1. Cycle de Préparation au C.I.S.A
Processus d’Audit
Mohamed SAAD, CISA, ITIL, PMP, ISO 27 001 LA
1
2. Sommaire
I- Introduction
II- Normes et standards professionnels d’audit
III- Analyse des risques
IV- Le contrôle interne
V- La réalisation de l’audit
VI- Le CSA (Control Self Assessment)
VII- Le Corporate Governance
2
4. I- Introduction
L’objectif majeure du processus d’Audit est:
Que l’auditeur ait les connaissances nécessaires
pour conduire un audit des systèmes
d’information en concordance avec les normes et
standards de l’Audit des S.I
Que l’auditeur assure que les technologies
d’information de l’entreprise sont alignées sur le
plan stratégique et qu’elles sont bien gérées et
contrôlées
4
5. I- Introduction
L’organisation de la fonction d’Audit
Le rôle de la fonction d’audit doit être statué dans une charte
d’audit
La charte doit renseigner clairement sur la responsabilité et
les objectifs du Top Man. ainsi que la délégation de l’autorité
qu’il confère à la fonction d’audit des TI
Ce document doit arrêter:
L’autorité, le périmètre et les responsabilités de la fonction
d’audit des TI
Le Top Man. et le comité d’audit doivent approuver cette
charte
Une fois la charte établie et approuvée, elle ne doit être
modifiée qu’en cas de changement majeure justifié
5
6. I- Introduction
Le management des ressources des S.I
Les ressources des auditeurs S.I sont limitées, et
leur temps est planifié et optimisé
L’auditeur SI doit avoir les connaissances
nécessaires pour gérer les projets d’audit avec le
staff d’audit
Des compétences particulières peuvent être
requises pour planifier certains audits spécifiques
Le management de l’audit des SI doit avoir les
connaissances nécessaires sur le planning de
charges de ses ressources
Des outils de management des projets sont utilisés
6 pour maîtriser les charges
7. I- Introduction
Le management des ressources des S.I
Les technologies de l’information sont en
perpétuel changement ce qui exige des auditeurs
d’être constamment Up to date
Nouvelles techniques d’audit
Nouveaux métiers en terme des TI
La formation continue constitue un objectif
majeure dans la mise à niveau des compétences
des auditeurs
7
8. I- Introduction
La planification des ressources
La planification de l’audit concerne le court et le long
terme
Le court terme:
Les audit devant être couvert durant l’année
Le long terme:
Les plans d’audit devant tenir compte des
changements majeurs dans les plans stratégiques des
TI de l’organisation
Les changements devant concerner l’environnement
des TI
L’analyse des plannings du court et du long terme doit
être annuelle
8
9. I- Introduction
La planification des ressources
L’auditeur doit être informé au préalable:
Avoir des connaissance sur le domaine à auditer
Les informations, contrôles et pratiques utilisés dans
l’activité à auditer
L’environnement réglementaire
9
10. I- Introduction
La planification des ressources
Planifier un audit, demande de l’auditeur SI de:
1. Avoir des connaissances sur l’activité (l’objectif, les
processus, la technologie…)
2. Effectuer une analyse des risques
3. Conduire une revue de contrôle interne
4. Arrêter le périmètre et les objectifs de l’audit
5. Développer une approche et une stratégie d’audit
10
11. I- Introduction
La planification des ressources
Les étapes permettant à l’auditeur de collecter des
informations sur l’activité:
Analyser les publications et les rapports annuels,
Analyser les rapports d’analyse financière (auditeurs,
commissariat au compte…)
Revoir les plans stratégiques à long terme
Interview des managers clé de l’activité
Revoir les rapports d’audit SI précédents
11
13. II- Normes et standards professionnels
d’Audit
Les standards techniques proposés par ISO, EDIFACT…
Les Codes de Conduite proposés par le Conseil de l'Europe,
l'OCDE, l'ISACA
Les critères de qualification pour les systèmes
informatiques et les processus ; ITSEC, TCSEC, ISO 9000,
SPICE, TickIT, Common Criteria…
Les standards professionnels du contrôle interne et de
l'audit ; COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO…
Les pratiques et exigences métiers proposées par les
forums professionnels (ESF, I4) ainsi que les plates-formes
soutenues par les gouvernements (IBAG, NIST, DTI)…
Les exigences spécifiques aux secteurs de la banque, du
commerce électronique et de la fabrication de TI
13
14. II- Normes et standards professionnels
d’Audit
Présentation de l’ISACA:
Association de professionnels de l’Audit et du
contrôle des SI fondée en 1969
20 000 membres 100 pays
Mission:
• Promouvoir la profession d’auditeur informatique
• Développement de standards et guides d’audit
• Conférences, formation, publications, ouvrages…
Cobit: Control Objectives for Information and Related
Technology
www.isaca.org
14
15. II- Normes et standards professionnels
d’Audit
010 Charte d’Audit
010.010 Responsabilité et autorité
la responsabilité et l’autorité liées à la fonction
d’audit des systèmes d’information doivent être
définies de façon appropriée dans une charte
d’audit ou une lettre de mission
15
16. II- Normes et standards professionnels
d’Audit
020 Indépendance
020.010 Indépendance professionnelle
Pour tout ce qui concerne l’audit, l’auditeur en
systèmes d’information doit être indépendant
de l’audité en attitude et en apparence
020.020 Rapport organisationnel
la fonction d’audit des systèmes d’information
doit être suffisamment indépendante du
domaine audité pour permettre une réalisation
objective de l’audit
16
17. II- Normes et standards professionnels
d’Audit
030 Éthique et normes professionnelles
030.010 Code d’éthique professionnelle
L’auditeur en SI doit se conformer au code
d’éthique professionnelle de l’association pour
le contrôle et l’audit des SI
030.020 Conscience professionnelle
la conscience professionnelle et l’observation
des normes professionnelles d’audit
applicables à tous les aspects du travail de
l’auditeur en SI
17
18. II- Normes et standards professionnels
d’Audit
040 Compétences
040.010 Compétences et connaissances
L’auditeur en SI doit être techniquement
compétent et posséder les connaissances
nécessaires à la réalisation de son travail
d’auditeur
040.020 Formation professionnelle continue
L’auditeur en SI doit maintenir ses
compétences techniques grâce à une formation
professionnelle continue appropriée
18
19. II- Normes et standards professionnels
d’Audit
050 Planification
050.010 Planification d’un audit
L’auditeur en SI doit planifier le travail d’audit
de SI pour répondre aux objectifs de l’audit et
pour se conformer aux normes professionnelles
d’audit applicables
19
20. II- Normes et standards professionnels
d’Audit
060 Réalisation du travail d’audit
060.010 Supervision
Le personnel d’audit des SI, l’auditeur en SI doit être
supervisé de façon adéquate pour offrir l’assurance
que les objectifs de l’audit sont atteints et que les
normes professionnelles d’audit applicables sont
observées
060.020 Éléments probants
Durant le cours de l’audit, l’auditeur SI doit recueillir
des éléments probants suffisants, fiables, pertinents
et utiles pour accomplir efficacement les objectifs de
l’audit. Les résultats et conclusions de l’audit doivent
être appuyés par une analyse et une interprétation
appropriée de ces éléments probants
20
21. II- Normes et standards professionnels
d’Audit
070 Rapport
070.010 Contenu et forme du rapport
L’auditeur en SI doit fournir aux destinataires
voulus un rapport, sous une forme appropriée,
après l’achèvement du travail d’audit. Le
rapport d’audit doit mentionner le but, les
objectifs, la période couverte, la nature et
l’étendue de l’audit réalisé. Le rapport doit
identifier l’organisation, les destinataires voulus
et toute restriction dans la distribution. Le
rapport doit contenir les résultats, conclusions
et recommandations ainsi que toute réserve ou
qualification de l’auditeur vis à vis de l’audit
21
22. II- Normes et standards professionnels
d’Audit
080 Activités de suivi
080.010 Suivi
L’auditeur en SI doit demander et évaluer les
informations appropriées concernant les
résultats, conclusions et recommandations
antérieures pour déterminer si les mesures
appropriées ont été mises en place dans des
délais raisonnables
22
23. II- Normes et standards professionnels
d’Audit
Lois et règlements
Lois et règlements sectoriels: banque,
mutuelles, secteur alimentaire, secteur
pharmaceutique…
Lois et règlements applicables aux SI
23
24. II- Normes et standards professionnels
d’Audit
La façon d’auditer:
Le Top Man. et la DSI ont-ils prévu la prise en
compte des lois dans leurs stratégies, plans,
procédures ?
Revue des documents du département, de la
fonction ou de l’activité, qui permettent de
répondre aux besoins légaux et sectoriels
Déterminer l’adhésion aux procédures qui
permettent d’atteindre les objectifs
24
26. III- L’analyse des risques
Décomposition d’un risque:
Menace (ou vulnérabilité) sur un processus ou sur un
actif
Impact sur ce processus ou cet actif
Probabilité que cela arrive
Évaluation des risques:
Les biens concernés
Les menaces
Les vulnérabilités
Les Recommandations
26
27. III- L’analyse des risques
L’analyse du risque fait partie de la planification de
l’audit, elle aide à identifier les risques et
vulnérabilités pour que l’auditeur puisse
recommander les contrôles adéquats pour atténuer
ces risques
Contrôle: les politiques, l’organisation, les pratiques
conçues pour apporter une assurance raisonnable
que les objectifs de l’entreprise seront atteints et que
les évènements indésirables seront prévenues ou
détectés et corrigés
Objectif de contrôle: le résultat à atteindre par la mise
en place du contrôle dans une activité donnée
27
29. IV- Le contrôle interne
Ensemble de procédures et de dispositifs
permanents définis et appliqués sous la
responsabilité du Top Man., destinés à fournir une
assurance raisonnable quant à la réalisation des
objectifs suivants:
Protection du patrimoine
Conformité aux lois et réglementations en vigueur
Efficacité et efficience des opérations de l’entreprise
Prévention des fraudes et des erreurs
29
30. IV- Le contrôle interne
Le contrôle interne a été développé pour assurer la
réalisation des objectifs globaux de l’entreprise et
que les risques soient prévenus, détectés et corrigés
30
31. IV- Le contrôle interne
Les objectifs du contrôle interne:
Sauvegarde des actifs
Assurer l’intégrité de l’environnement des TI et
des réseaux d’information
Assurer l’intégrité de l’environnement des
applications critiques:
• Les autorisations d’entrées de données
• Exactitude et complétude du traitement des
transactions
• Exactitude, complétude et sécurisation des sorties
• Intégrité des BD
Assurer l’efficience et l’efficacité des opérations
Conformité de l’expression de besoins des
utilisateurs avec les politiques organisationnelles
et les procédures, ainsi que vis à vis de
l’environnement réglementaire
31
Développer des plans de backup et de reprise
Développer une politique de réponse aux
32. IV- Le contrôle interne
Les contrôles des SI
Objectifs de contrôle des SI:
L’ISACA publie un ensemble de manuels pour la
gouvernance, le contrôle, l’audit des SI
Le Cobit:
Executive Summary
Framework: concepts et principes
Objectifs de contrôle: contrôles détaillés
Guide de management des SI
Guide d’audit des SI
Outils de mise en place
32
33. IV- Le contrôle interne
Les contrôles des SI
Cobit:
34 processus IT classés en 4 domaines
302 objectifs de contrôle détaillé
33
35. IV- Le contrôle interne
Les contrôles des SI
Classification des contrôles:
Contrôles préventifs
Contrôles détectifs
Contrôles correctifs
35
36. Les contrôles des SI
Classification des contrôles
Détecte les problèmes avant qu’ils N’employer que le personnel qualifié
n’arrivent Répartition des tâches
Préventif Gère les opérations et les entrées Contrôle physique aux accès
Tente de prédire les incidents Utilisation des logiciel de contrôle des
potentiels accès aux fichiers
Prévient contre les erreurs, les oublis
et les actes malveillants
Utilise les contrôles pour détecter et Points de contrôles dans les
reporter les occurrences d’erreurs, soumission de jobs
omission ou actes malveillants
Détectif Contrôle d’echo dans les
transmissions telecom
Reporting des performances
périodiques
Minimise l’impact d’une menace Planning contingency
Remédie aux problèmes découverts Procédures de backup
Correctif par les contrôles détectifs Problèmes de réexecution
Identifie les causes des problèmes
Corrige les problèmes émanant d’un
problème
36
38. V- Réalisation de l’audit
Les tests
Tests de conformité:
Respect des procédures
Tests de vérification ou tests substantifs
Les valeurs (chiffres) sont justes.
Exemple: l’inventaire est t-il exact ?
Corrélation entre les résultats des premiers et le
volume des seconds
38
39. V- Réalisation de l’audit
Techniques de sondage
Une vérification de toute une population n’est
toujours pas possible…
Échantillonnage statistique:
Échantillonnage statistique:
• Par attribut (test de conformité)
• Par variable (test substantif)
39
40. V- Réalisation de l’audit
Échantillonnage
Niveau de confiance (ex : 95%) = 1-risque
d’échantillonnage
Probabilité que l’échantillon représente la
population
La taille de l’échantillon est fonction du niveau
de confiance
Précision : différence admise entre l’échantillon
et la population. Plus la précision est fine (petite)
plus la taille de l’échantillon est grande.
40
41. V- Réalisation de l’audit
Technique de l’audit assisté par ordinateur
Générateurs de jeux d’essais
Systèmes experts
Utilitaires des progiciels (vérification des
paramètres)
Gestionnaires de bibliothèques de logiciel
Dispositif de test intégré (ITF)
Outils de capture (snapshot)
Fichier d’audit
Logiciels d’audit généralisés
41
42. V- Réalisation de l’audit
Gestion des ressources d’audit
Ressources en personnels
Origine des auditeurs (informatique, finance,
…….)
Les niveaux d’expériences (débutant,
expérimenté, certifié CISA)
Les contraintes
disponibilité des auditeurs, turn over
échéance à respecter
absence de documentation
La mission d’audit : se manage comme tout projet.
42
43. V- Réalisation de l’audit
Technique de gestion de projet
plan détaillé avec estimations réalistes
rapport d’activité
ajuster le plan et actions correctives
43
44. V- Réalisation d’un audit de SI
Communication des résultats
Évaluation des contrôles (forces, faiblesses)
Pertinence de l’information – Matérialité
Existence de contrôles compensatoires
Relations entre contrôles
Efficacité et efficience des opérations
44
45. V- Réalisation d’un audit de SI
Communication des résultats
Présentation et contenu du rapport (standard
070 et 080 )
rappel des objectifs, étendue des travaux, leur
période
procédures d’audit appliquées
opinion sur les contrôles en place
constats et recommandations détaillées
réponses de la direction sur les actions
correctives et les échéances
un critère : la matérialité
45
46. V- Réalisation d’un audit de SI
Communication des résultats
Communication des résultats de l’audit
Communication des résultats à la direction et au
comité d’audit
Conclusions et opinions
l’auditeur doit faire part des réserves et
difficultés rencontrées lors de l’audit
communication et validation à différents
niveaux
46
47. V- Réalisation d’un audit de SI
Communication des résultats
Entretien final
l’auditeur peut s’assurer que les faits sont
présentés correctement, que les
recommandations sont réalistes et
éventuellement à renégocier
Techniques de présentation
rapport de synthèse concis (éventuellement
avec des annexes)
présentation sur transparents
47
49. VI- Contrôle et auto-évaluation
CSA (Control self assessement)
Les contrôles sont auto évalués par un service
en présence des auditeurs qui interviennent
pour faciliter le processus
Utilisation de techniques telles que les
questionnaires, les groupes de travail audités –
auditeurs
Sensibilisation aux besoins de contrôle
Implication de la hiérarchie et de l’audit interne
49
50. VI- Contrôle et auto-évaluation
Les objectif du CSA
Amélioration du processus de contrôle (cela ne
remplace pas l’audit)
Sensibilisation du management au contrôle et à
la surveillance
Mobilisation de tout le monde sur les domaines
à haut risque
50
52. VII- La Corporate Governance
La Corporate Governance ou gouvernance d’entreprise est
composée de l'ensemble des principes et règles
d'organisation, de comportement et de transparence visant
à assurer - dans l'optique de la protection des actionnaires
- l'équilibre entre la direction et le contrôle de l'entreprise à
l'échelon le plus élevé, tout en respectant le pouvoir
décisionnel et l'efficience de la direction. Dans la
terminologie anglo-saxonne, on parle de "Checks and
balances", mais aussi d‘ "incentives", ce que l'on peut
traduire par des structures de direction, contrôle et
incitation qui servent de cadre à l'interaction des
actionnaires (assemblée générale), du conseil
d'administration et du management supérieur.
52
53. VII- La Corporate Governance
Pour réussir dans cette économie de
l'information, la gouvernance d'entreprise et
celle des TI ne doivent plus être considérées
comme des disciplines séparées et distinctes.
Une gouvernance d'entreprise efficace se
concentre sur l'expertise et l'expérience des
individus et des groupes là où elles peuvent être
les plus productives, surveille et mesure les
performances, et prévoit une assurance pour les
points critiques.
53
57. IT Governance
Conception de tableaux Mise en phase
Alignement stratégique
De bords De l’organisation et de
Des projets
IT balanced Scorecard La DSI
Contrôle de gestion
Informatique Schémas directeurs
Maîtrise des coûts IT Governance Urbanisation
(ABC/ABM)
Gestion
Maîtrise de
des compétences Maîtrise des projets
l’Infrastructure
informatiques
57
Gestion des risques
58. La loi Sarbanes-Oxley
La loi Sarbanes Oxley (entrée en vigueur aux États-Unis en
Juillet 2002) vise à renforcer le contrôle exercé sur la
gouvernance d’entreprise, selon trois principes :
Exactitude et accessibilité de l’information
Responsabilité des gestionnaires
Indépendance des vérificateurs
L’objectif affiché est de promouvoir l’éthique et la
responsabilité des gestionnaires, de façon à rétablir la
confiance des investisseurs après les différents scandales
financiers
Dorénavant, les dirigeants seront personnellement engagés
sur l’exactitude des comptes, une rotation des vérificateurs
externes sera exigée, et ces derniers ne pourront plus offrir
à l’entreprise d’autres services que ceux directement liés à
la vérification des comptes
Enfin, les sanctions seront considérablement renforcées
58