SlideShare une entreprise Scribd logo
Cycle de Préparation au C.I.S.A




         Processus d’Audit



Mohamed SAAD, CISA, ITIL, PMP, ISO 27 001 LA
          1
Sommaire

    I- Introduction
    II- Normes et standards professionnels d’audit
    III- Analyse des risques
    IV- Le contrôle interne
    V- La réalisation de l’audit
    VI- Le CSA (Control Self Assessment)
    VII- Le Corporate Governance




2
Introduction



3
I- Introduction


    L’objectif majeure du processus d’Audit est:
       Que l’auditeur ait les connaissances nécessaires
       pour conduire un audit des systèmes
       d’information en concordance avec les normes et
       standards de l’Audit des S.I
       Que l’auditeur assure que les technologies
       d’information de l’entreprise sont alignées sur le
       plan stratégique et qu’elles sont bien gérées et
       contrôlées




4
I- Introduction
          L’organisation de la fonction d’Audit
Le rôle de la fonction d’audit doit être statué dans une charte
d’audit

La charte doit renseigner clairement sur la responsabilité et
les objectifs du Top Man. ainsi que la délégation de l’autorité
qu’il confère à la fonction d’audit des TI

Ce document doit arrêter:
   L’autorité, le périmètre et les responsabilités de la fonction
   d’audit des TI

Le Top Man. et le comité d’audit doivent approuver cette
charte

Une fois la charte établie et approuvée, elle ne doit être
modifiée qu’en cas de changement majeure justifié
    5
I- Introduction
    Le management des ressources des S.I

    Les ressources des auditeurs S.I sont limitées, et
    leur temps est planifié et optimisé

    L’auditeur SI doit avoir les connaissances
    nécessaires pour gérer les projets d’audit avec le
    staff d’audit

    Des compétences particulières peuvent être
    requises pour planifier certains audits spécifiques

    Le management de l’audit des SI doit avoir les
    connaissances nécessaires sur le planning de
    charges de ses ressources

    Des outils de management des projets sont utilisés
6   pour maîtriser les charges
I- Introduction
    Le management des ressources des S.I

    Les technologies de l’information sont en
    perpétuel changement ce qui exige des auditeurs
    d’être constamment Up to date

    Nouvelles techniques d’audit

    Nouveaux métiers en terme des TI

    La formation continue constitue un objectif
    majeure dans la mise à niveau des compétences
    des auditeurs

7
I- Introduction
          La planification des ressources

    La planification de l’audit concerne le court et le long
    terme

    Le court terme:
       Les audit devant être couvert durant l’année

    Le long terme:
       Les plans d’audit devant tenir compte des
       changements majeurs dans les plans stratégiques des
       TI de l’organisation
       Les changements devant concerner l’environnement
       des TI

    L’analyse des plannings du court et du long terme doit
    être annuelle

8
I- Introduction
          La planification des ressources

    L’auditeur doit être informé au préalable:
       Avoir des connaissance sur le domaine à auditer
       Les informations, contrôles et pratiques utilisés dans
       l’activité à auditer
       L’environnement réglementaire




9
I- Introduction
          La planification des ressources

      Planifier un audit, demande de l’auditeur SI de:
     1.   Avoir des connaissances sur l’activité (l’objectif, les
          processus, la technologie…)
     2.   Effectuer une analyse des risques
     3.   Conduire une revue de contrôle interne
     4.   Arrêter le périmètre et les objectifs de l’audit
     5.   Développer une approche et une stratégie d’audit




10
I- Introduction
        La planification des ressources

     Les étapes permettant à l’auditeur de collecter des
     informations sur l’activité:
        Analyser les publications et les rapports annuels,
        Analyser les rapports d’analyse financière (auditeurs,
        commissariat au compte…)
        Revoir les plans stratégiques à long terme
        Interview des managers clé de l’activité
        Revoir les rapports d’audit SI précédents




11
Normes et standards
     professionnels d’audit



12
II- Normes et standards professionnels
                      d’Audit

     Les standards techniques proposés par ISO, EDIFACT…
     Les Codes de Conduite proposés par le Conseil de l'Europe,
     l'OCDE, l'ISACA
     Les critères de qualification pour les systèmes
     informatiques et les processus ; ITSEC, TCSEC, ISO 9000,
     SPICE, TickIT, Common Criteria…
     Les standards professionnels du contrôle interne et de
     l'audit ; COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO…
     Les pratiques et exigences métiers proposées par les
     forums professionnels (ESF, I4) ainsi que les plates-formes
     soutenues par les gouvernements (IBAG, NIST, DTI)…
     Les exigences spécifiques aux secteurs de la banque, du
     commerce électronique et de la fabrication de TI



13
II- Normes et standards professionnels
                      d’Audit

     Présentation de l’ISACA:
           Association de professionnels de l’Audit et du
           contrôle des SI fondée en 1969
           20 000 membres      100 pays
           Mission:
       •      Promouvoir la profession d’auditeur informatique
       •      Développement de standards et guides d’audit
       •      Conférences, formation, publications, ouvrages…
           Cobit: Control Objectives for Information and Related
           Technology
           www.isaca.org




14
II- Normes et standards professionnels
                      d’Audit

     010 Charte d’Audit
        010.010 Responsabilité et autorité
        la responsabilité et l’autorité liées à la fonction
        d’audit des systèmes d’information doivent être
        définies de façon appropriée dans une charte
        d’audit ou une lettre de mission




15
II- Normes et standards professionnels
                      d’Audit

     020 Indépendance
        020.010 Indépendance professionnelle
        Pour tout ce qui concerne l’audit, l’auditeur en
        systèmes d’information doit être indépendant
        de l’audité en attitude et en apparence

        020.020 Rapport organisationnel
        la fonction d’audit des systèmes d’information
        doit être suffisamment indépendante du
        domaine audité pour permettre une réalisation
        objective de l’audit


16
II- Normes et standards professionnels
                      d’Audit

     030 Éthique et normes professionnelles
        030.010 Code d’éthique professionnelle
        L’auditeur en SI doit se conformer au code
        d’éthique professionnelle de l’association pour
        le contrôle et l’audit des SI

        030.020 Conscience professionnelle
        la conscience professionnelle et l’observation
        des normes professionnelles d’audit
        applicables à tous les aspects du travail de
        l’auditeur en SI


17
II- Normes et standards professionnels
                      d’Audit

     040 Compétences
        040.010 Compétences et connaissances
        L’auditeur en SI doit être techniquement
        compétent et posséder les connaissances
        nécessaires à la réalisation de son travail
        d’auditeur

        040.020 Formation professionnelle continue
        L’auditeur en SI doit maintenir ses
        compétences techniques grâce à une formation
        professionnelle continue appropriée


18
II- Normes et standards professionnels
                      d’Audit

     050 Planification
        050.010 Planification d’un audit
        L’auditeur en SI doit planifier le travail d’audit
        de SI pour répondre aux objectifs de l’audit et
        pour se conformer aux normes professionnelles
        d’audit applicables




19
II- Normes et standards professionnels
                      d’Audit

     060 Réalisation du travail d’audit
        060.010 Supervision
        Le personnel d’audit des SI, l’auditeur en SI doit être
        supervisé de façon adéquate pour offrir l’assurance
        que les objectifs de l’audit sont atteints et que les
        normes professionnelles d’audit applicables sont
        observées

        060.020 Éléments probants
        Durant le cours de l’audit, l’auditeur SI doit recueillir
        des éléments probants suffisants, fiables, pertinents
        et utiles pour accomplir efficacement les objectifs de
        l’audit. Les résultats et conclusions de l’audit doivent
        être appuyés par une analyse et une interprétation
        appropriée de ces éléments probants



20
II- Normes et standards professionnels
                      d’Audit

     070 Rapport
        070.010 Contenu et forme du rapport
        L’auditeur en SI doit fournir aux destinataires
        voulus un rapport, sous une forme appropriée,
        après l’achèvement du travail d’audit. Le
        rapport d’audit doit mentionner le but, les
        objectifs, la période couverte, la nature et
        l’étendue de l’audit réalisé. Le rapport doit
        identifier l’organisation, les destinataires voulus
        et toute restriction dans la distribution. Le
        rapport doit contenir les résultats, conclusions
        et recommandations ainsi que toute réserve ou
        qualification de l’auditeur vis à vis de l’audit


21
II- Normes et standards professionnels
                      d’Audit

     080 Activités de suivi
        080.010 Suivi
        L’auditeur en SI doit demander et évaluer les
        informations appropriées concernant les
        résultats, conclusions et recommandations
        antérieures pour déterminer si les mesures
        appropriées ont été mises en place dans des
        délais raisonnables




22
II- Normes et standards professionnels
                      d’Audit

     Lois et règlements
        Lois et règlements sectoriels: banque,
        mutuelles, secteur alimentaire, secteur
        pharmaceutique…
        Lois et règlements applicables aux SI




23
II- Normes et standards professionnels
                      d’Audit

     La façon d’auditer:
        Le Top Man. et la DSI ont-ils prévu la prise en
        compte des lois dans leurs stratégies, plans,
        procédures ?
        Revue des documents du département, de la
        fonction ou de l’activité, qui permettent de
        répondre aux besoins légaux et sectoriels
        Déterminer l’adhésion aux procédures qui
        permettent d’atteindre les objectifs




24
L’analyse des risques




25
III- L’analyse des risques


     Décomposition d’un risque:
        Menace (ou vulnérabilité) sur un processus ou sur un
        actif
        Impact sur ce processus ou cet actif
        Probabilité que cela arrive

     Évaluation des risques:
        Les biens concernés
        Les menaces
        Les vulnérabilités

     Les Recommandations

26
III- L’analyse des risques


     L’analyse du risque fait partie de la planification de
     l’audit, elle aide à identifier les risques et
     vulnérabilités pour que l’auditeur puisse
     recommander les contrôles adéquats pour atténuer
     ces risques

     Contrôle: les politiques, l’organisation, les pratiques
     conçues pour apporter une assurance raisonnable
     que les objectifs de l’entreprise seront atteints et que
     les évènements indésirables seront prévenues ou
     détectés et corrigés

     Objectif de contrôle: le résultat à atteindre par la mise
     en place du contrôle dans une activité donnée

27
Le contrôle interne



28
IV- Le contrôle interne


     Ensemble de procédures et de dispositifs
     permanents définis et appliqués sous la
     responsabilité du Top Man., destinés à fournir une
     assurance raisonnable quant à la réalisation des
     objectifs suivants:
        Protection du patrimoine
        Conformité aux lois et réglementations en vigueur
        Efficacité et efficience des opérations de l’entreprise
        Prévention des fraudes et des erreurs




29
IV- Le contrôle interne


     Le contrôle interne a été développé pour assurer la
     réalisation des objectifs globaux de l’entreprise et
     que les risques soient prévenus, détectés et corrigés




30
IV- Le contrôle interne


     Les objectifs du contrôle interne:
           Sauvegarde des actifs
           Assurer l’intégrité de l’environnement des TI et
           des réseaux d’information
           Assurer l’intégrité de l’environnement des
           applications critiques:
       •      Les autorisations d’entrées de données
       •      Exactitude et complétude du traitement des
              transactions
       •      Exactitude, complétude et sécurisation des sorties
       •      Intégrité des BD
           Assurer l’efficience et l’efficacité des opérations
           Conformité de l’expression de besoins des
           utilisateurs avec les politiques organisationnelles
           et les procédures, ainsi que vis à vis de
           l’environnement réglementaire
31
           Développer des plans de backup et de reprise
           Développer une politique de réponse aux
IV- Le contrôle interne
              Les contrôles des SI

     Objectifs de contrôle des SI:
     L’ISACA publie un ensemble de manuels pour la
     gouvernance, le contrôle, l’audit des SI
     Le Cobit:
        Executive Summary
        Framework: concepts et principes
        Objectifs de contrôle: contrôles détaillés
        Guide de management des SI
        Guide d’audit des SI
        Outils de mise en place


32
IV- Le contrôle interne
              Les contrôles des SI

     Cobit:
       34 processus IT classés en 4 domaines
       302 objectifs de contrôle détaillé




33
34
IV- Le contrôle interne
              Les contrôles des SI

     Classification des contrôles:
        Contrôles préventifs
        Contrôles détectifs
        Contrôles correctifs




35
Les contrôles des SI
            Classification des contrôles
             Détecte les problèmes avant qu’ils        N’employer que le personnel qualifié
             n’arrivent                                Répartition des tâches
Préventif    Gère les opérations et les entrées        Contrôle physique aux accès
             Tente de prédire les incidents            Utilisation des logiciel de contrôle des
             potentiels                                accès aux fichiers
             Prévient contre les erreurs, les oublis
             et les actes malveillants

             Utilise les contrôles pour détecter et    Points de contrôles dans les
             reporter les occurrences d’erreurs,       soumission de jobs
             omission ou actes malveillants
Détectif                                               Contrôle d’echo dans les
                                                       transmissions telecom
                                                       Reporting des performances
                                                       périodiques


             Minimise l’impact d’une menace            Planning contingency
             Remédie aux problèmes découverts          Procédures de backup
Correctif    par les contrôles détectifs               Problèmes de réexecution
             Identifie les causes des problèmes
             Corrige les problèmes émanant d’un
             problème
    36
Réalisation de l’audit




37
V- Réalisation de l’audit
                    Les tests

     Tests de conformité:
       Respect des procédures

     Tests de vérification ou tests substantifs
       Les valeurs (chiffres) sont justes.
       Exemple: l’inventaire est t-il exact ?

     Corrélation entre les résultats des premiers et le
     volume des seconds




38
V- Réalisation de l’audit
             Techniques de sondage

     Une vérification de toute une population n’est
     toujours pas possible…

     Échantillonnage statistique:
       Échantillonnage statistique:
       •   Par attribut (test de conformité)
       •   Par variable (test substantif)




39
V- Réalisation de l’audit
                 Échantillonnage

     Niveau de confiance (ex : 95%) = 1-risque
     d’échantillonnage
        Probabilité que l’échantillon représente la
        population
        La taille de l’échantillon est fonction du niveau
        de confiance

     Précision : différence admise entre l’échantillon
     et la population. Plus la précision est fine (petite)
     plus la taille de l’échantillon est grande.



40
V- Réalisation de l’audit
 Technique de l’audit assisté par ordinateur

     Générateurs de jeux d’essais
     Systèmes experts
     Utilitaires des progiciels (vérification des
     paramètres)
     Gestionnaires de bibliothèques de logiciel
     Dispositif de test intégré (ITF)
     Outils de capture (snapshot)
     Fichier d’audit
     Logiciels d’audit généralisés



41
V- Réalisation de l’audit
        Gestion des ressources d’audit

     Ressources en personnels
       Origine des auditeurs (informatique, finance,
       …….)
       Les niveaux d’expériences (débutant,
       expérimenté, certifié CISA)

     Les contraintes
        disponibilité des auditeurs, turn over
        échéance à respecter
        absence de documentation

     La mission d’audit : se manage comme tout projet.



42
V- Réalisation de l’audit
          Technique de gestion de projet

     plan détaillé avec estimations réalistes
     rapport d’activité
     ajuster le plan et actions correctives




43
V- Réalisation d’un audit de SI
        Communication des résultats

     Évaluation des contrôles (forces, faiblesses)

     Pertinence de l’information – Matérialité

     Existence de contrôles compensatoires

     Relations entre contrôles

     Efficacité et efficience des opérations



44
V- Réalisation d’un audit de SI
         Communication des résultats

     Présentation et contenu du rapport (standard
     070 et 080 )
        rappel des objectifs, étendue des travaux, leur
        période
        procédures d’audit appliquées
        opinion sur les contrôles en place
        constats et recommandations détaillées
        réponses de la direction sur les actions
        correctives et les échéances
     un critère : la matérialité



45
V- Réalisation d’un audit de SI
         Communication des résultats

Communication des résultats de l’audit
   Communication des résultats à la direction et au
   comité d’audit

     Conclusions et opinions
       l’auditeur doit faire part des réserves et
       difficultés rencontrées lors de l’audit
       communication et validation à différents
       niveaux




46
V- Réalisation d’un audit de SI
         Communication des résultats

     Entretien final
       l’auditeur peut s’assurer que les faits sont
       présentés correctement, que les
       recommandations sont réalistes et
       éventuellement à renégocier

     Techniques de présentation
       rapport de synthèse concis (éventuellement
       avec des annexes)
       présentation sur transparents



47
Contrôle et auto-
       évaluation



48
VI- Contrôle et auto-évaluation
        CSA (Control self assessement)

     Les contrôles sont auto évalués par un service
     en présence des auditeurs qui interviennent
     pour faciliter le processus

     Utilisation de techniques telles que les
     questionnaires, les groupes de travail audités –
     auditeurs

     Sensibilisation aux besoins de contrôle

     Implication de la hiérarchie et de l’audit interne


49
VI- Contrôle et auto-évaluation
             Les objectif du CSA

     Amélioration du processus de contrôle (cela ne
     remplace pas l’audit)

     Sensibilisation du management au contrôle et à
     la surveillance

     Mobilisation de tout le monde sur les domaines
     à haut risque




50
La corporate
     Governance



51
VII- La Corporate Governance


La Corporate Governance ou gouvernance d’entreprise est
composée de l'ensemble des principes et règles
d'organisation, de comportement et de transparence visant
à assurer - dans l'optique de la protection des actionnaires
- l'équilibre entre la direction et le contrôle de l'entreprise à
l'échelon le plus élevé, tout en respectant le pouvoir
décisionnel et l'efficience de la direction. Dans la
terminologie anglo-saxonne, on parle de "Checks and
balances", mais aussi d‘ "incentives", ce que l'on peut
traduire par des structures de direction, contrôle et
incitation qui servent de cadre à l'interaction des
actionnaires       (assemblée       générale),    du      conseil
d'administration et du management supérieur.


52
VII- La Corporate Governance


     Pour réussir dans cette économie de
     l'information, la gouvernance d'entreprise et
     celle des TI ne doivent plus être considérées
     comme des disciplines séparées et distinctes.
     Une gouvernance d'entreprise efficace se
     concentre sur l'expertise et l'expérience des
     individus et des groupes là où elles peuvent être
     les plus productives, surveille et mesure les
     performances, et prévoit une assurance pour les
     points critiques.



53
VII- La Corporate Governance




54
VII- La Corporate Governance




55
VII- La Corporate Governance




56
IT Governance
                         Conception de tableaux        Mise en phase
Alignement stratégique
                                De bords          De l’organisation et de
      Des projets
                         IT balanced Scorecard            La DSI




 Contrôle de gestion
   Informatique                                    Schémas directeurs
 Maîtrise des coûts        IT Governance              Urbanisation
    (ABC/ABM)




                                Gestion
       Maîtrise de
                           des compétences         Maîtrise des projets
    l’Infrastructure
                             informatiques

              57
                           Gestion des risques
La loi Sarbanes-Oxley


     La loi Sarbanes Oxley (entrée en vigueur aux États-Unis en
     Juillet 2002) vise à renforcer le contrôle exercé sur la
     gouvernance d’entreprise, selon trois principes :
            Exactitude et accessibilité de l’information
            Responsabilité des gestionnaires
            Indépendance des vérificateurs
     L’objectif affiché est de promouvoir l’éthique et la
     responsabilité des gestionnaires, de façon à rétablir la
     confiance des investisseurs après les différents scandales
     financiers
     Dorénavant, les dirigeants seront personnellement engagés
     sur l’exactitude des comptes, une rotation des vérificateurs
     externes sera exigée, et ces derniers ne pourront plus offrir
     à l’entreprise d’autres services que ceux directement liés à
     la vérification des comptes
     Enfin, les sanctions seront considérablement renforcées

58

Contenu connexe

Tendances

Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Christophe Pekar
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
soumaila Doumbia
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
eGov Innovation Center
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
Management des risques
Management des risquesManagement des risques
Management des risques
abdelghani Koura
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
 L’organisation et la formalisation du management des risques selon l’ISO 31000  L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000
PECB
 
Management des risques
Management des risques Management des risques
Management des risques
Pasteur_Tunis
 
Pwc pg controle_interne-1-
Pwc pg controle_interne-1-Pwc pg controle_interne-1-
Pwc pg controle_interne-1-
2013MINA
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
ndelannoy
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
Yann Riviere CCSK, CISSP, CRISC, CISM
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
Arsène Ngato
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
Arsène Ngato
 
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risquesConférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Eric CASPERS
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
Alghajati
 
Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours -  ibtissam el hassani-2015-2016Management des risques - Support de cours -  ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016
ibtissam el hassani
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
ibtissam el hassani
 

Tendances (20)

Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
 L’organisation et la formalisation du management des risques selon l’ISO 31000  L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000
 
Management des risques
Management des risques Management des risques
Management des risques
 
Pwc pg controle_interne-1-
Pwc pg controle_interne-1-Pwc pg controle_interne-1-
Pwc pg controle_interne-1-
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risquesConférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours -  ibtissam el hassani-2015-2016Management des risques - Support de cours -  ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
 

Similaire à L Audit Process

Audit compatble et financier
Audit compatble et financierAudit compatble et financier
Audit compatble et financier
gadour youssef
 
Audit comptable et financier
Audit comptable et financierAudit comptable et financier
Audit comptable et financier
alaoui rachida
 
audit interne-audit interne-audit interne.pdf
audit interne-audit interne-audit interne.pdfaudit interne-audit interne-audit interne.pdf
audit interne-audit interne-audit interne.pdf
AymenAouainia
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Ammar Sassi
 
Cours audit final
Cours audit finalCours audit final
Cours audit final
ELmehdiTaoufilIdriss
 
1648581692822_01-20 SUP 01 RV-BC.pdf
1648581692822_01-20 SUP 01 RV-BC.pdf1648581692822_01-20 SUP 01 RV-BC.pdf
1648581692822_01-20 SUP 01 RV-BC.pdf
DjouMana4
 
Conduite d'une mission d'audit interne 2
Conduite d'une mission d'audit interne 2Conduite d'une mission d'audit interne 2
Conduite d'une mission d'audit interne 2
hichben
 
Conduite d'une mission d'audit interne
Conduite d'une mission d'audit interneConduite d'une mission d'audit interne
Conduite d'une mission d'audit interne
Pasteur_Tunis
 
Préparation certification CIA: introduction à l'audit interne par EL MOUDEN ...
Préparation certification CIA:  introduction à l'audit interne par EL MOUDEN ...Préparation certification CIA:  introduction à l'audit interne par EL MOUDEN ...
Préparation certification CIA: introduction à l'audit interne par EL MOUDEN ...
Mohamed EL MOUDEN ISCAE, CIA, CISA
 
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7  audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...7  audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
sarl ibrahim ifri
 
Le nouveau rapport de l’auditeur
Le nouveau rapport de l’auditeurLe nouveau rapport de l’auditeur
Le nouveau rapport de l’auditeur
International Federation of Accountants
 
Partie 1 audit comptable et financier
Partie 1 audit comptable et financierPartie 1 audit comptable et financier
Partie 1 audit comptable et financier
Zouhair Aitelhaj
 
Audit comptable et financier Chap 1.pptx
Audit comptable et financier Chap 1.pptxAudit comptable et financier Chap 1.pptx
Audit comptable et financier Chap 1.pptx
AyadIliass
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorCERTyou Formation
 
AUDIT QUALITE .pptx
AUDIT QUALITE .pptxAUDIT QUALITE .pptx
AUDIT QUALITE .pptx
ssuserbbc8ed
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02
穆罕 默德穆罕
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02
穆罕 默德穆罕
 
Présentation IT Governance cobit - IT BSC
Présentation IT Governance   cobit - IT BSCPrésentation IT Governance   cobit - IT BSC
Présentation IT Governance cobit - IT BSC
SAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
TH3_19.pdf
TH3_19.pdfTH3_19.pdf
TH3_19.pdf
AhmedElhaniti
 

Similaire à L Audit Process (20)

Audit compatble et financier
Audit compatble et financierAudit compatble et financier
Audit compatble et financier
 
Audit comptable et financier
Audit comptable et financierAudit comptable et financier
Audit comptable et financier
 
audit 2009
 audit 2009 audit 2009
audit 2009
 
audit interne-audit interne-audit interne.pdf
audit interne-audit interne-audit interne.pdfaudit interne-audit interne-audit interne.pdf
audit interne-audit interne-audit interne.pdf
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
Cours audit final
Cours audit finalCours audit final
Cours audit final
 
1648581692822_01-20 SUP 01 RV-BC.pdf
1648581692822_01-20 SUP 01 RV-BC.pdf1648581692822_01-20 SUP 01 RV-BC.pdf
1648581692822_01-20 SUP 01 RV-BC.pdf
 
Conduite d'une mission d'audit interne 2
Conduite d'une mission d'audit interne 2Conduite d'une mission d'audit interne 2
Conduite d'une mission d'audit interne 2
 
Conduite d'une mission d'audit interne
Conduite d'une mission d'audit interneConduite d'une mission d'audit interne
Conduite d'une mission d'audit interne
 
Préparation certification CIA: introduction à l'audit interne par EL MOUDEN ...
Préparation certification CIA:  introduction à l'audit interne par EL MOUDEN ...Préparation certification CIA:  introduction à l'audit interne par EL MOUDEN ...
Préparation certification CIA: introduction à l'audit interne par EL MOUDEN ...
 
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7  audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...7  audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
 
Le nouveau rapport de l’auditeur
Le nouveau rapport de l’auditeurLe nouveau rapport de l’auditeur
Le nouveau rapport de l’auditeur
 
Partie 1 audit comptable et financier
Partie 1 audit comptable et financierPartie 1 audit comptable et financier
Partie 1 audit comptable et financier
 
Audit comptable et financier Chap 1.pptx
Audit comptable et financier Chap 1.pptxAudit comptable et financier Chap 1.pptx
Audit comptable et financier Chap 1.pptx
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditor
 
AUDIT QUALITE .pptx
AUDIT QUALITE .pptxAUDIT QUALITE .pptx
AUDIT QUALITE .pptx
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02
 
Présentation IT Governance cobit - IT BSC
Présentation IT Governance   cobit - IT BSCPrésentation IT Governance   cobit - IT BSC
Présentation IT Governance cobit - IT BSC
 
TH3_19.pdf
TH3_19.pdfTH3_19.pdf
TH3_19.pdf
 

L Audit Process

  • 1. Cycle de Préparation au C.I.S.A Processus d’Audit Mohamed SAAD, CISA, ITIL, PMP, ISO 27 001 LA 1
  • 2. Sommaire I- Introduction II- Normes et standards professionnels d’audit III- Analyse des risques IV- Le contrôle interne V- La réalisation de l’audit VI- Le CSA (Control Self Assessment) VII- Le Corporate Governance 2
  • 4. I- Introduction L’objectif majeure du processus d’Audit est: Que l’auditeur ait les connaissances nécessaires pour conduire un audit des systèmes d’information en concordance avec les normes et standards de l’Audit des S.I Que l’auditeur assure que les technologies d’information de l’entreprise sont alignées sur le plan stratégique et qu’elles sont bien gérées et contrôlées 4
  • 5. I- Introduction L’organisation de la fonction d’Audit Le rôle de la fonction d’audit doit être statué dans une charte d’audit La charte doit renseigner clairement sur la responsabilité et les objectifs du Top Man. ainsi que la délégation de l’autorité qu’il confère à la fonction d’audit des TI Ce document doit arrêter: L’autorité, le périmètre et les responsabilités de la fonction d’audit des TI Le Top Man. et le comité d’audit doivent approuver cette charte Une fois la charte établie et approuvée, elle ne doit être modifiée qu’en cas de changement majeure justifié 5
  • 6. I- Introduction Le management des ressources des S.I Les ressources des auditeurs S.I sont limitées, et leur temps est planifié et optimisé L’auditeur SI doit avoir les connaissances nécessaires pour gérer les projets d’audit avec le staff d’audit Des compétences particulières peuvent être requises pour planifier certains audits spécifiques Le management de l’audit des SI doit avoir les connaissances nécessaires sur le planning de charges de ses ressources Des outils de management des projets sont utilisés 6 pour maîtriser les charges
  • 7. I- Introduction Le management des ressources des S.I Les technologies de l’information sont en perpétuel changement ce qui exige des auditeurs d’être constamment Up to date Nouvelles techniques d’audit Nouveaux métiers en terme des TI La formation continue constitue un objectif majeure dans la mise à niveau des compétences des auditeurs 7
  • 8. I- Introduction La planification des ressources La planification de l’audit concerne le court et le long terme Le court terme: Les audit devant être couvert durant l’année Le long terme: Les plans d’audit devant tenir compte des changements majeurs dans les plans stratégiques des TI de l’organisation Les changements devant concerner l’environnement des TI L’analyse des plannings du court et du long terme doit être annuelle 8
  • 9. I- Introduction La planification des ressources L’auditeur doit être informé au préalable: Avoir des connaissance sur le domaine à auditer Les informations, contrôles et pratiques utilisés dans l’activité à auditer L’environnement réglementaire 9
  • 10. I- Introduction La planification des ressources Planifier un audit, demande de l’auditeur SI de: 1. Avoir des connaissances sur l’activité (l’objectif, les processus, la technologie…) 2. Effectuer une analyse des risques 3. Conduire une revue de contrôle interne 4. Arrêter le périmètre et les objectifs de l’audit 5. Développer une approche et une stratégie d’audit 10
  • 11. I- Introduction La planification des ressources Les étapes permettant à l’auditeur de collecter des informations sur l’activité: Analyser les publications et les rapports annuels, Analyser les rapports d’analyse financière (auditeurs, commissariat au compte…) Revoir les plans stratégiques à long terme Interview des managers clé de l’activité Revoir les rapports d’audit SI précédents 11
  • 12. Normes et standards professionnels d’audit 12
  • 13. II- Normes et standards professionnels d’Audit Les standards techniques proposés par ISO, EDIFACT… Les Codes de Conduite proposés par le Conseil de l'Europe, l'OCDE, l'ISACA Les critères de qualification pour les systèmes informatiques et les processus ; ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Common Criteria… Les standards professionnels du contrôle interne et de l'audit ; COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO… Les pratiques et exigences métiers proposées par les forums professionnels (ESF, I4) ainsi que les plates-formes soutenues par les gouvernements (IBAG, NIST, DTI)… Les exigences spécifiques aux secteurs de la banque, du commerce électronique et de la fabrication de TI 13
  • 14. II- Normes et standards professionnels d’Audit Présentation de l’ISACA: Association de professionnels de l’Audit et du contrôle des SI fondée en 1969 20 000 membres 100 pays Mission: • Promouvoir la profession d’auditeur informatique • Développement de standards et guides d’audit • Conférences, formation, publications, ouvrages… Cobit: Control Objectives for Information and Related Technology www.isaca.org 14
  • 15. II- Normes et standards professionnels d’Audit 010 Charte d’Audit 010.010 Responsabilité et autorité la responsabilité et l’autorité liées à la fonction d’audit des systèmes d’information doivent être définies de façon appropriée dans une charte d’audit ou une lettre de mission 15
  • 16. II- Normes et standards professionnels d’Audit 020 Indépendance 020.010 Indépendance professionnelle Pour tout ce qui concerne l’audit, l’auditeur en systèmes d’information doit être indépendant de l’audité en attitude et en apparence 020.020 Rapport organisationnel la fonction d’audit des systèmes d’information doit être suffisamment indépendante du domaine audité pour permettre une réalisation objective de l’audit 16
  • 17. II- Normes et standards professionnels d’Audit 030 Éthique et normes professionnelles 030.010 Code d’éthique professionnelle L’auditeur en SI doit se conformer au code d’éthique professionnelle de l’association pour le contrôle et l’audit des SI 030.020 Conscience professionnelle la conscience professionnelle et l’observation des normes professionnelles d’audit applicables à tous les aspects du travail de l’auditeur en SI 17
  • 18. II- Normes et standards professionnels d’Audit 040 Compétences 040.010 Compétences et connaissances L’auditeur en SI doit être techniquement compétent et posséder les connaissances nécessaires à la réalisation de son travail d’auditeur 040.020 Formation professionnelle continue L’auditeur en SI doit maintenir ses compétences techniques grâce à une formation professionnelle continue appropriée 18
  • 19. II- Normes et standards professionnels d’Audit 050 Planification 050.010 Planification d’un audit L’auditeur en SI doit planifier le travail d’audit de SI pour répondre aux objectifs de l’audit et pour se conformer aux normes professionnelles d’audit applicables 19
  • 20. II- Normes et standards professionnels d’Audit 060 Réalisation du travail d’audit 060.010 Supervision Le personnel d’audit des SI, l’auditeur en SI doit être supervisé de façon adéquate pour offrir l’assurance que les objectifs de l’audit sont atteints et que les normes professionnelles d’audit applicables sont observées 060.020 Éléments probants Durant le cours de l’audit, l’auditeur SI doit recueillir des éléments probants suffisants, fiables, pertinents et utiles pour accomplir efficacement les objectifs de l’audit. Les résultats et conclusions de l’audit doivent être appuyés par une analyse et une interprétation appropriée de ces éléments probants 20
  • 21. II- Normes et standards professionnels d’Audit 070 Rapport 070.010 Contenu et forme du rapport L’auditeur en SI doit fournir aux destinataires voulus un rapport, sous une forme appropriée, après l’achèvement du travail d’audit. Le rapport d’audit doit mentionner le but, les objectifs, la période couverte, la nature et l’étendue de l’audit réalisé. Le rapport doit identifier l’organisation, les destinataires voulus et toute restriction dans la distribution. Le rapport doit contenir les résultats, conclusions et recommandations ainsi que toute réserve ou qualification de l’auditeur vis à vis de l’audit 21
  • 22. II- Normes et standards professionnels d’Audit 080 Activités de suivi 080.010 Suivi L’auditeur en SI doit demander et évaluer les informations appropriées concernant les résultats, conclusions et recommandations antérieures pour déterminer si les mesures appropriées ont été mises en place dans des délais raisonnables 22
  • 23. II- Normes et standards professionnels d’Audit Lois et règlements Lois et règlements sectoriels: banque, mutuelles, secteur alimentaire, secteur pharmaceutique… Lois et règlements applicables aux SI 23
  • 24. II- Normes et standards professionnels d’Audit La façon d’auditer: Le Top Man. et la DSI ont-ils prévu la prise en compte des lois dans leurs stratégies, plans, procédures ? Revue des documents du département, de la fonction ou de l’activité, qui permettent de répondre aux besoins légaux et sectoriels Déterminer l’adhésion aux procédures qui permettent d’atteindre les objectifs 24
  • 26. III- L’analyse des risques Décomposition d’un risque: Menace (ou vulnérabilité) sur un processus ou sur un actif Impact sur ce processus ou cet actif Probabilité que cela arrive Évaluation des risques: Les biens concernés Les menaces Les vulnérabilités Les Recommandations 26
  • 27. III- L’analyse des risques L’analyse du risque fait partie de la planification de l’audit, elle aide à identifier les risques et vulnérabilités pour que l’auditeur puisse recommander les contrôles adéquats pour atténuer ces risques Contrôle: les politiques, l’organisation, les pratiques conçues pour apporter une assurance raisonnable que les objectifs de l’entreprise seront atteints et que les évènements indésirables seront prévenues ou détectés et corrigés Objectif de contrôle: le résultat à atteindre par la mise en place du contrôle dans une activité donnée 27
  • 29. IV- Le contrôle interne Ensemble de procédures et de dispositifs permanents définis et appliqués sous la responsabilité du Top Man., destinés à fournir une assurance raisonnable quant à la réalisation des objectifs suivants: Protection du patrimoine Conformité aux lois et réglementations en vigueur Efficacité et efficience des opérations de l’entreprise Prévention des fraudes et des erreurs 29
  • 30. IV- Le contrôle interne Le contrôle interne a été développé pour assurer la réalisation des objectifs globaux de l’entreprise et que les risques soient prévenus, détectés et corrigés 30
  • 31. IV- Le contrôle interne Les objectifs du contrôle interne: Sauvegarde des actifs Assurer l’intégrité de l’environnement des TI et des réseaux d’information Assurer l’intégrité de l’environnement des applications critiques: • Les autorisations d’entrées de données • Exactitude et complétude du traitement des transactions • Exactitude, complétude et sécurisation des sorties • Intégrité des BD Assurer l’efficience et l’efficacité des opérations Conformité de l’expression de besoins des utilisateurs avec les politiques organisationnelles et les procédures, ainsi que vis à vis de l’environnement réglementaire 31 Développer des plans de backup et de reprise Développer une politique de réponse aux
  • 32. IV- Le contrôle interne Les contrôles des SI Objectifs de contrôle des SI: L’ISACA publie un ensemble de manuels pour la gouvernance, le contrôle, l’audit des SI Le Cobit: Executive Summary Framework: concepts et principes Objectifs de contrôle: contrôles détaillés Guide de management des SI Guide d’audit des SI Outils de mise en place 32
  • 33. IV- Le contrôle interne Les contrôles des SI Cobit: 34 processus IT classés en 4 domaines 302 objectifs de contrôle détaillé 33
  • 34. 34
  • 35. IV- Le contrôle interne Les contrôles des SI Classification des contrôles: Contrôles préventifs Contrôles détectifs Contrôles correctifs 35
  • 36. Les contrôles des SI Classification des contrôles Détecte les problèmes avant qu’ils N’employer que le personnel qualifié n’arrivent Répartition des tâches Préventif Gère les opérations et les entrées Contrôle physique aux accès Tente de prédire les incidents Utilisation des logiciel de contrôle des potentiels accès aux fichiers Prévient contre les erreurs, les oublis et les actes malveillants Utilise les contrôles pour détecter et Points de contrôles dans les reporter les occurrences d’erreurs, soumission de jobs omission ou actes malveillants Détectif Contrôle d’echo dans les transmissions telecom Reporting des performances périodiques Minimise l’impact d’une menace Planning contingency Remédie aux problèmes découverts Procédures de backup Correctif par les contrôles détectifs Problèmes de réexecution Identifie les causes des problèmes Corrige les problèmes émanant d’un problème 36
  • 38. V- Réalisation de l’audit Les tests Tests de conformité: Respect des procédures Tests de vérification ou tests substantifs Les valeurs (chiffres) sont justes. Exemple: l’inventaire est t-il exact ? Corrélation entre les résultats des premiers et le volume des seconds 38
  • 39. V- Réalisation de l’audit Techniques de sondage Une vérification de toute une population n’est toujours pas possible… Échantillonnage statistique: Échantillonnage statistique: • Par attribut (test de conformité) • Par variable (test substantif) 39
  • 40. V- Réalisation de l’audit Échantillonnage Niveau de confiance (ex : 95%) = 1-risque d’échantillonnage Probabilité que l’échantillon représente la population La taille de l’échantillon est fonction du niveau de confiance Précision : différence admise entre l’échantillon et la population. Plus la précision est fine (petite) plus la taille de l’échantillon est grande. 40
  • 41. V- Réalisation de l’audit Technique de l’audit assisté par ordinateur Générateurs de jeux d’essais Systèmes experts Utilitaires des progiciels (vérification des paramètres) Gestionnaires de bibliothèques de logiciel Dispositif de test intégré (ITF) Outils de capture (snapshot) Fichier d’audit Logiciels d’audit généralisés 41
  • 42. V- Réalisation de l’audit Gestion des ressources d’audit Ressources en personnels Origine des auditeurs (informatique, finance, …….) Les niveaux d’expériences (débutant, expérimenté, certifié CISA) Les contraintes disponibilité des auditeurs, turn over échéance à respecter absence de documentation La mission d’audit : se manage comme tout projet. 42
  • 43. V- Réalisation de l’audit Technique de gestion de projet plan détaillé avec estimations réalistes rapport d’activité ajuster le plan et actions correctives 43
  • 44. V- Réalisation d’un audit de SI Communication des résultats Évaluation des contrôles (forces, faiblesses) Pertinence de l’information – Matérialité Existence de contrôles compensatoires Relations entre contrôles Efficacité et efficience des opérations 44
  • 45. V- Réalisation d’un audit de SI Communication des résultats Présentation et contenu du rapport (standard 070 et 080 ) rappel des objectifs, étendue des travaux, leur période procédures d’audit appliquées opinion sur les contrôles en place constats et recommandations détaillées réponses de la direction sur les actions correctives et les échéances un critère : la matérialité 45
  • 46. V- Réalisation d’un audit de SI Communication des résultats Communication des résultats de l’audit Communication des résultats à la direction et au comité d’audit Conclusions et opinions l’auditeur doit faire part des réserves et difficultés rencontrées lors de l’audit communication et validation à différents niveaux 46
  • 47. V- Réalisation d’un audit de SI Communication des résultats Entretien final l’auditeur peut s’assurer que les faits sont présentés correctement, que les recommandations sont réalistes et éventuellement à renégocier Techniques de présentation rapport de synthèse concis (éventuellement avec des annexes) présentation sur transparents 47
  • 48. Contrôle et auto- évaluation 48
  • 49. VI- Contrôle et auto-évaluation CSA (Control self assessement) Les contrôles sont auto évalués par un service en présence des auditeurs qui interviennent pour faciliter le processus Utilisation de techniques telles que les questionnaires, les groupes de travail audités – auditeurs Sensibilisation aux besoins de contrôle Implication de la hiérarchie et de l’audit interne 49
  • 50. VI- Contrôle et auto-évaluation Les objectif du CSA Amélioration du processus de contrôle (cela ne remplace pas l’audit) Sensibilisation du management au contrôle et à la surveillance Mobilisation de tout le monde sur les domaines à haut risque 50
  • 51. La corporate Governance 51
  • 52. VII- La Corporate Governance La Corporate Governance ou gouvernance d’entreprise est composée de l'ensemble des principes et règles d'organisation, de comportement et de transparence visant à assurer - dans l'optique de la protection des actionnaires - l'équilibre entre la direction et le contrôle de l'entreprise à l'échelon le plus élevé, tout en respectant le pouvoir décisionnel et l'efficience de la direction. Dans la terminologie anglo-saxonne, on parle de "Checks and balances", mais aussi d‘ "incentives", ce que l'on peut traduire par des structures de direction, contrôle et incitation qui servent de cadre à l'interaction des actionnaires (assemblée générale), du conseil d'administration et du management supérieur. 52
  • 53. VII- La Corporate Governance Pour réussir dans cette économie de l'information, la gouvernance d'entreprise et celle des TI ne doivent plus être considérées comme des disciplines séparées et distinctes. Une gouvernance d'entreprise efficace se concentre sur l'expertise et l'expérience des individus et des groupes là où elles peuvent être les plus productives, surveille et mesure les performances, et prévoit une assurance pour les points critiques. 53
  • 54. VII- La Corporate Governance 54
  • 55. VII- La Corporate Governance 55
  • 56. VII- La Corporate Governance 56
  • 57. IT Governance Conception de tableaux Mise en phase Alignement stratégique De bords De l’organisation et de Des projets IT balanced Scorecard La DSI Contrôle de gestion Informatique Schémas directeurs Maîtrise des coûts IT Governance Urbanisation (ABC/ABM) Gestion Maîtrise de des compétences Maîtrise des projets l’Infrastructure informatiques 57 Gestion des risques
  • 58. La loi Sarbanes-Oxley La loi Sarbanes Oxley (entrée en vigueur aux États-Unis en Juillet 2002) vise à renforcer le contrôle exercé sur la gouvernance d’entreprise, selon trois principes : Exactitude et accessibilité de l’information Responsabilité des gestionnaires Indépendance des vérificateurs L’objectif affiché est de promouvoir l’éthique et la responsabilité des gestionnaires, de façon à rétablir la confiance des investisseurs après les différents scandales financiers Dorénavant, les dirigeants seront personnellement engagés sur l’exactitude des comptes, une rotation des vérificateurs externes sera exigée, et ces derniers ne pourront plus offrir à l’entreprise d’autres services que ceux directement liés à la vérification des comptes Enfin, les sanctions seront considérablement renforcées 58