L Audit Process

5 767 vues

Publié le

0 commentaire
5 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
5 767
Sur SlideShare
0
Issues des intégrations
0
Intégrations
211
Actions
Partages
0
Téléchargements
338
Commentaires
0
J’aime
5
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

L Audit Process

  1. 1. Cycle de Préparation au C.I.S.A Processus d’Audit Mohamed SAAD, CISA, ITIL, PMP, ISO 27 001 LA 1
  2. 2. Sommaire I- Introduction II- Normes et standards professionnels d’audit III- Analyse des risques IV- Le contrôle interne V- La réalisation de l’audit VI- Le CSA (Control Self Assessment) VII- Le Corporate Governance 2
  3. 3. Introduction 3
  4. 4. I- Introduction L’objectif majeure du processus d’Audit est: Que l’auditeur ait les connaissances nécessaires pour conduire un audit des systèmes d’information en concordance avec les normes et standards de l’Audit des S.I Que l’auditeur assure que les technologies d’information de l’entreprise sont alignées sur le plan stratégique et qu’elles sont bien gérées et contrôlées 4
  5. 5. I- Introduction L’organisation de la fonction d’Audit Le rôle de la fonction d’audit doit être statué dans une charte d’audit La charte doit renseigner clairement sur la responsabilité et les objectifs du Top Man. ainsi que la délégation de l’autorité qu’il confère à la fonction d’audit des TI Ce document doit arrêter: L’autorité, le périmètre et les responsabilités de la fonction d’audit des TI Le Top Man. et le comité d’audit doivent approuver cette charte Une fois la charte établie et approuvée, elle ne doit être modifiée qu’en cas de changement majeure justifié 5
  6. 6. I- Introduction Le management des ressources des S.I Les ressources des auditeurs S.I sont limitées, et leur temps est planifié et optimisé L’auditeur SI doit avoir les connaissances nécessaires pour gérer les projets d’audit avec le staff d’audit Des compétences particulières peuvent être requises pour planifier certains audits spécifiques Le management de l’audit des SI doit avoir les connaissances nécessaires sur le planning de charges de ses ressources Des outils de management des projets sont utilisés 6 pour maîtriser les charges
  7. 7. I- Introduction Le management des ressources des S.I Les technologies de l’information sont en perpétuel changement ce qui exige des auditeurs d’être constamment Up to date Nouvelles techniques d’audit Nouveaux métiers en terme des TI La formation continue constitue un objectif majeure dans la mise à niveau des compétences des auditeurs 7
  8. 8. I- Introduction La planification des ressources La planification de l’audit concerne le court et le long terme Le court terme: Les audit devant être couvert durant l’année Le long terme: Les plans d’audit devant tenir compte des changements majeurs dans les plans stratégiques des TI de l’organisation Les changements devant concerner l’environnement des TI L’analyse des plannings du court et du long terme doit être annuelle 8
  9. 9. I- Introduction La planification des ressources L’auditeur doit être informé au préalable: Avoir des connaissance sur le domaine à auditer Les informations, contrôles et pratiques utilisés dans l’activité à auditer L’environnement réglementaire 9
  10. 10. I- Introduction La planification des ressources Planifier un audit, demande de l’auditeur SI de: 1. Avoir des connaissances sur l’activité (l’objectif, les processus, la technologie…) 2. Effectuer une analyse des risques 3. Conduire une revue de contrôle interne 4. Arrêter le périmètre et les objectifs de l’audit 5. Développer une approche et une stratégie d’audit 10
  11. 11. I- Introduction La planification des ressources Les étapes permettant à l’auditeur de collecter des informations sur l’activité: Analyser les publications et les rapports annuels, Analyser les rapports d’analyse financière (auditeurs, commissariat au compte…) Revoir les plans stratégiques à long terme Interview des managers clé de l’activité Revoir les rapports d’audit SI précédents 11
  12. 12. Normes et standards professionnels d’audit 12
  13. 13. II- Normes et standards professionnels d’Audit Les standards techniques proposés par ISO, EDIFACT… Les Codes de Conduite proposés par le Conseil de l'Europe, l'OCDE, l'ISACA Les critères de qualification pour les systèmes informatiques et les processus ; ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Common Criteria… Les standards professionnels du contrôle interne et de l'audit ; COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO… Les pratiques et exigences métiers proposées par les forums professionnels (ESF, I4) ainsi que les plates-formes soutenues par les gouvernements (IBAG, NIST, DTI)… Les exigences spécifiques aux secteurs de la banque, du commerce électronique et de la fabrication de TI 13
  14. 14. II- Normes et standards professionnels d’Audit Présentation de l’ISACA: Association de professionnels de l’Audit et du contrôle des SI fondée en 1969 20 000 membres 100 pays Mission: • Promouvoir la profession d’auditeur informatique • Développement de standards et guides d’audit • Conférences, formation, publications, ouvrages… Cobit: Control Objectives for Information and Related Technology www.isaca.org 14
  15. 15. II- Normes et standards professionnels d’Audit 010 Charte d’Audit 010.010 Responsabilité et autorité la responsabilité et l’autorité liées à la fonction d’audit des systèmes d’information doivent être définies de façon appropriée dans une charte d’audit ou une lettre de mission 15
  16. 16. II- Normes et standards professionnels d’Audit 020 Indépendance 020.010 Indépendance professionnelle Pour tout ce qui concerne l’audit, l’auditeur en systèmes d’information doit être indépendant de l’audité en attitude et en apparence 020.020 Rapport organisationnel la fonction d’audit des systèmes d’information doit être suffisamment indépendante du domaine audité pour permettre une réalisation objective de l’audit 16
  17. 17. II- Normes et standards professionnels d’Audit 030 Éthique et normes professionnelles 030.010 Code d’éthique professionnelle L’auditeur en SI doit se conformer au code d’éthique professionnelle de l’association pour le contrôle et l’audit des SI 030.020 Conscience professionnelle la conscience professionnelle et l’observation des normes professionnelles d’audit applicables à tous les aspects du travail de l’auditeur en SI 17
  18. 18. II- Normes et standards professionnels d’Audit 040 Compétences 040.010 Compétences et connaissances L’auditeur en SI doit être techniquement compétent et posséder les connaissances nécessaires à la réalisation de son travail d’auditeur 040.020 Formation professionnelle continue L’auditeur en SI doit maintenir ses compétences techniques grâce à une formation professionnelle continue appropriée 18
  19. 19. II- Normes et standards professionnels d’Audit 050 Planification 050.010 Planification d’un audit L’auditeur en SI doit planifier le travail d’audit de SI pour répondre aux objectifs de l’audit et pour se conformer aux normes professionnelles d’audit applicables 19
  20. 20. II- Normes et standards professionnels d’Audit 060 Réalisation du travail d’audit 060.010 Supervision Le personnel d’audit des SI, l’auditeur en SI doit être supervisé de façon adéquate pour offrir l’assurance que les objectifs de l’audit sont atteints et que les normes professionnelles d’audit applicables sont observées 060.020 Éléments probants Durant le cours de l’audit, l’auditeur SI doit recueillir des éléments probants suffisants, fiables, pertinents et utiles pour accomplir efficacement les objectifs de l’audit. Les résultats et conclusions de l’audit doivent être appuyés par une analyse et une interprétation appropriée de ces éléments probants 20
  21. 21. II- Normes et standards professionnels d’Audit 070 Rapport 070.010 Contenu et forme du rapport L’auditeur en SI doit fournir aux destinataires voulus un rapport, sous une forme appropriée, après l’achèvement du travail d’audit. Le rapport d’audit doit mentionner le but, les objectifs, la période couverte, la nature et l’étendue de l’audit réalisé. Le rapport doit identifier l’organisation, les destinataires voulus et toute restriction dans la distribution. Le rapport doit contenir les résultats, conclusions et recommandations ainsi que toute réserve ou qualification de l’auditeur vis à vis de l’audit 21
  22. 22. II- Normes et standards professionnels d’Audit 080 Activités de suivi 080.010 Suivi L’auditeur en SI doit demander et évaluer les informations appropriées concernant les résultats, conclusions et recommandations antérieures pour déterminer si les mesures appropriées ont été mises en place dans des délais raisonnables 22
  23. 23. II- Normes et standards professionnels d’Audit Lois et règlements Lois et règlements sectoriels: banque, mutuelles, secteur alimentaire, secteur pharmaceutique… Lois et règlements applicables aux SI 23
  24. 24. II- Normes et standards professionnels d’Audit La façon d’auditer: Le Top Man. et la DSI ont-ils prévu la prise en compte des lois dans leurs stratégies, plans, procédures ? Revue des documents du département, de la fonction ou de l’activité, qui permettent de répondre aux besoins légaux et sectoriels Déterminer l’adhésion aux procédures qui permettent d’atteindre les objectifs 24
  25. 25. L’analyse des risques 25
  26. 26. III- L’analyse des risques Décomposition d’un risque: Menace (ou vulnérabilité) sur un processus ou sur un actif Impact sur ce processus ou cet actif Probabilité que cela arrive Évaluation des risques: Les biens concernés Les menaces Les vulnérabilités Les Recommandations 26
  27. 27. III- L’analyse des risques L’analyse du risque fait partie de la planification de l’audit, elle aide à identifier les risques et vulnérabilités pour que l’auditeur puisse recommander les contrôles adéquats pour atténuer ces risques Contrôle: les politiques, l’organisation, les pratiques conçues pour apporter une assurance raisonnable que les objectifs de l’entreprise seront atteints et que les évènements indésirables seront prévenues ou détectés et corrigés Objectif de contrôle: le résultat à atteindre par la mise en place du contrôle dans une activité donnée 27
  28. 28. Le contrôle interne 28
  29. 29. IV- Le contrôle interne Ensemble de procédures et de dispositifs permanents définis et appliqués sous la responsabilité du Top Man., destinés à fournir une assurance raisonnable quant à la réalisation des objectifs suivants: Protection du patrimoine Conformité aux lois et réglementations en vigueur Efficacité et efficience des opérations de l’entreprise Prévention des fraudes et des erreurs 29
  30. 30. IV- Le contrôle interne Le contrôle interne a été développé pour assurer la réalisation des objectifs globaux de l’entreprise et que les risques soient prévenus, détectés et corrigés 30
  31. 31. IV- Le contrôle interne Les objectifs du contrôle interne: Sauvegarde des actifs Assurer l’intégrité de l’environnement des TI et des réseaux d’information Assurer l’intégrité de l’environnement des applications critiques: • Les autorisations d’entrées de données • Exactitude et complétude du traitement des transactions • Exactitude, complétude et sécurisation des sorties • Intégrité des BD Assurer l’efficience et l’efficacité des opérations Conformité de l’expression de besoins des utilisateurs avec les politiques organisationnelles et les procédures, ainsi que vis à vis de l’environnement réglementaire 31 Développer des plans de backup et de reprise Développer une politique de réponse aux
  32. 32. IV- Le contrôle interne Les contrôles des SI Objectifs de contrôle des SI: L’ISACA publie un ensemble de manuels pour la gouvernance, le contrôle, l’audit des SI Le Cobit: Executive Summary Framework: concepts et principes Objectifs de contrôle: contrôles détaillés Guide de management des SI Guide d’audit des SI Outils de mise en place 32
  33. 33. IV- Le contrôle interne Les contrôles des SI Cobit: 34 processus IT classés en 4 domaines 302 objectifs de contrôle détaillé 33
  34. 34. 34
  35. 35. IV- Le contrôle interne Les contrôles des SI Classification des contrôles: Contrôles préventifs Contrôles détectifs Contrôles correctifs 35
  36. 36. Les contrôles des SI Classification des contrôles Détecte les problèmes avant qu’ils N’employer que le personnel qualifié n’arrivent Répartition des tâches Préventif Gère les opérations et les entrées Contrôle physique aux accès Tente de prédire les incidents Utilisation des logiciel de contrôle des potentiels accès aux fichiers Prévient contre les erreurs, les oublis et les actes malveillants Utilise les contrôles pour détecter et Points de contrôles dans les reporter les occurrences d’erreurs, soumission de jobs omission ou actes malveillants Détectif Contrôle d’echo dans les transmissions telecom Reporting des performances périodiques Minimise l’impact d’une menace Planning contingency Remédie aux problèmes découverts Procédures de backup Correctif par les contrôles détectifs Problèmes de réexecution Identifie les causes des problèmes Corrige les problèmes émanant d’un problème 36
  37. 37. Réalisation de l’audit 37
  38. 38. V- Réalisation de l’audit Les tests Tests de conformité: Respect des procédures Tests de vérification ou tests substantifs Les valeurs (chiffres) sont justes. Exemple: l’inventaire est t-il exact ? Corrélation entre les résultats des premiers et le volume des seconds 38
  39. 39. V- Réalisation de l’audit Techniques de sondage Une vérification de toute une population n’est toujours pas possible… Échantillonnage statistique: Échantillonnage statistique: • Par attribut (test de conformité) • Par variable (test substantif) 39
  40. 40. V- Réalisation de l’audit Échantillonnage Niveau de confiance (ex : 95%) = 1-risque d’échantillonnage Probabilité que l’échantillon représente la population La taille de l’échantillon est fonction du niveau de confiance Précision : différence admise entre l’échantillon et la population. Plus la précision est fine (petite) plus la taille de l’échantillon est grande. 40
  41. 41. V- Réalisation de l’audit Technique de l’audit assisté par ordinateur Générateurs de jeux d’essais Systèmes experts Utilitaires des progiciels (vérification des paramètres) Gestionnaires de bibliothèques de logiciel Dispositif de test intégré (ITF) Outils de capture (snapshot) Fichier d’audit Logiciels d’audit généralisés 41
  42. 42. V- Réalisation de l’audit Gestion des ressources d’audit Ressources en personnels Origine des auditeurs (informatique, finance, …….) Les niveaux d’expériences (débutant, expérimenté, certifié CISA) Les contraintes disponibilité des auditeurs, turn over échéance à respecter absence de documentation La mission d’audit : se manage comme tout projet. 42
  43. 43. V- Réalisation de l’audit Technique de gestion de projet plan détaillé avec estimations réalistes rapport d’activité ajuster le plan et actions correctives 43
  44. 44. V- Réalisation d’un audit de SI Communication des résultats Évaluation des contrôles (forces, faiblesses) Pertinence de l’information – Matérialité Existence de contrôles compensatoires Relations entre contrôles Efficacité et efficience des opérations 44
  45. 45. V- Réalisation d’un audit de SI Communication des résultats Présentation et contenu du rapport (standard 070 et 080 ) rappel des objectifs, étendue des travaux, leur période procédures d’audit appliquées opinion sur les contrôles en place constats et recommandations détaillées réponses de la direction sur les actions correctives et les échéances un critère : la matérialité 45
  46. 46. V- Réalisation d’un audit de SI Communication des résultats Communication des résultats de l’audit Communication des résultats à la direction et au comité d’audit Conclusions et opinions l’auditeur doit faire part des réserves et difficultés rencontrées lors de l’audit communication et validation à différents niveaux 46
  47. 47. V- Réalisation d’un audit de SI Communication des résultats Entretien final l’auditeur peut s’assurer que les faits sont présentés correctement, que les recommandations sont réalistes et éventuellement à renégocier Techniques de présentation rapport de synthèse concis (éventuellement avec des annexes) présentation sur transparents 47
  48. 48. Contrôle et auto- évaluation 48
  49. 49. VI- Contrôle et auto-évaluation CSA (Control self assessement) Les contrôles sont auto évalués par un service en présence des auditeurs qui interviennent pour faciliter le processus Utilisation de techniques telles que les questionnaires, les groupes de travail audités – auditeurs Sensibilisation aux besoins de contrôle Implication de la hiérarchie et de l’audit interne 49
  50. 50. VI- Contrôle et auto-évaluation Les objectif du CSA Amélioration du processus de contrôle (cela ne remplace pas l’audit) Sensibilisation du management au contrôle et à la surveillance Mobilisation de tout le monde sur les domaines à haut risque 50
  51. 51. La corporate Governance 51
  52. 52. VII- La Corporate Governance La Corporate Governance ou gouvernance d’entreprise est composée de l'ensemble des principes et règles d'organisation, de comportement et de transparence visant à assurer - dans l'optique de la protection des actionnaires - l'équilibre entre la direction et le contrôle de l'entreprise à l'échelon le plus élevé, tout en respectant le pouvoir décisionnel et l'efficience de la direction. Dans la terminologie anglo-saxonne, on parle de "Checks and balances", mais aussi d‘ "incentives", ce que l'on peut traduire par des structures de direction, contrôle et incitation qui servent de cadre à l'interaction des actionnaires (assemblée générale), du conseil d'administration et du management supérieur. 52
  53. 53. VII- La Corporate Governance Pour réussir dans cette économie de l'information, la gouvernance d'entreprise et celle des TI ne doivent plus être considérées comme des disciplines séparées et distinctes. Une gouvernance d'entreprise efficace se concentre sur l'expertise et l'expérience des individus et des groupes là où elles peuvent être les plus productives, surveille et mesure les performances, et prévoit une assurance pour les points critiques. 53
  54. 54. VII- La Corporate Governance 54
  55. 55. VII- La Corporate Governance 55
  56. 56. VII- La Corporate Governance 56
  57. 57. IT Governance Conception de tableaux Mise en phase Alignement stratégique De bords De l’organisation et de Des projets IT balanced Scorecard La DSI Contrôle de gestion Informatique Schémas directeurs Maîtrise des coûts IT Governance Urbanisation (ABC/ABM) Gestion Maîtrise de des compétences Maîtrise des projets l’Infrastructure informatiques 57 Gestion des risques
  58. 58. La loi Sarbanes-Oxley La loi Sarbanes Oxley (entrée en vigueur aux États-Unis en Juillet 2002) vise à renforcer le contrôle exercé sur la gouvernance d’entreprise, selon trois principes : Exactitude et accessibilité de l’information Responsabilité des gestionnaires Indépendance des vérificateurs L’objectif affiché est de promouvoir l’éthique et la responsabilité des gestionnaires, de façon à rétablir la confiance des investisseurs après les différents scandales financiers Dorénavant, les dirigeants seront personnellement engagés sur l’exactitude des comptes, une rotation des vérificateurs externes sera exigée, et ces derniers ne pourront plus offrir à l’entreprise d’autres services que ceux directement liés à la vérification des comptes Enfin, les sanctions seront considérablement renforcées 58

×