SlideShare une entreprise Scribd logo
1  sur  101
Les guides d’audit TI
de l’ISACA

ISACA Chapitre Québec
4 décembre 2013
Présentateur

Javier Bentancur, CISA, MBA
javier.bentancur@isaca-quebec.ca
http://ca.linkedin.com/in/javierbentancur

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

2
L’association ISACA
1969 : «EDP Auditors Association»
1984 : APVCSI à Québec
1998 : ITGI
2013 :
o
o

+ de 110.000 membres dans 180 pays
+ de 200 délégations dans 80 pays

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

3
Objectifs
Expliquer les guides d’audit TI d’ISACA et leur
contexte d’utilisation.
Présenter des exemples des guides.
Introduire le nouveau guide basé sur Cobit5.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

4
Les guides d’audit TI de l’ISACA
Normes d’audit TI et d’assurance (ITAF v2)
o

Normes et directives

Outils et techniques
o
o
o
o
o

Concepts de base d’audit TI
Livres blanc (« White papers »)
Références techniques
Programmes d’audit TI
Famille de produits Cobit 5

Cobit 5 pour l’assurance (audit TI)
o

Guide professionnel basé sur Cobit 5

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

5
Les normes d’audit TI et
d’assurance (ITAF v2)
Les normes

Les directives
Les normes
Définition :
o

Lignes directrices qui encadrent les professionnels
de l’audit TI et de l’assurance.

Obligation de les respecter et de les appliquer
à tout intervention professionnelle.
Concernent l’éthique, l’indépendance,
l’objectivité, la diligence, la connaissance, la
capacité et les compétences du professionnel.
Valides depuis 1-nov-2013.
4 déc 2013

ISACA Québec - www.isaca-quebec.ca

7
Structure des normes
Générales
(série 1000)
Performance
(série 1200)

• Conduite de la mission

Rapport
(série 1400)
4 déc 2013

• Principes directeurs de la
profession d’audit

• Types de rapports, moyens de
communication et informations
communiquées

ISACA Québec - www.isaca-quebec.ca

8
Liste des normes
Générales
o
o
o
o
o
o
o
o

1001 : Charte d’audit
1002 : Indépendance de l’organisation
1003 : Indépendance professionnelle
1004 : Attentes raisonnables
1005 : Conscience professionnelle
1006 : Compétence
1007 : Affirmations
1008 : Critères

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

9
Liste des normes
Performance
o
o
o
o
o
o
o

1201 : Planification de la mission
1202 : Évaluation du risque dans la planification
1203 : Exécution et supervision
1204 : Matérialité
1205 : Éléments probants
1206 : Utilisation du travail d’autres experts
1207 : Irrégularités et actes illégaux

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

10
Liste des normes
Rapports
o
o

1401 : Rapports
1402 : Activités de suivi

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

11
Les directives
Définition :
o

Instructions sur l’application des normes.

Le professionnel s’y réfère lors de leurs mises en
œuvre, et fait appel à son jugement
professionnel.
Il doit être en mesure de justifier tout écart visà-vis celles-ci.
Présentement en révision.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

12
Structure des directives
Générales (série 2000)
o

2001 à 2008

Performance (série 2200)
o
o

2201 à 2207
2208 : Échantillonnage d’audit

Rapport (série 2400)
o

2401 à 2402

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

13
Norme 1001

Exemple : La charte d’audit

4 déc 2013

• 1001.1 : Définit l’objectif, la
responsabilité, l’autorité et
l’imputabilité de la fonction d’audit.
• 1001.2 : Indique que la charte d’audit
doit être approuvée par le niveau
approprié de l’organisation.

ISACA Québec - www.isaca-quebec.ca

14
Directive 2001

Exemple : La charte d’audit

4 déc 2013

• Suggère un mandat pour la fonction d’audit.
• Décrit le contenue de la charte d’audit :
• L’objectif, la responsabilité, l’autorité et la
réédition de comptes, etc.
• Suggère de considérer un processus
d’assurance qualité pour la mettre à jour.
• Décrit le contenu de la lettre du mandat.
• La responsabilité, l’autorité et la réédition
de comptes, etc.

ISACA Québec - www.isaca-quebec.ca

15
Exemple : La charte d’audit
Lien des directives avec Cobit
Norme

Directive

Cobit 4

1001 : Charte d’audit

2001

ME 4.7 – Assurance indépendante.
ME 2.5 – Assurance de contrôle
interne.

1206 : Utilisation du travail
d’autres experts

2206

ME 2.5 – Assurance de contrôle
interne.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

16
Conclusion et questions

Référence universelle.
En constante évolution.
Commentaires de la
communauté.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

17
Outils et techniques d’audit TI
Concepts de base d’audit TI
Concepts de base d’audit TI
Objectif :
o

o

Mettre à la disposition des professionnels,
éducateurs et le public les principes concernant
l’audit TI.
Permettre l’avancement du domain de l’audit TI par
des opinions.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

19
Concepts de base d’audit TI
Caractéristiques :
o
o
o

Publiés depuis 2002 .
Une colonne du magazine «ISACA Journal».
Organisés selon les principes du modèle Curricula
d’ISACA pour les professionels de l’audit et
l’assurance TI.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

20
Concepts de base d’audit TI
Classification :
o
o
o
o
o
o
o

Processus d’audit.
Développement, acquisition, implementation et
maintenance d’applications d’affaires.
Évaluation des processus d’affaires et gestion de
risques.
Récupération aux désastres et continuité d’affaires.
Gestion, planification et organisation des SI.
Protection des actifs informationnels.
Pratiques techniques d’infrastructures et des
opérations.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

21
Processus d’audit TI

Exemple

4 déc 2013

•
•
•
•
•
•

Fonction d’audit TI (6).
Évidence d’audit (3).
Suivi du rapport (1).
Concepts à l’égard du contrôle interne (7).
Concepts fondamentaux d’audit (11).
Gestion de l’audit (2).

ISACA Québec - www.isaca-quebec.ca

22
Concepts à l’égard du
contrôle interne

Exemple

4 déc 2013

• Comment auditer une organisation de
services (rapport SOC).
• Comprendre le nouveau rapport SOC.
• Le cycle de vie du développement des
contrôles.
• Comment utiliser COSO (parties 1 et 2).
• Audit des contrôles généraux et
d’applications.
• Audit de sécurité.
ISACA Québec - www.isaca-quebec.ca

23
Exemple
Transformation des données pour
«CAAT»
• Introduction.
• Méthodologie «ETL» pour CAAT et
forage de données.
• Exemples.
• Outils de transformation de données.
• Conclusion.
4 déc 2013

ISACA Québec - www.isaca-quebec.ca

24
Conclusion et questions

Format papier et
numérique.
Lecture rapide.
Sujets d’actualité.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

25
Outils et techniques d’audit TI
Livres blanc (White papers)
Livres blanc ou « White papers »
Objectif :
o

Mettre à disposition l’information relevante et à jour
concernant des aspects pouvant impacter les
opérations des organisations.

Caractéristiques:
o
o
o
o

Flux RSS.
Commentaires (feedback).
Autres ouvrages liés.
Format numérique.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

27
Livres blanc 2013
Sécurité en tant que service (SAAS).
Données masives et protection de la vie privée.
Gouvernance du cloud: informations indispensables
aux conseils d’administration.
Données masives : Impacts et avantages .
Résultat de l’étude sur la sensibilisation aux menaces
avancées persistentes.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

28
Exemple : Gouvernance du cloud
Objectif :
o

Décrire brièvement le cloud et présenter les
questions qui permettront aux dirigeants d’évaluer
les avantages d’intégrer le cloud dans la stratégie de
leurs organisations.

Sujets :
o
o
o

La valeur du cloud.
La gouvernance du cloud.
Les informations indispensables au conseil
d’administration (les questions).

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

29
Exemple : Gouvernance du cloud

1
Les équipes de management ontelles élaboré un plan concernant
le cloud computing ? Ont-elles
évalué la valeur générée et les
coûts d’opportunité ?

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

30
Exemple : Gouvernance du cloud

2
Dans quelle mesure les plans
relatifs au cloud computing
servent-ils la mission de
l’entreprise ?

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

31
Exemple : Gouvernance du cloud

3
Les équipes dirigeantes ont-elles
procédé à une évaluation
systématique de la préparation de
l’organisation ?

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

32
Exemple : Gouvernance du cloud

4

Les équipes de management ontelles pris en compte les
investissements existants qui
pourraient être perdus dans leur
planification de mise en oeuvre du
cloud computing ?

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

33
Exemple : Gouvernance du cloud

5
Les équipes de management ontelles élaboré des stratégies
permettant de mesurer le retour
sur investissement de l’adoption
du cloud computing et de l’évaluer
par rapport aux risques ?

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

34
Livres blanc 2012
Business Continuity Management: Emerging Trends
Cloud Computing Market Maturity Study Results
Security Considerations for Cloud Computing
Calculating Cloud ROI: From the Customer Perspective
Virtualization Desktop Infrastructure (VDI)
Incident Management and Response
Guiding Principles for Cloud Computing Adoption and
Use

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

35
Livres blanc 2011
Mobile Payments: Risk, Security and Assurance Issues.
Web Application Security: Business and Risk
Considerations.
Geolocation: Risk, Issues and Strategies.
Data Analytics—A Practical Approach.
Leveraging XBRL for Value in Organizations.
Sustainability.
Electronic Discovery.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

36
À venir (2014)
Programmes d’audit (Cobit5)
Contrôle et audit du cloud
Génération de la valeur à partir des données massives
(2013)
Scénarios de risques (Cobit5 pour les risques)
Utilisation de Cobit 5 pour SOX
SAP ERP v4: aspects de sécurité, audit et contrôle

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

37
Conclusion et questions

Groupe de recherche.
Sujets d’actualité.
Conseils pratiques.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

38
Outils et techniques d’audit TI
Références techniques
Références techniques
Objectif :
o

Faciliter aux professionnels de la sécurité, de l’audit
et du contrôle des TI (et non TI) l’évaluation des
produits installés.

Caractéristiques
o
o

o

Livre format papier, payant.
Téléchargement gratuit: sommaire, programme
d’audit et questionnaire de contrôle interne.
Communauté de pratique.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

40
PeopleSoft d’Oracle, v3, 2012

296 pages.
Sommaire (52
pages).

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

41
Suite Oracle e-Business, v3, 2010

407 pages.
Sommaire (38 pages).

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

42
SAP®ERP, v3, 2009

470 pages.
Sommaire (12
pages).

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

43
Base de données Oracle, v3, 2009

219 pages.
Sommaire (28 pages).

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

44
Exemple : Base de données Oracle
Architecture d’oracle DBMS.
Planification de l’audit.
Aspects de sécurité :
o

Système d’exploitation, privilèges, contrôle d’accès,
relations de confiance, réseau.

Contrôles généraux.
Programme d’audit.
Questionnaire du contrôle interne.
4 déc 2013

ISACA Québec - www.isaca-quebec.ca

45
Conclusion et questions

Technologies spécifiques et
complexes.
Référence pour l’auditeur TI.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

46
Outils et techniques d’audit TI
Programmes d’audit TI
Programmes d’audit TI et d’assurance
Objectif :
o

Mettre à la disposition des professionnels de
l’assurance et de l’audit TI des exemples de
programmes d’audit avec une vocation éducative.

Caractéristiques :
o
o

Modèle basé sur Cobit.
Liens avec COSO, ITAF, Cobit.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

48
Programmes d’audit TI et d’assurance
Gestion de crises, de changements, de continuité
d’affaires, de risques, etc.
Cloud, biométrie, VOIP, Medias sociaux, etc.
Lotus Notes, Sharepoint, Base de données MS-SQL,
MS File share, serveur de services web Apache, etc.
VPN, PKI, IPv6, Mobile computing, Active directory,
z/OS, VMWare, UNIX/Linux, etc.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

49
Exemple : Virtualisation avec VMware
Planification
o
o

la portée.
l’audit de l’application.

Programme d’audit
o
o
o
o

Gouvernance de l’environnement virtuel.
Préparation sur le champ.
Environnement virtuel.
Respect des normes de l’organisation.

Évaluation de la maturité.
Architecture de virtualisation.
Indicateurs de performance.
4 déc 2013

ISACA Québec - www.isaca-quebec.ca

50
Exemple : Virtualisation avec VMware
4 Environnement virtuel
o

4.1 Hypervisor
•
.1 Hardening guide.
•
.2 Mot de passe «Root».
•
.3 Lockdown mode.
•
.4 Protection du shell ESXi.
•
.5 Piste d’audit.
•
.6 Mises à jour de l’hypervisor.
•
.7 Séparation de fonctions.
•
.8 Mot de passe de la base de données.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

51
Exemple : Virtualisation avec VMware
4.1.6 Mis à jour de l’hypervisor

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

52
Conclusion et questions

Lien avec plusieurs
référentiels.
Technologies et sujets
variés.
Mise à jour vers Cobit 5.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

53
Outils et techniques d’audit TI
Famille de produits Cobit5
Évolution de Cobit
1996 : Cobit V1 - pour l’audit TI
1998 : Cobit V2
2000 : Cobit V3
2005 : Cobit V4
o 2007 : Cobit 4.1, Val IT, Risk IT,…
2012 : Famille de produits Cobit 5
o 2013 : Cobit 5, pour l’assurance

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

55
Famille de produits Cobit 5

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

56
Famille de produits Cobit 5
Programme d’évaluation
Process Assessment Programme.
o Self-Assessment Guide.
o Process Assessment Model.
o Assessor Guide.
o

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

57
Cobit 5 pour l’assurance

318 pages.
Format papier et numérique.
Volume payant.
Téléchargement :
o Présentation et brochure.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

58
Cobit 5 pour l’assurance
Objectifs :
o

o

o

Orienter sur comment utiliser Cobit 5 pour la
fonction d’audit et d’assurance.
Proposer une démarche d’audit basée sur les
facilitateurs de Cobit 5.
Présenter des exemples de programmes
d’assurance (d’audit).

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

59
Cobit 5 pour l’assurance
Table de matières :
o
o
o
o
o
o
o

Section 1 : Concepts de base sur l’assurance et application
des principes de Cobit 5.
Section 2A : Utilisation des facilitateurs de Cobit 5 pour la
gestion de la fonction d’audit ou d’assurance.
Section 2B : Réalisation des mandats d’audit en utilisant
les facilitateurs de Cobit 5.
Section 3 : Relation avec autres référentiels.
Annexe B : Guide détaillé sur les facilitateurs pour la
fonction d’audit.
Annexe C : Description détaillée des processus clés pour
l’audit.
Annexe D : Exemples de programmes d’audit.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

60
Les perspectives du guide

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

61
L’étendue du guide

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

62
Perspective : La fonction d’audit

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

63
Les composantes de l’audit

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

64
Les principes appliqués à l’audit TI

1 – Les parties prenantes
2 – L’entreprise de mur à mur
3 – Un cadre de référence intégré
4 – Démarche globale
5 – Distinction entre gouvernance et gestion
4 déc 2013

ISACA Québec - www.isaca-quebec.ca

65
Exemple : 1-Les parties prenantes
Interne
o
o
o

Comité d’audit.
Groupes d’audit, risque et conformité.
Direction exécutive et d’affaires.

Externe
o
o
o
o

4 déc 2013

Actionnaires.
Auditeurs externes.
Entités de réglementation.
Partenaires d’affaires et clients.
ISACA Québec - www.isaca-quebec.ca

66
Exemple : 1-Les parties prenantes
Types d’engagements d’assurance

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

67
Exemple: 1-Les parties prenantes
Caractéristiques des types d’engagements

Exemple: Indépendance
o Pas requise ou non garantie (établir les responsabilités).
o Optimiser la fonction.
o Doit être établie, vérifiée et conservée.
4 déc 2013

ISACA Québec - www.isaca-quebec.ca

68
Les facilitateurs et la fonction d’audit
Les facilitateurs de Cobit 5

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

69
Les facilitateurs et la fonction d’audit
1 - Principes, normes et cadre de références.
2 - Les processus.
3 – Les structures organisationnelles.
4 – Culture, éthique et comportement.
5 – Informations.
6 – Services, infrastructure et applications.
7 – Personnel, aptitudes et compétences.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

70
Modèle générique des facilitateurs

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

71
1 - Principes, normes et cadres de réf.
Objectif :
o

Identifier les principes, normes et cadres de référence
nécessaires pour construire et maintenir une fonction
d’audit TI efficace et efficiente.

Les normes d’audit TI
Les bonnes pratiques
o

Le code d’éthique professionnelle.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

72
2 - Les processus
Les processus clés pour la fonction d’audit

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

73
Exemple : Le processus EDM01
Les livrables du processus

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

74
Exemple : Le processus EDM01
Les indicateurs pour mesurer la performance du
processus

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

75
Exemple : Le processus EDM01
Les activités du processus

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

76
3 – Les structures organisationnelles
Les structures pour la fonction d’audit
o
o
o
o

Comité d’audit et/ou de direction.
Direction d’audit.
Direction de conformité (interne, externe).
Audit externe.

Les bonnes pratiques
o
o
o
o

Composition.
Mandat, principes d’opération, niveaux d’autorité et de
contrôle.
Rôles et responsabilités (lien des rôles avec les processus
organisationnels).
Intrants et extrants.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

77
4 – Culture, éthique et comportement
Catégories
o
o
o

Globales à l’organisation (5)
Professionnelle (8)
Gestion (10)

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

78
5 – Informations
Éléments d’information (18)

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

79
6 - Services, infrastructure et applications
Services
o
o
o
o
o
o
o
o

Rapport et communication.
Assurance qualité.
Suivi du temps.
Engagement des ressources.
Accès à l’information.
Suivi des lois, réglementations, etc.
Risques émergents.
Évaluation de la performance.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

80
6 – Services, infrastructure et applications
Applications de support
o
o
o
o
o
o
o
o

Registre des risques.
Outils techniques (CAATs).
Bibliothèque de pratiques d’audit.
Gestion documentaire.
Outils de planification.
Suivi d’incidents.
Outils d’analyse et d’échantillonnage.
Workflow.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

81
7 – Personnel, aptitudes et compétences
Rôles et compétences
o
o
o
o
o
o
o

Description
Expérience
Éducation
Qualifications
Connaissance
Compétences techniques
Comportement

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

82
Questions

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

83
Perspective : Le processus d’audit

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

84
Le processus d’audit
Évaluation de la fonction d’audit TI
o

Processus MEA01, MEA02, MEA03.

Évaluation des facilitateurs
o

Démarche d’audit basé sur Cobit5.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

85
Démarche d’audit basé sur Cobit5

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

86
Démarche d’audit basé sur Cobit5
A-Déterminer
l’étendu
• A1 ( 2)
• A2 (5)
• A3 (7)

4 déc 2013

Comprendre les
facilitateurs et les
évaluer
•
•
•
•
•
•
•

B1 (2)
B2 (5)
B3 (7)
B4 (5)
B5 (5)
B6 (5)
B7 (5)
B8 (5)

ISACA Québec - www.isaca-quebec.ca

Communication
des résultats
• C1 (2)
• C2 (3)

87
Exemple : Flux de travail A-2.4
A-2.4 Traduire les priorités en objectifs d’audit

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

88
Exemple: Flux de travail A-3
A-3 Déterminer les facilitateurs

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

89
Exemple : Flux de travail B-7.5
B-7.5 Évaluation des services (f6)

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

90
Lien avec d’autres guides
ITAF
o

Normes d’audit d’ISACA

IPPF
o

ITAF
IPPF

Normes d’audit d’IIA

SSAE16

SSAE-16
o

Normes des rapports SOC

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

91
Exemple : Lien avec IPPF
IPPF :
o

o

Cadre conceptuel de l’IIA qui organise les exigences
professionnelles des auditeurs.
Composition: La définition d’audit interne, le code
d’éthique et les normes d’audit interne de l’IIA.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

92
Exemple : Lien avec IPPF
Tableau comparatif

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

93
Questions

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

94
Programme d’audit - BYOD
Adaptation du processus
générique
o
o

Structuré dans 3 phases
Aligné avec Cobit5

Procédés et directives

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

95
Programme d’audit – BYOD
A-2.4 Traduire les priorités en objectifs d’audit

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

96
Programme d’audit – BYOD
A-3 Déterminer les facilitateurs

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

97
Exemple : Programme d’audit – BYOD
B-2.1 Évaluation des principes (f1) : Engagement

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

98
Exemple : Programme d’audit – BYOD
B-7.5 Évaluation des service (f6) : MDM

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

99
Conclusion et questions

Adaptation de Cobit 5 pour
la fonction d’audit.
Approche structuré pour la
réalisation des mandats.
Exemples de programmes
d’audit actuels.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

100
Merci
javier.bentancur@isaca-quebec.ca

Contenu connexe

Tendances

Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
DIALLO Boubacar
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
Ammar Sassi
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
etienne
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
ISACA Chapitre de Québec
 

Tendances (20)

Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
 
Gouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationGouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’information
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURICours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 

En vedette

NOEL EN GRECE
NOEL EN GRECENOEL EN GRECE
NOEL EN GRECE
rgiaka003
 
Marques, grossistes : découvrez comment vous pouvez travailler avec Vente du ...
Marques, grossistes : découvrez comment vous pouvez travailler avec Vente du ...Marques, grossistes : découvrez comment vous pouvez travailler avec Vente du ...
Marques, grossistes : découvrez comment vous pouvez travailler avec Vente du ...
Stephievdd
 
Eric Frampas : Le radiologue face aux lymphomes: Simple spectateur ou véritab...
Eric Frampas : Le radiologue face aux lymphomes: Simple spectateur ou véritab...Eric Frampas : Le radiologue face aux lymphomes: Simple spectateur ou véritab...
Eric Frampas : Le radiologue face aux lymphomes: Simple spectateur ou véritab...
Francelymphomeespoir
 
Les légumes
Les légumesLes légumes
Les légumes
pajamas
 
Recetas torta de 3 chocolates
Recetas torta de 3 chocolatesRecetas torta de 3 chocolates
Recetas torta de 3 chocolates
Gloria Samay
 

En vedette (20)

La fuente de poder
La fuente de poderLa fuente de poder
La fuente de poder
 
Diaporama pour la délégation russe
Diaporama pour la délégation russeDiaporama pour la délégation russe
Diaporama pour la délégation russe
 
La presse
La presseLa presse
La presse
 
Secrétaire à la carte
Secrétaire à la carteSecrétaire à la carte
Secrétaire à la carte
 
Commerce Électronique - Enjeux et tendances B2C
Commerce Électronique - Enjeux et tendances B2CCommerce Électronique - Enjeux et tendances B2C
Commerce Électronique - Enjeux et tendances B2C
 
Glen mc tier_active_dir.[1]
Glen mc tier_active_dir.[1]Glen mc tier_active_dir.[1]
Glen mc tier_active_dir.[1]
 
Voeux Inter-Ligere
Voeux Inter-LigereVoeux Inter-Ligere
Voeux Inter-Ligere
 
Eolien et solaire : faisons le point en images !
Eolien et solaire : faisons le point en images !Eolien et solaire : faisons le point en images !
Eolien et solaire : faisons le point en images !
 
Nym
NymNym
Nym
 
NOEL EN GRECE
NOEL EN GRECENOEL EN GRECE
NOEL EN GRECE
 
Criterios de diseno_nacional
Criterios de diseno_nacionalCriterios de diseno_nacional
Criterios de diseno_nacional
 
Marques, grossistes : découvrez comment vous pouvez travailler avec Vente du ...
Marques, grossistes : découvrez comment vous pouvez travailler avec Vente du ...Marques, grossistes : découvrez comment vous pouvez travailler avec Vente du ...
Marques, grossistes : découvrez comment vous pouvez travailler avec Vente du ...
 
Enzo 1 an
Enzo 1 anEnzo 1 an
Enzo 1 an
 
Multinivel para ti: Quieres éxito en Multinivel?...pues paciencia.
Multinivel para ti: Quieres éxito en Multinivel?...pues paciencia.Multinivel para ti: Quieres éxito en Multinivel?...pues paciencia.
Multinivel para ti: Quieres éxito en Multinivel?...pues paciencia.
 
Eric Frampas : Le radiologue face aux lymphomes: Simple spectateur ou véritab...
Eric Frampas : Le radiologue face aux lymphomes: Simple spectateur ou véritab...Eric Frampas : Le radiologue face aux lymphomes: Simple spectateur ou véritab...
Eric Frampas : Le radiologue face aux lymphomes: Simple spectateur ou véritab...
 
Innovando en jueves
Innovando en juevesInnovando en jueves
Innovando en jueves
 
Test quiz masculin ou feminin
Test quiz masculin ou feminin Test quiz masculin ou feminin
Test quiz masculin ou feminin
 
Les légumes
Les légumesLes légumes
Les légumes
 
Recetas torta de 3 chocolates
Recetas torta de 3 chocolatesRecetas torta de 3 chocolates
Recetas torta de 3 chocolates
 
Créer un compte google
Créer un compte googleCréer un compte google
Créer un compte google
 

Similaire à Les guides d'audit TI de l'ISACA

Les normes SDF logiciel dans l'automobile
Les normes SDF logiciel dans l'automobileLes normes SDF logiciel dans l'automobile
Les normes SDF logiciel dans l'automobile
Yassine SIDKI
 
Présentation_HIDAYATALLAH_FINAL.pptx
Présentation_HIDAYATALLAH_FINAL.pptxPrésentation_HIDAYATALLAH_FINAL.pptx
Présentation_HIDAYATALLAH_FINAL.pptx
Ghezza
 
"WakaDroid" API encapsulant les services REST offerts par wakandaDB (nosql)
"WakaDroid" API encapsulant les services REST offerts par wakandaDB (nosql)"WakaDroid" API encapsulant les services REST offerts par wakandaDB (nosql)
"WakaDroid" API encapsulant les services REST offerts par wakandaDB (nosql)
Abdellah SELASSI
 

Similaire à Les guides d'audit TI de l'ISACA (20)

Outils de veille et d'intelligence économique territoriale
Outils de veille et d'intelligence économique territorialeOutils de veille et d'intelligence économique territoriale
Outils de veille et d'intelligence économique territoriale
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
 
20110125 02 - Retour d'experience en qualimétrie informatique (CDC)
20110125 02 - Retour d'experience en qualimétrie informatique (CDC)20110125 02 - Retour d'experience en qualimétrie informatique (CDC)
20110125 02 - Retour d'experience en qualimétrie informatique (CDC)
 
20070320 01 - Démarche qualité logicielle et outillage (SNCF)
20070320 01 - Démarche qualité logicielle et outillage (SNCF)20070320 01 - Démarche qualité logicielle et outillage (SNCF)
20070320 01 - Démarche qualité logicielle et outillage (SNCF)
 
Club Urba-EA - Architecture d'entreprise et projets agiles
Club Urba-EA - Architecture d'entreprise et projets agilesClub Urba-EA - Architecture d'entreprise et projets agiles
Club Urba-EA - Architecture d'entreprise et projets agiles
 
Vue d’Ensemble de l’application de l’Outil d’Évaluation de la Passation de Ma...
Vue d’Ensemble de l’application de l’Outil d’Évaluation de la Passation de Ma...Vue d’Ensemble de l’application de l’Outil d’Évaluation de la Passation de Ma...
Vue d’Ensemble de l’application de l’Outil d’Évaluation de la Passation de Ma...
 
20080610 05 - Squale portail qualimétrie en open source
20080610 05 - Squale portail qualimétrie en open source20080610 05 - Squale portail qualimétrie en open source
20080610 05 - Squale portail qualimétrie en open source
 
Les normes SDF logiciel dans l'automobile
Les normes SDF logiciel dans l'automobileLes normes SDF logiciel dans l'automobile
Les normes SDF logiciel dans l'automobile
 
MariaDB Paris Workshop 2023 - novadys presentation
MariaDB Paris Workshop 2023 - novadys presentationMariaDB Paris Workshop 2023 - novadys presentation
MariaDB Paris Workshop 2023 - novadys presentation
 
TABLEAU des OUTILS pour AI AESGPC
TABLEAU des OUTILS pour AI AESGPCTABLEAU des OUTILS pour AI AESGPC
TABLEAU des OUTILS pour AI AESGPC
 
Présentation_HIDAYATALLAH_FINAL.pptx
Présentation_HIDAYATALLAH_FINAL.pptxPrésentation_HIDAYATALLAH_FINAL.pptx
Présentation_HIDAYATALLAH_FINAL.pptx
 
WLD Références Principales
WLD Références PrincipalesWLD Références Principales
WLD Références Principales
 
Club Urba-EA - Vers un SI "data centric"
Club Urba-EA - Vers un SI "data centric" Club Urba-EA - Vers un SI "data centric"
Club Urba-EA - Vers un SI "data centric"
 
Club numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consultingClub numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consulting
 
Audits of Less Complex Entities Webinar (French)
Audits of Less Complex Entities Webinar (French)Audits of Less Complex Entities Webinar (French)
Audits of Less Complex Entities Webinar (French)
 
Goulla jamal master miage ntdp v2.0
Goulla jamal master miage ntdp v2.0Goulla jamal master miage ntdp v2.0
Goulla jamal master miage ntdp v2.0
 
CVFAL-10-2016 V6
CVFAL-10-2016 V6CVFAL-10-2016 V6
CVFAL-10-2016 V6
 
Atelier Comment choisir et déployer un ERP dans une PME - Pôle numérique CCI ...
Atelier Comment choisir et déployer un ERP dans une PME - Pôle numérique CCI ...Atelier Comment choisir et déployer un ERP dans une PME - Pôle numérique CCI ...
Atelier Comment choisir et déployer un ERP dans une PME - Pôle numérique CCI ...
 
"WakaDroid" API encapsulant les services REST offerts par wakandaDB (nosql)
"WakaDroid" API encapsulant les services REST offerts par wakandaDB (nosql)"WakaDroid" API encapsulant les services REST offerts par wakandaDB (nosql)
"WakaDroid" API encapsulant les services REST offerts par wakandaDB (nosql)
 

Plus de ISACA Chapitre de Québec

Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
ISACA Chapitre de Québec
 
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
ISACA Chapitre de Québec
 

Plus de ISACA Chapitre de Québec (20)

ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
 
Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry Brisset
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
 
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
 

Les guides d'audit TI de l'ISACA

  • 1. Les guides d’audit TI de l’ISACA ISACA Chapitre Québec 4 décembre 2013
  • 2. Présentateur Javier Bentancur, CISA, MBA javier.bentancur@isaca-quebec.ca http://ca.linkedin.com/in/javierbentancur 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 2
  • 3. L’association ISACA 1969 : «EDP Auditors Association» 1984 : APVCSI à Québec 1998 : ITGI 2013 : o o + de 110.000 membres dans 180 pays + de 200 délégations dans 80 pays 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 3
  • 4. Objectifs Expliquer les guides d’audit TI d’ISACA et leur contexte d’utilisation. Présenter des exemples des guides. Introduire le nouveau guide basé sur Cobit5. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 4
  • 5. Les guides d’audit TI de l’ISACA Normes d’audit TI et d’assurance (ITAF v2) o Normes et directives Outils et techniques o o o o o Concepts de base d’audit TI Livres blanc (« White papers ») Références techniques Programmes d’audit TI Famille de produits Cobit 5 Cobit 5 pour l’assurance (audit TI) o Guide professionnel basé sur Cobit 5 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 5
  • 6. Les normes d’audit TI et d’assurance (ITAF v2) Les normes Les directives
  • 7. Les normes Définition : o Lignes directrices qui encadrent les professionnels de l’audit TI et de l’assurance. Obligation de les respecter et de les appliquer à tout intervention professionnelle. Concernent l’éthique, l’indépendance, l’objectivité, la diligence, la connaissance, la capacité et les compétences du professionnel. Valides depuis 1-nov-2013. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 7
  • 8. Structure des normes Générales (série 1000) Performance (série 1200) • Conduite de la mission Rapport (série 1400) 4 déc 2013 • Principes directeurs de la profession d’audit • Types de rapports, moyens de communication et informations communiquées ISACA Québec - www.isaca-quebec.ca 8
  • 9. Liste des normes Générales o o o o o o o o 1001 : Charte d’audit 1002 : Indépendance de l’organisation 1003 : Indépendance professionnelle 1004 : Attentes raisonnables 1005 : Conscience professionnelle 1006 : Compétence 1007 : Affirmations 1008 : Critères 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 9
  • 10. Liste des normes Performance o o o o o o o 1201 : Planification de la mission 1202 : Évaluation du risque dans la planification 1203 : Exécution et supervision 1204 : Matérialité 1205 : Éléments probants 1206 : Utilisation du travail d’autres experts 1207 : Irrégularités et actes illégaux 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 10
  • 11. Liste des normes Rapports o o 1401 : Rapports 1402 : Activités de suivi 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 11
  • 12. Les directives Définition : o Instructions sur l’application des normes. Le professionnel s’y réfère lors de leurs mises en œuvre, et fait appel à son jugement professionnel. Il doit être en mesure de justifier tout écart visà-vis celles-ci. Présentement en révision. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 12
  • 13. Structure des directives Générales (série 2000) o 2001 à 2008 Performance (série 2200) o o 2201 à 2207 2208 : Échantillonnage d’audit Rapport (série 2400) o 2401 à 2402 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 13
  • 14. Norme 1001 Exemple : La charte d’audit 4 déc 2013 • 1001.1 : Définit l’objectif, la responsabilité, l’autorité et l’imputabilité de la fonction d’audit. • 1001.2 : Indique que la charte d’audit doit être approuvée par le niveau approprié de l’organisation. ISACA Québec - www.isaca-quebec.ca 14
  • 15. Directive 2001 Exemple : La charte d’audit 4 déc 2013 • Suggère un mandat pour la fonction d’audit. • Décrit le contenue de la charte d’audit : • L’objectif, la responsabilité, l’autorité et la réédition de comptes, etc. • Suggère de considérer un processus d’assurance qualité pour la mettre à jour. • Décrit le contenu de la lettre du mandat. • La responsabilité, l’autorité et la réédition de comptes, etc. ISACA Québec - www.isaca-quebec.ca 15
  • 16. Exemple : La charte d’audit Lien des directives avec Cobit Norme Directive Cobit 4 1001 : Charte d’audit 2001 ME 4.7 – Assurance indépendante. ME 2.5 – Assurance de contrôle interne. 1206 : Utilisation du travail d’autres experts 2206 ME 2.5 – Assurance de contrôle interne. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 16
  • 17. Conclusion et questions Référence universelle. En constante évolution. Commentaires de la communauté. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 17
  • 18. Outils et techniques d’audit TI Concepts de base d’audit TI
  • 19. Concepts de base d’audit TI Objectif : o o Mettre à la disposition des professionnels, éducateurs et le public les principes concernant l’audit TI. Permettre l’avancement du domain de l’audit TI par des opinions. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 19
  • 20. Concepts de base d’audit TI Caractéristiques : o o o Publiés depuis 2002 . Une colonne du magazine «ISACA Journal». Organisés selon les principes du modèle Curricula d’ISACA pour les professionels de l’audit et l’assurance TI. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 20
  • 21. Concepts de base d’audit TI Classification : o o o o o o o Processus d’audit. Développement, acquisition, implementation et maintenance d’applications d’affaires. Évaluation des processus d’affaires et gestion de risques. Récupération aux désastres et continuité d’affaires. Gestion, planification et organisation des SI. Protection des actifs informationnels. Pratiques techniques d’infrastructures et des opérations. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 21
  • 22. Processus d’audit TI Exemple 4 déc 2013 • • • • • • Fonction d’audit TI (6). Évidence d’audit (3). Suivi du rapport (1). Concepts à l’égard du contrôle interne (7). Concepts fondamentaux d’audit (11). Gestion de l’audit (2). ISACA Québec - www.isaca-quebec.ca 22
  • 23. Concepts à l’égard du contrôle interne Exemple 4 déc 2013 • Comment auditer une organisation de services (rapport SOC). • Comprendre le nouveau rapport SOC. • Le cycle de vie du développement des contrôles. • Comment utiliser COSO (parties 1 et 2). • Audit des contrôles généraux et d’applications. • Audit de sécurité. ISACA Québec - www.isaca-quebec.ca 23
  • 24. Exemple Transformation des données pour «CAAT» • Introduction. • Méthodologie «ETL» pour CAAT et forage de données. • Exemples. • Outils de transformation de données. • Conclusion. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 24
  • 25. Conclusion et questions Format papier et numérique. Lecture rapide. Sujets d’actualité. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 25
  • 26. Outils et techniques d’audit TI Livres blanc (White papers)
  • 27. Livres blanc ou « White papers » Objectif : o Mettre à disposition l’information relevante et à jour concernant des aspects pouvant impacter les opérations des organisations. Caractéristiques: o o o o Flux RSS. Commentaires (feedback). Autres ouvrages liés. Format numérique. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 27
  • 28. Livres blanc 2013 Sécurité en tant que service (SAAS). Données masives et protection de la vie privée. Gouvernance du cloud: informations indispensables aux conseils d’administration. Données masives : Impacts et avantages . Résultat de l’étude sur la sensibilisation aux menaces avancées persistentes. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 28
  • 29. Exemple : Gouvernance du cloud Objectif : o Décrire brièvement le cloud et présenter les questions qui permettront aux dirigeants d’évaluer les avantages d’intégrer le cloud dans la stratégie de leurs organisations. Sujets : o o o La valeur du cloud. La gouvernance du cloud. Les informations indispensables au conseil d’administration (les questions). 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 29
  • 30. Exemple : Gouvernance du cloud 1 Les équipes de management ontelles élaboré un plan concernant le cloud computing ? Ont-elles évalué la valeur générée et les coûts d’opportunité ? 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 30
  • 31. Exemple : Gouvernance du cloud 2 Dans quelle mesure les plans relatifs au cloud computing servent-ils la mission de l’entreprise ? 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 31
  • 32. Exemple : Gouvernance du cloud 3 Les équipes dirigeantes ont-elles procédé à une évaluation systématique de la préparation de l’organisation ? 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 32
  • 33. Exemple : Gouvernance du cloud 4 Les équipes de management ontelles pris en compte les investissements existants qui pourraient être perdus dans leur planification de mise en oeuvre du cloud computing ? 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 33
  • 34. Exemple : Gouvernance du cloud 5 Les équipes de management ontelles élaboré des stratégies permettant de mesurer le retour sur investissement de l’adoption du cloud computing et de l’évaluer par rapport aux risques ? 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 34
  • 35. Livres blanc 2012 Business Continuity Management: Emerging Trends Cloud Computing Market Maturity Study Results Security Considerations for Cloud Computing Calculating Cloud ROI: From the Customer Perspective Virtualization Desktop Infrastructure (VDI) Incident Management and Response Guiding Principles for Cloud Computing Adoption and Use 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 35
  • 36. Livres blanc 2011 Mobile Payments: Risk, Security and Assurance Issues. Web Application Security: Business and Risk Considerations. Geolocation: Risk, Issues and Strategies. Data Analytics—A Practical Approach. Leveraging XBRL for Value in Organizations. Sustainability. Electronic Discovery. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 36
  • 37. À venir (2014) Programmes d’audit (Cobit5) Contrôle et audit du cloud Génération de la valeur à partir des données massives (2013) Scénarios de risques (Cobit5 pour les risques) Utilisation de Cobit 5 pour SOX SAP ERP v4: aspects de sécurité, audit et contrôle 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 37
  • 38. Conclusion et questions Groupe de recherche. Sujets d’actualité. Conseils pratiques. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 38
  • 39. Outils et techniques d’audit TI Références techniques
  • 40. Références techniques Objectif : o Faciliter aux professionnels de la sécurité, de l’audit et du contrôle des TI (et non TI) l’évaluation des produits installés. Caractéristiques o o o Livre format papier, payant. Téléchargement gratuit: sommaire, programme d’audit et questionnaire de contrôle interne. Communauté de pratique. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 40
  • 41. PeopleSoft d’Oracle, v3, 2012 296 pages. Sommaire (52 pages). 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 41
  • 42. Suite Oracle e-Business, v3, 2010 407 pages. Sommaire (38 pages). 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 42
  • 43. SAP®ERP, v3, 2009 470 pages. Sommaire (12 pages). 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 43
  • 44. Base de données Oracle, v3, 2009 219 pages. Sommaire (28 pages). 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 44
  • 45. Exemple : Base de données Oracle Architecture d’oracle DBMS. Planification de l’audit. Aspects de sécurité : o Système d’exploitation, privilèges, contrôle d’accès, relations de confiance, réseau. Contrôles généraux. Programme d’audit. Questionnaire du contrôle interne. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 45
  • 46. Conclusion et questions Technologies spécifiques et complexes. Référence pour l’auditeur TI. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 46
  • 47. Outils et techniques d’audit TI Programmes d’audit TI
  • 48. Programmes d’audit TI et d’assurance Objectif : o Mettre à la disposition des professionnels de l’assurance et de l’audit TI des exemples de programmes d’audit avec une vocation éducative. Caractéristiques : o o Modèle basé sur Cobit. Liens avec COSO, ITAF, Cobit. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 48
  • 49. Programmes d’audit TI et d’assurance Gestion de crises, de changements, de continuité d’affaires, de risques, etc. Cloud, biométrie, VOIP, Medias sociaux, etc. Lotus Notes, Sharepoint, Base de données MS-SQL, MS File share, serveur de services web Apache, etc. VPN, PKI, IPv6, Mobile computing, Active directory, z/OS, VMWare, UNIX/Linux, etc. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 49
  • 50. Exemple : Virtualisation avec VMware Planification o o la portée. l’audit de l’application. Programme d’audit o o o o Gouvernance de l’environnement virtuel. Préparation sur le champ. Environnement virtuel. Respect des normes de l’organisation. Évaluation de la maturité. Architecture de virtualisation. Indicateurs de performance. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 50
  • 51. Exemple : Virtualisation avec VMware 4 Environnement virtuel o 4.1 Hypervisor • .1 Hardening guide. • .2 Mot de passe «Root». • .3 Lockdown mode. • .4 Protection du shell ESXi. • .5 Piste d’audit. • .6 Mises à jour de l’hypervisor. • .7 Séparation de fonctions. • .8 Mot de passe de la base de données. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 51
  • 52. Exemple : Virtualisation avec VMware 4.1.6 Mis à jour de l’hypervisor 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 52
  • 53. Conclusion et questions Lien avec plusieurs référentiels. Technologies et sujets variés. Mise à jour vers Cobit 5. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 53
  • 54. Outils et techniques d’audit TI Famille de produits Cobit5
  • 55. Évolution de Cobit 1996 : Cobit V1 - pour l’audit TI 1998 : Cobit V2 2000 : Cobit V3 2005 : Cobit V4 o 2007 : Cobit 4.1, Val IT, Risk IT,… 2012 : Famille de produits Cobit 5 o 2013 : Cobit 5, pour l’assurance 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 55
  • 56. Famille de produits Cobit 5 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 56
  • 57. Famille de produits Cobit 5 Programme d’évaluation Process Assessment Programme. o Self-Assessment Guide. o Process Assessment Model. o Assessor Guide. o 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 57
  • 58. Cobit 5 pour l’assurance 318 pages. Format papier et numérique. Volume payant. Téléchargement : o Présentation et brochure. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 58
  • 59. Cobit 5 pour l’assurance Objectifs : o o o Orienter sur comment utiliser Cobit 5 pour la fonction d’audit et d’assurance. Proposer une démarche d’audit basée sur les facilitateurs de Cobit 5. Présenter des exemples de programmes d’assurance (d’audit). 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 59
  • 60. Cobit 5 pour l’assurance Table de matières : o o o o o o o Section 1 : Concepts de base sur l’assurance et application des principes de Cobit 5. Section 2A : Utilisation des facilitateurs de Cobit 5 pour la gestion de la fonction d’audit ou d’assurance. Section 2B : Réalisation des mandats d’audit en utilisant les facilitateurs de Cobit 5. Section 3 : Relation avec autres référentiels. Annexe B : Guide détaillé sur les facilitateurs pour la fonction d’audit. Annexe C : Description détaillée des processus clés pour l’audit. Annexe D : Exemples de programmes d’audit. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 60
  • 61. Les perspectives du guide 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 61
  • 62. L’étendue du guide 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 62
  • 63. Perspective : La fonction d’audit 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 63
  • 64. Les composantes de l’audit 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 64
  • 65. Les principes appliqués à l’audit TI 1 – Les parties prenantes 2 – L’entreprise de mur à mur 3 – Un cadre de référence intégré 4 – Démarche globale 5 – Distinction entre gouvernance et gestion 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 65
  • 66. Exemple : 1-Les parties prenantes Interne o o o Comité d’audit. Groupes d’audit, risque et conformité. Direction exécutive et d’affaires. Externe o o o o 4 déc 2013 Actionnaires. Auditeurs externes. Entités de réglementation. Partenaires d’affaires et clients. ISACA Québec - www.isaca-quebec.ca 66
  • 67. Exemple : 1-Les parties prenantes Types d’engagements d’assurance 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 67
  • 68. Exemple: 1-Les parties prenantes Caractéristiques des types d’engagements Exemple: Indépendance o Pas requise ou non garantie (établir les responsabilités). o Optimiser la fonction. o Doit être établie, vérifiée et conservée. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 68
  • 69. Les facilitateurs et la fonction d’audit Les facilitateurs de Cobit 5 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 69
  • 70. Les facilitateurs et la fonction d’audit 1 - Principes, normes et cadre de références. 2 - Les processus. 3 – Les structures organisationnelles. 4 – Culture, éthique et comportement. 5 – Informations. 6 – Services, infrastructure et applications. 7 – Personnel, aptitudes et compétences. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 70
  • 71. Modèle générique des facilitateurs 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 71
  • 72. 1 - Principes, normes et cadres de réf. Objectif : o Identifier les principes, normes et cadres de référence nécessaires pour construire et maintenir une fonction d’audit TI efficace et efficiente. Les normes d’audit TI Les bonnes pratiques o Le code d’éthique professionnelle. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 72
  • 73. 2 - Les processus Les processus clés pour la fonction d’audit 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 73
  • 74. Exemple : Le processus EDM01 Les livrables du processus 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 74
  • 75. Exemple : Le processus EDM01 Les indicateurs pour mesurer la performance du processus 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 75
  • 76. Exemple : Le processus EDM01 Les activités du processus 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 76
  • 77. 3 – Les structures organisationnelles Les structures pour la fonction d’audit o o o o Comité d’audit et/ou de direction. Direction d’audit. Direction de conformité (interne, externe). Audit externe. Les bonnes pratiques o o o o Composition. Mandat, principes d’opération, niveaux d’autorité et de contrôle. Rôles et responsabilités (lien des rôles avec les processus organisationnels). Intrants et extrants. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 77
  • 78. 4 – Culture, éthique et comportement Catégories o o o Globales à l’organisation (5) Professionnelle (8) Gestion (10) 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 78
  • 79. 5 – Informations Éléments d’information (18) 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 79
  • 80. 6 - Services, infrastructure et applications Services o o o o o o o o Rapport et communication. Assurance qualité. Suivi du temps. Engagement des ressources. Accès à l’information. Suivi des lois, réglementations, etc. Risques émergents. Évaluation de la performance. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 80
  • 81. 6 – Services, infrastructure et applications Applications de support o o o o o o o o Registre des risques. Outils techniques (CAATs). Bibliothèque de pratiques d’audit. Gestion documentaire. Outils de planification. Suivi d’incidents. Outils d’analyse et d’échantillonnage. Workflow. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 81
  • 82. 7 – Personnel, aptitudes et compétences Rôles et compétences o o o o o o o Description Expérience Éducation Qualifications Connaissance Compétences techniques Comportement 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 82
  • 83. Questions 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 83
  • 84. Perspective : Le processus d’audit 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 84
  • 85. Le processus d’audit Évaluation de la fonction d’audit TI o Processus MEA01, MEA02, MEA03. Évaluation des facilitateurs o Démarche d’audit basé sur Cobit5. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 85
  • 86. Démarche d’audit basé sur Cobit5 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 86
  • 87. Démarche d’audit basé sur Cobit5 A-Déterminer l’étendu • A1 ( 2) • A2 (5) • A3 (7) 4 déc 2013 Comprendre les facilitateurs et les évaluer • • • • • • • B1 (2) B2 (5) B3 (7) B4 (5) B5 (5) B6 (5) B7 (5) B8 (5) ISACA Québec - www.isaca-quebec.ca Communication des résultats • C1 (2) • C2 (3) 87
  • 88. Exemple : Flux de travail A-2.4 A-2.4 Traduire les priorités en objectifs d’audit 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 88
  • 89. Exemple: Flux de travail A-3 A-3 Déterminer les facilitateurs 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 89
  • 90. Exemple : Flux de travail B-7.5 B-7.5 Évaluation des services (f6) 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 90
  • 91. Lien avec d’autres guides ITAF o Normes d’audit d’ISACA IPPF o ITAF IPPF Normes d’audit d’IIA SSAE16 SSAE-16 o Normes des rapports SOC 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 91
  • 92. Exemple : Lien avec IPPF IPPF : o o Cadre conceptuel de l’IIA qui organise les exigences professionnelles des auditeurs. Composition: La définition d’audit interne, le code d’éthique et les normes d’audit interne de l’IIA. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 92
  • 93. Exemple : Lien avec IPPF Tableau comparatif 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 93
  • 94. Questions 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 94
  • 95. Programme d’audit - BYOD Adaptation du processus générique o o Structuré dans 3 phases Aligné avec Cobit5 Procédés et directives 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 95
  • 96. Programme d’audit – BYOD A-2.4 Traduire les priorités en objectifs d’audit 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 96
  • 97. Programme d’audit – BYOD A-3 Déterminer les facilitateurs 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 97
  • 98. Exemple : Programme d’audit – BYOD B-2.1 Évaluation des principes (f1) : Engagement 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 98
  • 99. Exemple : Programme d’audit – BYOD B-7.5 Évaluation des service (f6) : MDM 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 99
  • 100. Conclusion et questions Adaptation de Cobit 5 pour la fonction d’audit. Approche structuré pour la réalisation des mandats. Exemples de programmes d’audit actuels. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 100