des lois dans leurs stratégies, plans, procédures ? Revue des documents du département, de la fonction ou de l’activité, qui permettent de répondre aux besoins légaux et sectoriels Déterminer l’adhésion aux procédures qui permettent d’atteindre les objectifs 24
L’analyse des risques 25
III- L’analyse des risques Décomposition d’un risque: Menace (ou vulnérabilité) sur un processus ou sur un actif Impact sur ce processus ou cet actif Probabilité que cela arrive Évaluation des risques: Les biens concernés Les menaces Les vulnérabilités Les Recommandations 26
III- L’analyse des risques L’analyse du risque fait partie de la planification de l’audit, elle aide à identifier les risques et vulnérabilités pour que l’auditeur puisse recommander les contrôles adéquats pour atténuer ces risques Contrôle: les politiques, l’organisation, les pratiques conçues pour apporter une assurance raisonnable que les objectifs de l’entreprise seront atteints et que les évènements indésirables seront prévenues ou détectés et corrigés Objectif de contrôle: le résultat à atteindre par la mise en place du contrôle dans une activité donnée 27
Le contrôle interne 28
IV- Le contrôle interne Ensemble de procédures et de dispositifs permanents définis et appliqués sous la responsabilité du Top Man., destinés à fournir une assurance raisonnable quant à la réalisation des objectifs suivants: Protection du patrimoine Conformité aux lois et réglementations en vigueur Efficacité et efficience des opérations de l’entreprise Prévention des fraudes et des erreurs 29
IV- Le contrôle interne Le contrôle interne a été développé pour assurer la réalisation des objectifs globaux de l’entreprise et que les risques soient prévenus, détectés et corrigés 30
IV- Le contrôle interne Les objectifs du contrôle interne: Sauvegarde des actifs Assurer l’intégrité de l’environnement des TI et des réseaux d’information Assurer l’intégrité de l’environnement des applications critiques: • Les autorisations d’entrées de données • Exactitude et complétude du traitement des transactions • Exactitude, complétude et sécurisation des sorties • Intégrité des BD Assurer l’efficience et l’efficacité des opérations Conformité de l’expression de besoins des utilisateurs avec les politiques organisationnelles et les procédures, ainsi que vis à vis de l’environnement réglementaire 31 Développer des plans de backup et de reprise Développer une politique de réponse aux
IV- Le contrôle interne Les contrôles des SI Objectifs de contrôle des SI: L’ISACA publie un ensemble de manuels pour la gouvernance, le contrôle, l’audit des SI Le Cobit: Executive Summary Framework: concepts et principes Objectifs de contrôle: contrôles détaillés Guide de management des SI Guide d’audit des SI Outils de mise en place 32
IV- Le contrôle interne Les contrôles des SI Cobit: 34 processus IT classés en 4 domaines 302 objectifs de contrôle détaillé 33
34
IV- Le contrôle interne Les contrôles des SI Classification des contrôles: Contrôles préventifs Contrôles détectifs Contrôles correctifs 35
Les contrôles des SI Classification des contrôles Détecte les problèmes avant qu’ils N’employer que le personnel qualifié n’arrivent Répartition des tâches Préventif Gère les opérations et les entrées Contrôle physique aux accès Tente de prédire les incidents Utilisation des logiciel de contrôle des potentiels accès aux fichiers Prévient contre les erreurs, les oublis et les actes malveillants Utilise les contrôles pour détecter et Points de contrôles dans les reporter les occurrences d’erreurs, soumission de jobs omission ou actes malveillants Détectif Contrôle d’echo dans les transmissions telecom Reporting des performances périodiques Minimise l’impact d’une menace Planning contingency Remédie aux problèmes découverts Procédures de backup Correctif par les contrôles détectifs Problèmes de réexecution Identifie les causes des problèmes Corrige les problèmes émanant d’un problème 36
Réalisation de l’audit 37
V- Réalisation de l’audit Les tests Tests de conformité: Respect des procédures Tests de vérification ou tests substantifs Les valeurs (chiffres) sont justes. Exemple: l’inventaire est t-il exact ? Corrélation entre les résultats des premiers et le volume des seconds 38
V- Réalisation de l’audit Techniques de sondage Une vérification de toute une population n’est toujours pas possible… Échantillonnage statistique: Échantillonnage statistique: • Par attribut (test de conformité) • Par variable (test substantif) 39
V- Réalisation de l’audit Échantillonnage Niveau de confiance (ex : 95%) = 1-risque d’échantillonnage Probabilité que l’échantillon représente la population La taille de l’échantillon est fonction du niveau de confiance Précision : différence admise entre l’échantillon et la population. Plus la précision est fine (petite) plus la taille de l’échantillon est grande. 40
V- Réalisation de l’audit Technique de l’audit assisté par ordinateur Générateurs de jeux d’essais Systèmes experts Utilitaires des progiciels (vérification des paramètres) Gestionnaires de bibliothèques de logiciel Dispositif de test intégré (ITF) Outils de capture (snapshot) Fichier d’audit Logiciels d’audit généralisés 41
V- Réalisation de l’audit Gestion des ressources d’audit Ressources en personnels Origine des auditeurs (informatique, finance, …….) Les niveaux d’expériences (débutant, expérimenté, certifié CISA) Les contraintes disponibilité des auditeurs, turn over échéance à respecter absence de documentation La mission d’audit : se manage comme tout projet. 42
V- Réalisation de l’audit Technique de gestion de projet plan détaillé avec estimations réalistes rapport d’activité ajuster le plan et actions correctives 43
V- Réalisation d’un audit de SI Communication des résultats Évaluation des contrôles (forces, faiblesses) Pertinence de l’information – Matérialité Existence de contrôles compensatoires Relations entre contrôles Efficacité et efficience des opérations 44
V- Réalisation d’un audit de SI Communication des résultats Présentation et contenu du rapport (standard 070 et 080 ) rappel des objectifs, étendue des travaux, leur période procédures d’audit appliquées opinion sur les contrôles en place constats et recommandations détaillées réponses de la direction sur les actions correctives et les échéances un critère : la matérialité 45
V- Réalisation d’un audit de SI Communication des résultats Communication des résultats de l’audit Communication des résultats à la direction et au comité d’audit Conclusions et opinions l’auditeur doit faire part des réserves et difficultés rencontrées lors de l’audit communication et validation à différents niveaux 46
V- Réalisation d’un audit de SI Communication des résultats Entretien final l’auditeur peut s’assurer que les faits sont présentés correctement, que les recommandations sont réalistes et éventuellement à renégocier Techniques de présentation rapport de synthèse concis (éventuellement avec des annexes) présentation sur transparents 47
Contrôle et auto- évaluation 48
VI- Contrôle et auto-évaluation CSA (Control self assessement) Les contrôles sont auto évalués par un service en présence des auditeurs qui interviennent pour faciliter le processus Utilisation de techniques telles que les questionnaires, les groupes de travail audités – auditeurs Sensibilisation aux besoins de contrôle Implication de la hiérarchie et de l’audit interne 49
VI- Contrôle et auto-évaluation Les objectif du CSA Amélioration du processus de contrôle (cela ne remplace pas l’audit) Sensibilisation du management au contrôle et à la surveillance Mobilisation de tout le monde sur les domaines à haut risque 50
La corporate Governance 51
VII- La Corporate Governance La Corporate Governance ou gouvernance d’entreprise est composée de l'ensemble des principes et règles d'organisation, de comportement et de transparence visant à assurer - dans l'optique de la protection des actionnaires - l'équilibre entre la direction et le contrôle de l'entreprise à l'échelon le plus élevé, tout en respectant le pouvoir décisionnel et l'efficience de la direction. Dans la terminologie anglo-saxonne, on parle de "Checks and balances", mais aussi d‘ "incentives", ce que l'on peut traduire par des structures de direction, contrôle et incitation qui servent de cadre à l'interaction des actionnaires (assemblée générale), du conseil d'administration et du management supérieur. 52
VII- La Corporate Governance Pour réussir dans cette économie de l'information, la gouvernance d'entreprise et celle des TI ne doivent plus être considérées comme des disciplines séparées et distinctes. Une gouvernance d'entreprise efficace se concentre sur l'expertise et l'expérience des individus et des groupes là où elles peuvent être les plus productives, surveille et mesure les performances, et prévoit une assurance pour les points critiques. 53
VII- La Corporate Governance 54
VII- La Corporate Governance 55
VII- La Corporate Governance 56
IT Governance Conception de tableaux Mise en phase Alignement stratégique De bords De l’organisation et de Des projets IT balanced Scorecard La DSI Contrôle de gestion Informatique Schémas directeurs Maîtrise des coûts IT Governance Urbanisation (ABC/ABM) Gestion Maîtrise de des compétences Maîtrise des projets l’Infrastructure informatiques 57 Gestion des risques
La loi Sarbanes-Oxley La loi Sarbanes Oxley (entrée en vigueur aux États-Unis en Juillet 2002) vise à renforcer le contrôle exercé sur la gouvernance d’entreprise, selon trois principes : Exactitude et accessibilité de l’information Responsabilité des gestionnaires Indépendance des vérificateurs L’objectif affiché est de promouvoir l’éthique et la responsabilité des gestionnaires, de façon à rétablir la confiance des investisseurs après les différents scandales financiers Dorénavant, les dirigeants seront personnellement engagés sur l’exactitude des comptes, une rotation des vérificateurs externes sera exigée, et ces derniers ne pourront plus offrir à l’entreprise d’autres services que ceux directement liés à la vérification des comptes Enfin, les sanctions seront considérablement renforcées 58

Recommandé

Cours de l audit comptable et financier copy
Cours de l audit comptable et financier copyCours de l audit comptable et financier copy
Cours de l audit comptable et financier copySaadAbouElKalam
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'auditBRAHIM MELLOUL
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueFINALIANCE
 
Conduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleConduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleAmmar Sassi
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Ammar Sassi
 
Td 5 diagramme de processus (exemple)
Td 5 diagramme de processus (exemple)Td 5 diagramme de processus (exemple)
Td 5 diagramme de processus (exemple)Fethi Ferhane
 

Recommandé

Cours de l audit comptable et financier copy
Cours de l audit comptable et financier copyCours de l audit comptable et financier copy
Cours de l audit comptable et financier copySaadAbouElKalam
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'auditBRAHIM MELLOUL
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueFINALIANCE
 
Conduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleConduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleAmmar Sassi
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Ammar Sassi
 
Td 5 diagramme de processus (exemple)
Td 5 diagramme de processus (exemple)Td 5 diagramme de processus (exemple)
Td 5 diagramme de processus (exemple)Fethi Ferhane
 
COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER Hajar EL GUERI
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Audit comptable et financier
Audit comptable et financierAudit comptable et financier
Audit comptable et financieralaoui rachida
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'informationAnnick Franck Monyie Fouda
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIISACA Chapitre de Québec
 
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)dodoooooo
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Partie 3 evaluation et appréciation du ci
Partie 3 evaluation et appréciation du ciPartie 3 evaluation et appréciation du ci
Partie 3 evaluation et appréciation du ciZouhair Aitelhaj
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationManuel Cédric EBODE MBALLA
 
12.audit et controle interne
12.audit et controle interne12.audit et controle interne
12.audit et controle interneOULAAJEB YOUSSEF
 
Audit
AuditAudit
Auditzan
 
Audit des projets informatiques
Audit des projets informatiquesAudit des projets informatiques
Audit des projets informatiquesSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Guide pratique de l'audit oec maroc
Guide pratique de l'audit oec marocGuide pratique de l'audit oec maroc
Guide pratique de l'audit oec marocbissa bissa
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Projet audit ppt
Projet audit pptProjet audit ppt
Projet audit pptHajar Idehou
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEhpfumtchum
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SIArsène Ngato
 
Audit compatble et financier
Audit compatble et financierAudit compatble et financier
Audit compatble et financiergadour youssef
 
audit 2009
audit 2009 audit 2009
audit 2009hassan1488
 

Contenu connexe

Tendances

COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER Hajar EL GUERI
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Audit comptable et financier
Audit comptable et financierAudit comptable et financier
Audit comptable et financieralaoui rachida
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)dodoooooo
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Partie 3 evaluation et appréciation du ci
Partie 3 evaluation et appréciation du ciPartie 3 evaluation et appréciation du ci
Partie 3 evaluation et appréciation du ciZouhair Aitelhaj
 
12.audit et controle interne
12.audit et controle interne12.audit et controle interne
12.audit et controle interneOULAAJEB YOUSSEF
 
Audit
AuditAudit
Auditzan
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Guide pratique de l'audit oec maroc
Guide pratique de l'audit oec marocGuide pratique de l'audit oec maroc
Guide pratique de l'audit oec marocbissa bissa
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEhpfumtchum
 

Tendances (20)

COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Audit comptable et financier
Audit comptable et financierAudit comptable et financier
Audit comptable et financier
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Partie 3 evaluation et appréciation du ci
Partie 3 evaluation et appréciation du ciPartie 3 evaluation et appréciation du ci
Partie 3 evaluation et appréciation du ci
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
12.audit et controle interne
12.audit et controle interne12.audit et controle interne
12.audit et controle interne
 
Audit
AuditAudit
Audit
 
Audit des projets informatiques
Audit des projets informatiquesAudit des projets informatiques
Audit des projets informatiques
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Guide pratique de l'audit oec maroc
Guide pratique de l'audit oec marocGuide pratique de l'audit oec maroc
Guide pratique de l'audit oec maroc
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Projet audit ppt
Projet audit pptProjet audit ppt
Projet audit ppt
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 

Similaire à L Audit Process

Audit compatble et financier
Audit compatble et financierAudit compatble et financier
Audit compatble et financiergadour youssef
 
1648581692822_01-20 SUP 01 RV-BC.pdf
1648581692822_01-20 SUP 01 RV-BC.pdf1648581692822_01-20 SUP 01 RV-BC.pdf
1648581692822_01-20 SUP 01 RV-BC.pdfDjouMana4
 
Conduite d'une mission d'audit interne
Conduite d'une mission d'audit interneConduite d'une mission d'audit interne
Conduite d'une mission d'audit internePasteur_Tunis
 
Conduite d'une mission d'audit interne 2
Conduite d'une mission d'audit interne 2Conduite d'une mission d'audit interne 2
Conduite d'une mission d'audit interne 2hichben
 
Préparation certification CIA: introduction à l'audit interne par EL MOUDEN ...
Préparation certification CIA: introduction à l'audit interne par EL MOUDEN ...Préparation certification CIA: introduction à l'audit interne par EL MOUDEN ...
Préparation certification CIA: introduction à l'audit interne par EL MOUDEN ...Mohamed EL MOUDEN ISCAE, CIA, CISA
 
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...sarl ibrahim ifri
 
Partie 1 audit comptable et financier
Partie 1 audit comptable et financierPartie 1 audit comptable et financier
Partie 1 audit comptable et financierZouhair Aitelhaj
 
Audit comptable et financier Chap 1.pptx
Audit comptable et financier Chap 1.pptxAudit comptable et financier Chap 1.pptx
Audit comptable et financier Chap 1.pptxAyadIliass
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorCERTyou Formation
 
AUDIT QUALITE .pptx
AUDIT QUALITE .pptxAUDIT QUALITE .pptx
AUDIT QUALITE .pptxssuserbbc8ed
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02穆罕 默德穆罕
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02穆罕 默德穆罕
 
82275460-Audit-et-controle-interne.pdf
82275460-Audit-et-controle-interne.pdf82275460-Audit-et-controle-interne.pdf
82275460-Audit-et-controle-interne.pdfShaimaeBejja
 

Similaire à L Audit Process (20)

Audit compatble et financier
Audit compatble et financierAudit compatble et financier
Audit compatble et financier
 
audit 2009
audit 2009 audit 2009
audit 2009
 
Cours audit final
Cours audit finalCours audit final
Cours audit final
 
1648581692822_01-20 SUP 01 RV-BC.pdf
1648581692822_01-20 SUP 01 RV-BC.pdf1648581692822_01-20 SUP 01 RV-BC.pdf
1648581692822_01-20 SUP 01 RV-BC.pdf
 
Conduite d'une mission d'audit interne
Conduite d'une mission d'audit interneConduite d'une mission d'audit interne
Conduite d'une mission d'audit interne
 
Conduite d'une mission d'audit interne 2
Conduite d'une mission d'audit interne 2Conduite d'une mission d'audit interne 2
Conduite d'une mission d'audit interne 2
 
Préparation certification CIA: introduction à l'audit interne par EL MOUDEN ...
Préparation certification CIA: introduction à l'audit interne par EL MOUDEN ...Préparation certification CIA: introduction à l'audit interne par EL MOUDEN ...
Préparation certification CIA: introduction à l'audit interne par EL MOUDEN ...
 
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
 
Le nouveau rapport de l’auditeur
Le nouveau rapport de l’auditeurLe nouveau rapport de l’auditeur
Le nouveau rapport de l’auditeur
 
Partie 1 audit comptable et financier
Partie 1 audit comptable et financierPartie 1 audit comptable et financier
Partie 1 audit comptable et financier
 
Audit comptable et financier Chap 1.pptx
Audit comptable et financier Chap 1.pptxAudit comptable et financier Chap 1.pptx
Audit comptable et financier Chap 1.pptx
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditor
 
AUDIT QUALITE .pptx
AUDIT QUALITE .pptxAUDIT QUALITE .pptx
AUDIT QUALITE .pptx
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02
 
Présentation IT Governance cobit - IT BSC
Présentation IT Governance cobit - IT BSCPrésentation IT Governance cobit - IT BSC
Présentation IT Governance cobit - IT BSC
 
TH3_19.pdf
TH3_19.pdfTH3_19.pdf
TH3_19.pdf
 
QSE - Qualité
QSE - QualitéQSE - Qualité
QSE - Qualité
 
sdfss
sdfsssdfss
sdfss
 
82275460-Audit-et-controle-interne.pdf
82275460-Audit-et-controle-interne.pdf82275460-Audit-et-controle-interne.pdf
82275460-Audit-et-controle-interne.pdf
 

L Audit Process

  • 1. Cycle de Préparation au C.I.S.A Processus d’Audit Mohamed SAAD, CISA, ITIL, PMP, ISO 27 001 LA 1
  • 2. Sommaire I- Introduction II- Normes et standards professionnels d’audit III- Analyse des risques IV- Le contrôle interne V- La réalisation de l’audit VI- Le CSA (Control Self Assessment) VII- Le Corporate Governance 2
  • 4. I- Introduction L’objectif majeure du processus d’Audit est: Que l’auditeur ait les connaissances nécessaires pour conduire un audit des systèmes d’information en concordance avec les normes et standards de l’Audit des S.I Que l’auditeur assure que les technologies d’information de l’entreprise sont alignées sur le plan stratégique et qu’elles sont bien gérées et contrôlées 4
  • 5. I- Introduction L’organisation de la fonction d’Audit Le rôle de la fonction d’audit doit être statué dans une charte d’audit La charte doit renseigner clairement sur la responsabilité et les objectifs du Top Man. ainsi que la délégation de l’autorité qu’il confère à la fonction d’audit des TI Ce document doit arrêter: L’autorité, le périmètre et les responsabilités de la fonction d’audit des TI Le Top Man. et le comité d’audit doivent approuver cette charte Une fois la charte établie et approuvée, elle ne doit être modifiée qu’en cas de changement majeure justifié 5
  • 6. I- Introduction Le management des ressources des S.I Les ressources des auditeurs S.I sont limitées, et leur temps est planifié et optimisé L’auditeur SI doit avoir les connaissances nécessaires pour gérer les projets d’audit avec le staff d’audit Des compétences particulières peuvent être requises pour planifier certains audits spécifiques Le management de l’audit des SI doit avoir les connaissances nécessaires sur le planning de charges de ses ressources Des outils de management des projets sont utilisés 6 pour maîtriser les charges
  • 7. I- Introduction Le management des ressources des S.I Les technologies de l’information sont en perpétuel changement ce qui exige des auditeurs d’être constamment Up to date Nouvelles techniques d’audit Nouveaux métiers en terme des TI La formation continue constitue un objectif majeure dans la mise à niveau des compétences des auditeurs 7
  • 8. I- Introduction La planification des ressources La planification de l’audit concerne le court et le long terme Le court terme: Les audit devant être couvert durant l’année Le long terme: Les plans d’audit devant tenir compte des changements majeurs dans les plans stratégiques des TI de l’organisation Les changements devant concerner l’environnement des TI L’analyse des plannings du court et du long terme doit être annuelle 8
  • 9. I- Introduction La planification des ressources L’auditeur doit être informé au préalable: Avoir des connaissance sur le domaine à auditer Les informations, contrôles et pratiques utilisés dans l’activité à auditer L’environnement réglementaire 9
  • 10. I- Introduction La planification des ressources Planifier un audit, demande de l’auditeur SI de: 1. Avoir des connaissances sur l’activité (l’objectif, les processus, la technologie…) 2. Effectuer une analyse des risques 3. Conduire une revue de contrôle interne 4. Arrêter le périmètre et les objectifs de l’audit 5. Développer une approche et une stratégie d’audit 10
  • 11. I- Introduction La planification des ressources Les étapes permettant à l’auditeur de collecter des informations sur l’activité: Analyser les publications et les rapports annuels, Analyser les rapports d’analyse financière (auditeurs, commissariat au compte…) Revoir les plans stratégiques à long terme Interview des managers clé de l’activité Revoir les rapports d’audit SI précédents 11
  • 12. Normes et standards professionnels d’audit 12
  • 13. II- Normes et standards professionnels d’Audit Les standards techniques proposés par ISO, EDIFACT… Les Codes de Conduite proposés par le Conseil de l'Europe, l'OCDE, l'ISACA Les critères de qualification pour les systèmes informatiques et les processus ; ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Common Criteria… Les standards professionnels du contrôle interne et de l'audit ; COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO… Les pratiques et exigences métiers proposées par les forums professionnels (ESF, I4) ainsi que les plates-formes soutenues par les gouvernements (IBAG, NIST, DTI)… Les exigences spécifiques aux secteurs de la banque, du commerce électronique et de la fabrication de TI 13
  • 14. II- Normes et standards professionnels d’Audit Présentation de l’ISACA: Association de professionnels de l’Audit et du contrôle des SI fondée en 1969 20 000 membres 100 pays Mission: • Promouvoir la profession d’auditeur informatique • Développement de standards et guides d’audit • Conférences, formation, publications, ouvrages… Cobit: Control Objectives for Information and Related Technology www.isaca.org 14
  • 15. II- Normes et standards professionnels d’Audit 010 Charte d’Audit 010.010 Responsabilité et autorité la responsabilité et l’autorité liées à la fonction d’audit des systèmes d’information doivent être définies de façon appropriée dans une charte d’audit ou une lettre de mission 15
  • 16. II- Normes et standards professionnels d’Audit 020 Indépendance 020.010 Indépendance professionnelle Pour tout ce qui concerne l’audit, l’auditeur en systèmes d’information doit être indépendant de l’audité en attitude et en apparence 020.020 Rapport organisationnel la fonction d’audit des systèmes d’information doit être suffisamment indépendante du domaine audité pour permettre une réalisation objective de l’audit 16
  • 17. II- Normes et standards professionnels d’Audit 030 Éthique et normes professionnelles 030.010 Code d’éthique professionnelle L’auditeur en SI doit se conformer au code d’éthique professionnelle de l’association pour le contrôle et l’audit des SI 030.020 Conscience professionnelle la conscience professionnelle et l’observation des normes professionnelles d’audit applicables à tous les aspects du travail de l’auditeur en SI 17
  • 18. II- Normes et standards professionnels d’Audit 040 Compétences 040.010 Compétences et connaissances L’auditeur en SI doit être techniquement compétent et posséder les connaissances nécessaires à la réalisation de son travail d’auditeur 040.020 Formation professionnelle continue L’auditeur en SI doit maintenir ses compétences techniques grâce à une formation professionnelle continue appropriée 18
  • 19. II- Normes et standards professionnels d’Audit 050 Planification 050.010 Planification d’un audit L’auditeur en SI doit planifier le travail d’audit de SI pour répondre aux objectifs de l’audit et pour se conformer aux normes professionnelles d’audit applicables 19
  • 20. II- Normes et standards professionnels d’Audit 060 Réalisation du travail d’audit 060.010 Supervision Le personnel d’audit des SI, l’auditeur en SI doit être supervisé de façon adéquate pour offrir l’assurance que les objectifs de l’audit sont atteints et que les normes professionnelles d’audit applicables sont observées 060.020 Éléments probants Durant le cours de l’audit, l’auditeur SI doit recueillir des éléments probants suffisants, fiables, pertinents et utiles pour accomplir efficacement les objectifs de l’audit. Les résultats et conclusions de l’audit doivent être appuyés par une analyse et une interprétation appropriée de ces éléments probants 20
  • 21. II- Normes et standards professionnels d’Audit 070 Rapport 070.010 Contenu et forme du rapport L’auditeur en SI doit fournir aux destinataires voulus un rapport, sous une forme appropriée, après l’achèvement du travail d’audit. Le rapport d’audit doit mentionner le but, les objectifs, la période couverte, la nature et l’étendue de l’audit réalisé. Le rapport doit identifier l’organisation, les destinataires voulus et toute restriction dans la distribution. Le rapport doit contenir les résultats, conclusions et recommandations ainsi que toute réserve ou qualification de l’auditeur vis à vis de l’audit 21
  • 22. II- Normes et standards professionnels d’Audit 080 Activités de suivi 080.010 Suivi L’auditeur en SI doit demander et évaluer les informations appropriées concernant les résultats, conclusions et recommandations antérieures pour déterminer si les mesures appropriées ont été mises en place dans des délais raisonnables 22
  • 23. II- Normes et standards professionnels d’Audit Lois et règlements Lois et règlements sectoriels: banque, mutuelles, secteur alimentaire, secteur pharmaceutique… Lois et règlements applicables aux SI 23
  • 24. II- Normes et standards professionnels d’Audit La façon d’auditer: Le Top Man. et la DSI ont-ils prévu la prise en compte des lois dans leurs stratégies, plans, procédures ? Revue des documents du département, de la fonction ou de l’activité, qui permettent de répondre aux besoins légaux et sectoriels Déterminer l’adhésion aux procédures qui permettent d’atteindre les objectifs 24
  • 26. III- L’analyse des risques Décomposition d’un risque: Menace (ou vulnérabilité) sur un processus ou sur un actif Impact sur ce processus ou cet actif Probabilité que cela arrive Évaluation des risques: Les biens concernés Les menaces Les vulnérabilités Les Recommandations 26
  • 27. III- L’analyse des risques L’analyse du risque fait partie de la planification de l’audit, elle aide à identifier les risques et vulnérabilités pour que l’auditeur puisse recommander les contrôles adéquats pour atténuer ces risques Contrôle: les politiques, l’organisation, les pratiques conçues pour apporter une assurance raisonnable que les objectifs de l’entreprise seront atteints et que les évènements indésirables seront prévenues ou détectés et corrigés Objectif de contrôle: le résultat à atteindre par la mise en place du contrôle dans une activité donnée 27
  • 29. IV- Le contrôle interne Ensemble de procédures et de dispositifs permanents définis et appliqués sous la responsabilité du Top Man., destinés à fournir une assurance raisonnable quant à la réalisation des objectifs suivants: Protection du patrimoine Conformité aux lois et réglementations en vigueur Efficacité et efficience des opérations de l’entreprise Prévention des fraudes et des erreurs 29
  • 30. IV- Le contrôle interne Le contrôle interne a été développé pour assurer la réalisation des objectifs globaux de l’entreprise et que les risques soient prévenus, détectés et corrigés 30
  • 31. IV- Le contrôle interne Les objectifs du contrôle interne: Sauvegarde des actifs Assurer l’intégrité de l’environnement des TI et des réseaux d’information Assurer l’intégrité de l’environnement des applications critiques: • Les autorisations d’entrées de données • Exactitude et complétude du traitement des transactions • Exactitude, complétude et sécurisation des sorties • Intégrité des BD Assurer l’efficience et l’efficacité des opérations Conformité de l’expression de besoins des utilisateurs avec les politiques organisationnelles et les procédures, ainsi que vis à vis de l’environnement réglementaire 31 Développer des plans de backup et de reprise Développer une politique de réponse aux
  • 32. IV- Le contrôle interne Les contrôles des SI Objectifs de contrôle des SI: L’ISACA publie un ensemble de manuels pour la gouvernance, le contrôle, l’audit des SI Le Cobit: Executive Summary Framework: concepts et principes Objectifs de contrôle: contrôles détaillés Guide de management des SI Guide d’audit des SI Outils de mise en place 32
  • 33. IV- Le contrôle interne Les contrôles des SI Cobit: 34 processus IT classés en 4 domaines 302 objectifs de contrôle détaillé 33
  • 34. 34
  • 35. IV- Le contrôle interne Les contrôles des SI Classification des contrôles: Contrôles préventifs Contrôles détectifs Contrôles correctifs 35
  • 36. Les contrôles des SI Classification des contrôles Détecte les problèmes avant qu’ils N’employer que le personnel qualifié n’arrivent Répartition des tâches Préventif Gère les opérations et les entrées Contrôle physique aux accès Tente de prédire les incidents Utilisation des logiciel de contrôle des potentiels accès aux fichiers Prévient contre les erreurs, les oublis et les actes malveillants Utilise les contrôles pour détecter et Points de contrôles dans les reporter les occurrences d’erreurs, soumission de jobs omission ou actes malveillants Détectif Contrôle d’echo dans les transmissions telecom Reporting des performances périodiques Minimise l’impact d’une menace Planning contingency Remédie aux problèmes découverts Procédures de backup Correctif par les contrôles détectifs Problèmes de réexecution Identifie les causes des problèmes Corrige les problèmes émanant d’un problème 36
  • 38. V- Réalisation de l’audit Les tests Tests de conformité: Respect des procédures Tests de vérification ou tests substantifs Les valeurs (chiffres) sont justes. Exemple: l’inventaire est t-il exact ? Corrélation entre les résultats des premiers et le volume des seconds 38
  • 39. V- Réalisation de l’audit Techniques de sondage Une vérification de toute une population n’est toujours pas possible… Échantillonnage statistique: Échantillonnage statistique: • Par attribut (test de conformité) • Par variable (test substantif) 39
  • 40. V- Réalisation de l’audit Échantillonnage Niveau de confiance (ex : 95%) = 1-risque d’échantillonnage Probabilité que l’échantillon représente la population La taille de l’échantillon est fonction du niveau de confiance Précision : différence admise entre l’échantillon et la population. Plus la précision est fine (petite) plus la taille de l’échantillon est grande. 40
  • 41. V- Réalisation de l’audit Technique de l’audit assisté par ordinateur Générateurs de jeux d’essais Systèmes experts Utilitaires des progiciels (vérification des paramètres) Gestionnaires de bibliothèques de logiciel Dispositif de test intégré (ITF) Outils de capture (snapshot) Fichier d’audit Logiciels d’audit généralisés 41
  • 42. V- Réalisation de l’audit Gestion des ressources d’audit Ressources en personnels Origine des auditeurs (informatique, finance, …….) Les niveaux d’expériences (débutant, expérimenté, certifié CISA) Les contraintes disponibilité des auditeurs, turn over échéance à respecter absence de documentation La mission d’audit : se manage comme tout projet. 42
  • 43. V- Réalisation de l’audit Technique de gestion de projet plan détaillé avec estimations réalistes rapport d’activité ajuster le plan et actions correctives 43
  • 44. V- Réalisation d’un audit de SI Communication des résultats Évaluation des contrôles (forces, faiblesses) Pertinence de l’information – Matérialité Existence de contrôles compensatoires Relations entre contrôles Efficacité et efficience des opérations 44
  • 45. V- Réalisation d’un audit de SI Communication des résultats Présentation et contenu du rapport (standard 070 et 080 ) rappel des objectifs, étendue des travaux, leur période procédures d’audit appliquées opinion sur les contrôles en place constats et recommandations détaillées réponses de la direction sur les actions correctives et les échéances un critère : la matérialité 45
  • 46. V- Réalisation d’un audit de SI Communication des résultats Communication des résultats de l’audit Communication des résultats à la direction et au comité d’audit Conclusions et opinions l’auditeur doit faire part des réserves et difficultés rencontrées lors de l’audit communication et validation à différents niveaux 46
  • 47. V- Réalisation d’un audit de SI Communication des résultats Entretien final l’auditeur peut s’assurer que les faits sont présentés correctement, que les recommandations sont réalistes et éventuellement à renégocier Techniques de présentation rapport de synthèse concis (éventuellement avec des annexes) présentation sur transparents 47
  • 48. Contrôle et auto- évaluation 48
  • 49. VI- Contrôle et auto-évaluation CSA (Control self assessement) Les contrôles sont auto évalués par un service en présence des auditeurs qui interviennent pour faciliter le processus Utilisation de techniques telles que les questionnaires, les groupes de travail audités – auditeurs Sensibilisation aux besoins de contrôle Implication de la hiérarchie et de l’audit interne 49
  • 50. VI- Contrôle et auto-évaluation Les objectif du CSA Amélioration du processus de contrôle (cela ne remplace pas l’audit) Sensibilisation du management au contrôle et à la surveillance Mobilisation de tout le monde sur les domaines à haut risque 50
  • 51. La corporate Governance 51
  • 52. VII- La Corporate Governance La Corporate Governance ou gouvernance d’entreprise est composée de l'ensemble des principes et règles d'organisation, de comportement et de transparence visant à assurer - dans l'optique de la protection des actionnaires - l'équilibre entre la direction et le contrôle de l'entreprise à l'échelon le plus élevé, tout en respectant le pouvoir décisionnel et l'efficience de la direction. Dans la terminologie anglo-saxonne, on parle de "Checks and balances", mais aussi d‘ "incentives", ce que l'on peut traduire par des structures de direction, contrôle et incitation qui servent de cadre à l'interaction des actionnaires (assemblée générale), du conseil d'administration et du management supérieur. 52
  • 53. VII- La Corporate Governance Pour réussir dans cette économie de l'information, la gouvernance d'entreprise et celle des TI ne doivent plus être considérées comme des disciplines séparées et distinctes. Une gouvernance d'entreprise efficace se concentre sur l'expertise et l'expérience des individus et des groupes là où elles peuvent être les plus productives, surveille et mesure les performances, et prévoit une assurance pour les points critiques. 53
  • 54. VII- La Corporate Governance 54
  • 55. VII- La Corporate Governance 55
  • 56. VII- La Corporate Governance 56
  • 57. IT Governance Conception de tableaux Mise en phase Alignement stratégique De bords De l’organisation et de Des projets IT balanced Scorecard La DSI Contrôle de gestion Informatique Schémas directeurs Maîtrise des coûts IT Governance Urbanisation (ABC/ABM) Gestion Maîtrise de des compétences Maîtrise des projets l’Infrastructure informatiques 57 Gestion des risques
  • 58. La loi Sarbanes-Oxley La loi Sarbanes Oxley (entrée en vigueur aux États-Unis en Juillet 2002) vise à renforcer le contrôle exercé sur la gouvernance d’entreprise, selon trois principes : Exactitude et accessibilité de l’information Responsabilité des gestionnaires Indépendance des vérificateurs L’objectif affiché est de promouvoir l’éthique et la responsabilité des gestionnaires, de façon à rétablir la confiance des investisseurs après les différents scandales financiers Dorénavant, les dirigeants seront personnellement engagés sur l’exactitude des comptes, une rotation des vérificateurs externes sera exigée, et ces derniers ne pourront plus offrir à l’entreprise d’autres services que ceux directement liés à la vérification des comptes Enfin, les sanctions seront considérablement renforcées 58