SlideShare une entreprise Scribd logo
Les guides d’audit TI
de l’ISACA

ISACA Chapitre Québec
4 décembre 2013
Présentateur

Javier Bentancur, CISA, MBA
javier.bentancur@isaca-quebec.ca
http://ca.linkedin.com/in/javierbentancur

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

2
L’association ISACA
1969 : «EDP Auditors Association»
1984 : APVCSI à Québec
1998 : ITGI
2013 :
o
o

+ de 110.000 membres dans 180 pays
+ de 200 délégations dans 80 pays

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

3
Objectifs
Expliquer les guides d’audit TI d’ISACA et leur
contexte d’utilisation.
Présenter des exemples des guides.
Introduire le nouveau guide basé sur Cobit5.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

4
Les guides d’audit TI de l’ISACA
Normes d’audit TI et d’assurance (ITAF v2)
o

Normes et directives

Outils et techniques
o
o
o
o
o

Concepts de base d’audit TI
Livres blanc (« White papers »)
Références techniques
Programmes d’audit TI
Famille de produits Cobit 5

Cobit 5 pour l’assurance (audit TI)
o

Guide professionnel basé sur Cobit 5

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

5
Les normes d’audit TI et
d’assurance (ITAF v2)
Les normes

Les directives
Les normes
Définition :
o

Lignes directrices qui encadrent les professionnels
de l’audit TI et de l’assurance.

Obligation de les respecter et de les appliquer
à tout intervention professionnelle.
Concernent l’éthique, l’indépendance,
l’objectivité, la diligence, la connaissance, la
capacité et les compétences du professionnel.
Valides depuis 1-nov-2013.
4 déc 2013

ISACA Québec - www.isaca-quebec.ca

7
Structure des normes
Générales
(série 1000)
Performance
(série 1200)

• Conduite de la mission

Rapport
(série 1400)
4 déc 2013

• Principes directeurs de la
profession d’audit

• Types de rapports, moyens de
communication et informations
communiquées

ISACA Québec - www.isaca-quebec.ca

8
Liste des normes
Générales
o
o
o
o
o
o
o
o

1001 : Charte d’audit
1002 : Indépendance de l’organisation
1003 : Indépendance professionnelle
1004 : Attentes raisonnables
1005 : Conscience professionnelle
1006 : Compétence
1007 : Affirmations
1008 : Critères

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

9
Liste des normes
Performance
o
o
o
o
o
o
o

1201 : Planification de la mission
1202 : Évaluation du risque dans la planification
1203 : Exécution et supervision
1204 : Matérialité
1205 : Éléments probants
1206 : Utilisation du travail d’autres experts
1207 : Irrégularités et actes illégaux

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

10
Liste des normes
Rapports
o
o

1401 : Rapports
1402 : Activités de suivi

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

11
Les directives
Définition :
o

Instructions sur l’application des normes.

Le professionnel s’y réfère lors de leurs mises en
œuvre, et fait appel à son jugement
professionnel.
Il doit être en mesure de justifier tout écart visà-vis celles-ci.
Présentement en révision.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

12
Structure des directives
Générales (série 2000)
o

2001 à 2008

Performance (série 2200)
o
o

2201 à 2207
2208 : Échantillonnage d’audit

Rapport (série 2400)
o

2401 à 2402

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

13
Norme 1001

Exemple : La charte d’audit

4 déc 2013

• 1001.1 : Définit l’objectif, la
responsabilité, l’autorité et
l’imputabilité de la fonction d’audit.
• 1001.2 : Indique que la charte d’audit
doit être approuvée par le niveau
approprié de l’organisation.

ISACA Québec - www.isaca-quebec.ca

14
Directive 2001

Exemple : La charte d’audit

4 déc 2013

• Suggère un mandat pour la fonction d’audit.
• Décrit le contenue de la charte d’audit :
• L’objectif, la responsabilité, l’autorité et la
réédition de comptes, etc.
• Suggère de considérer un processus
d’assurance qualité pour la mettre à jour.
• Décrit le contenu de la lettre du mandat.
• La responsabilité, l’autorité et la réédition
de comptes, etc.

ISACA Québec - www.isaca-quebec.ca

15
Exemple : La charte d’audit
Lien des directives avec Cobit
Norme

Directive

Cobit 4

1001 : Charte d’audit

2001

ME 4.7 – Assurance indépendante.
ME 2.5 – Assurance de contrôle
interne.

1206 : Utilisation du travail
d’autres experts

2206

ME 2.5 – Assurance de contrôle
interne.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

16
Conclusion et questions

Référence universelle.
En constante évolution.
Commentaires de la
communauté.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

17
Outils et techniques d’audit TI
Concepts de base d’audit TI
Concepts de base d’audit TI
Objectif :
o

o

Mettre à la disposition des professionnels,
éducateurs et le public les principes concernant
l’audit TI.
Permettre l’avancement du domain de l’audit TI par
des opinions.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

19
Concepts de base d’audit TI
Caractéristiques :
o
o
o

Publiés depuis 2002 .
Une colonne du magazine «ISACA Journal».
Organisés selon les principes du modèle Curricula
d’ISACA pour les professionels de l’audit et
l’assurance TI.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

20
Concepts de base d’audit TI
Classification :
o
o
o
o
o
o
o

Processus d’audit.
Développement, acquisition, implementation et
maintenance d’applications d’affaires.
Évaluation des processus d’affaires et gestion de
risques.
Récupération aux désastres et continuité d’affaires.
Gestion, planification et organisation des SI.
Protection des actifs informationnels.
Pratiques techniques d’infrastructures et des
opérations.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

21
Processus d’audit TI

Exemple

4 déc 2013

•
•
•
•
•
•

Fonction d’audit TI (6).
Évidence d’audit (3).
Suivi du rapport (1).
Concepts à l’égard du contrôle interne (7).
Concepts fondamentaux d’audit (11).
Gestion de l’audit (2).

ISACA Québec - www.isaca-quebec.ca

22
Concepts à l’égard du
contrôle interne

Exemple

4 déc 2013

• Comment auditer une organisation de
services (rapport SOC).
• Comprendre le nouveau rapport SOC.
• Le cycle de vie du développement des
contrôles.
• Comment utiliser COSO (parties 1 et 2).
• Audit des contrôles généraux et
d’applications.
• Audit de sécurité.
ISACA Québec - www.isaca-quebec.ca

23
Exemple
Transformation des données pour
«CAAT»
• Introduction.
• Méthodologie «ETL» pour CAAT et
forage de données.
• Exemples.
• Outils de transformation de données.
• Conclusion.
4 déc 2013

ISACA Québec - www.isaca-quebec.ca

24
Conclusion et questions

Format papier et
numérique.
Lecture rapide.
Sujets d’actualité.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

25
Outils et techniques d’audit TI
Livres blanc (White papers)
Livres blanc ou « White papers »
Objectif :
o

Mettre à disposition l’information relevante et à jour
concernant des aspects pouvant impacter les
opérations des organisations.

Caractéristiques:
o
o
o
o

Flux RSS.
Commentaires (feedback).
Autres ouvrages liés.
Format numérique.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

27
Livres blanc 2013
Sécurité en tant que service (SAAS).
Données masives et protection de la vie privée.
Gouvernance du cloud: informations indispensables
aux conseils d’administration.
Données masives : Impacts et avantages .
Résultat de l’étude sur la sensibilisation aux menaces
avancées persistentes.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

28
Exemple : Gouvernance du cloud
Objectif :
o

Décrire brièvement le cloud et présenter les
questions qui permettront aux dirigeants d’évaluer
les avantages d’intégrer le cloud dans la stratégie de
leurs organisations.

Sujets :
o
o
o

La valeur du cloud.
La gouvernance du cloud.
Les informations indispensables au conseil
d’administration (les questions).

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

29
Exemple : Gouvernance du cloud

1
Les équipes de management ontelles élaboré un plan concernant
le cloud computing ? Ont-elles
évalué la valeur générée et les
coûts d’opportunité ?

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

30
Exemple : Gouvernance du cloud

2
Dans quelle mesure les plans
relatifs au cloud computing
servent-ils la mission de
l’entreprise ?

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

31
Exemple : Gouvernance du cloud

3
Les équipes dirigeantes ont-elles
procédé à une évaluation
systématique de la préparation de
l’organisation ?

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

32
Exemple : Gouvernance du cloud

4

Les équipes de management ontelles pris en compte les
investissements existants qui
pourraient être perdus dans leur
planification de mise en oeuvre du
cloud computing ?

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

33
Exemple : Gouvernance du cloud

5
Les équipes de management ontelles élaboré des stratégies
permettant de mesurer le retour
sur investissement de l’adoption
du cloud computing et de l’évaluer
par rapport aux risques ?

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

34
Livres blanc 2012
Business Continuity Management: Emerging Trends
Cloud Computing Market Maturity Study Results
Security Considerations for Cloud Computing
Calculating Cloud ROI: From the Customer Perspective
Virtualization Desktop Infrastructure (VDI)
Incident Management and Response
Guiding Principles for Cloud Computing Adoption and
Use

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

35
Livres blanc 2011
Mobile Payments: Risk, Security and Assurance Issues.
Web Application Security: Business and Risk
Considerations.
Geolocation: Risk, Issues and Strategies.
Data Analytics—A Practical Approach.
Leveraging XBRL for Value in Organizations.
Sustainability.
Electronic Discovery.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

36
À venir (2014)
Programmes d’audit (Cobit5)
Contrôle et audit du cloud
Génération de la valeur à partir des données massives
(2013)
Scénarios de risques (Cobit5 pour les risques)
Utilisation de Cobit 5 pour SOX
SAP ERP v4: aspects de sécurité, audit et contrôle

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

37
Conclusion et questions

Groupe de recherche.
Sujets d’actualité.
Conseils pratiques.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

38
Outils et techniques d’audit TI
Références techniques
Références techniques
Objectif :
o

Faciliter aux professionnels de la sécurité, de l’audit
et du contrôle des TI (et non TI) l’évaluation des
produits installés.

Caractéristiques
o
o

o

Livre format papier, payant.
Téléchargement gratuit: sommaire, programme
d’audit et questionnaire de contrôle interne.
Communauté de pratique.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

40
PeopleSoft d’Oracle, v3, 2012

296 pages.
Sommaire (52
pages).

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

41
Suite Oracle e-Business, v3, 2010

407 pages.
Sommaire (38 pages).

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

42
SAP®ERP, v3, 2009

470 pages.
Sommaire (12
pages).

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

43
Base de données Oracle, v3, 2009

219 pages.
Sommaire (28 pages).

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

44
Exemple : Base de données Oracle
Architecture d’oracle DBMS.
Planification de l’audit.
Aspects de sécurité :
o

Système d’exploitation, privilèges, contrôle d’accès,
relations de confiance, réseau.

Contrôles généraux.
Programme d’audit.
Questionnaire du contrôle interne.
4 déc 2013

ISACA Québec - www.isaca-quebec.ca

45
Conclusion et questions

Technologies spécifiques et
complexes.
Référence pour l’auditeur TI.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

46
Outils et techniques d’audit TI
Programmes d’audit TI
Programmes d’audit TI et d’assurance
Objectif :
o

Mettre à la disposition des professionnels de
l’assurance et de l’audit TI des exemples de
programmes d’audit avec une vocation éducative.

Caractéristiques :
o
o

Modèle basé sur Cobit.
Liens avec COSO, ITAF, Cobit.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

48
Programmes d’audit TI et d’assurance
Gestion de crises, de changements, de continuité
d’affaires, de risques, etc.
Cloud, biométrie, VOIP, Medias sociaux, etc.
Lotus Notes, Sharepoint, Base de données MS-SQL,
MS File share, serveur de services web Apache, etc.
VPN, PKI, IPv6, Mobile computing, Active directory,
z/OS, VMWare, UNIX/Linux, etc.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

49
Exemple : Virtualisation avec VMware
Planification
o
o

la portée.
l’audit de l’application.

Programme d’audit
o
o
o
o

Gouvernance de l’environnement virtuel.
Préparation sur le champ.
Environnement virtuel.
Respect des normes de l’organisation.

Évaluation de la maturité.
Architecture de virtualisation.
Indicateurs de performance.
4 déc 2013

ISACA Québec - www.isaca-quebec.ca

50
Exemple : Virtualisation avec VMware
4 Environnement virtuel
o

4.1 Hypervisor
•
.1 Hardening guide.
•
.2 Mot de passe «Root».
•
.3 Lockdown mode.
•
.4 Protection du shell ESXi.
•
.5 Piste d’audit.
•
.6 Mises à jour de l’hypervisor.
•
.7 Séparation de fonctions.
•
.8 Mot de passe de la base de données.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

51
Exemple : Virtualisation avec VMware
4.1.6 Mis à jour de l’hypervisor

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

52
Conclusion et questions

Lien avec plusieurs
référentiels.
Technologies et sujets
variés.
Mise à jour vers Cobit 5.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

53
Outils et techniques d’audit TI
Famille de produits Cobit5
Évolution de Cobit
1996 : Cobit V1 - pour l’audit TI
1998 : Cobit V2
2000 : Cobit V3
2005 : Cobit V4
o 2007 : Cobit 4.1, Val IT, Risk IT,…
2012 : Famille de produits Cobit 5
o 2013 : Cobit 5, pour l’assurance

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

55
Famille de produits Cobit 5

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

56
Famille de produits Cobit 5
Programme d’évaluation
Process Assessment Programme.
o Self-Assessment Guide.
o Process Assessment Model.
o Assessor Guide.
o

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

57
Cobit 5 pour l’assurance

318 pages.
Format papier et numérique.
Volume payant.
Téléchargement :
o Présentation et brochure.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

58
Cobit 5 pour l’assurance
Objectifs :
o

o

o

Orienter sur comment utiliser Cobit 5 pour la
fonction d’audit et d’assurance.
Proposer une démarche d’audit basée sur les
facilitateurs de Cobit 5.
Présenter des exemples de programmes
d’assurance (d’audit).

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

59
Cobit 5 pour l’assurance
Table de matières :
o
o
o
o
o
o
o

Section 1 : Concepts de base sur l’assurance et application
des principes de Cobit 5.
Section 2A : Utilisation des facilitateurs de Cobit 5 pour la
gestion de la fonction d’audit ou d’assurance.
Section 2B : Réalisation des mandats d’audit en utilisant
les facilitateurs de Cobit 5.
Section 3 : Relation avec autres référentiels.
Annexe B : Guide détaillé sur les facilitateurs pour la
fonction d’audit.
Annexe C : Description détaillée des processus clés pour
l’audit.
Annexe D : Exemples de programmes d’audit.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

60
Les perspectives du guide

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

61
L’étendue du guide

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

62
Perspective : La fonction d’audit

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

63
Les composantes de l’audit

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

64
Les principes appliqués à l’audit TI

1 – Les parties prenantes
2 – L’entreprise de mur à mur
3 – Un cadre de référence intégré
4 – Démarche globale
5 – Distinction entre gouvernance et gestion
4 déc 2013

ISACA Québec - www.isaca-quebec.ca

65
Exemple : 1-Les parties prenantes
Interne
o
o
o

Comité d’audit.
Groupes d’audit, risque et conformité.
Direction exécutive et d’affaires.

Externe
o
o
o
o

4 déc 2013

Actionnaires.
Auditeurs externes.
Entités de réglementation.
Partenaires d’affaires et clients.
ISACA Québec - www.isaca-quebec.ca

66
Exemple : 1-Les parties prenantes
Types d’engagements d’assurance

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

67
Exemple: 1-Les parties prenantes
Caractéristiques des types d’engagements

Exemple: Indépendance
o Pas requise ou non garantie (établir les responsabilités).
o Optimiser la fonction.
o Doit être établie, vérifiée et conservée.
4 déc 2013

ISACA Québec - www.isaca-quebec.ca

68
Les facilitateurs et la fonction d’audit
Les facilitateurs de Cobit 5

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

69
Les facilitateurs et la fonction d’audit
1 - Principes, normes et cadre de références.
2 - Les processus.
3 – Les structures organisationnelles.
4 – Culture, éthique et comportement.
5 – Informations.
6 – Services, infrastructure et applications.
7 – Personnel, aptitudes et compétences.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

70
Modèle générique des facilitateurs

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

71
1 - Principes, normes et cadres de réf.
Objectif :
o

Identifier les principes, normes et cadres de référence
nécessaires pour construire et maintenir une fonction
d’audit TI efficace et efficiente.

Les normes d’audit TI
Les bonnes pratiques
o

Le code d’éthique professionnelle.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

72
2 - Les processus
Les processus clés pour la fonction d’audit

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

73
Exemple : Le processus EDM01
Les livrables du processus

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

74
Exemple : Le processus EDM01
Les indicateurs pour mesurer la performance du
processus

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

75
Exemple : Le processus EDM01
Les activités du processus

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

76
3 – Les structures organisationnelles
Les structures pour la fonction d’audit
o
o
o
o

Comité d’audit et/ou de direction.
Direction d’audit.
Direction de conformité (interne, externe).
Audit externe.

Les bonnes pratiques
o
o
o
o

Composition.
Mandat, principes d’opération, niveaux d’autorité et de
contrôle.
Rôles et responsabilités (lien des rôles avec les processus
organisationnels).
Intrants et extrants.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

77
4 – Culture, éthique et comportement
Catégories
o
o
o

Globales à l’organisation (5)
Professionnelle (8)
Gestion (10)

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

78
5 – Informations
Éléments d’information (18)

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

79
6 - Services, infrastructure et applications
Services
o
o
o
o
o
o
o
o

Rapport et communication.
Assurance qualité.
Suivi du temps.
Engagement des ressources.
Accès à l’information.
Suivi des lois, réglementations, etc.
Risques émergents.
Évaluation de la performance.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

80
6 – Services, infrastructure et applications
Applications de support
o
o
o
o
o
o
o
o

Registre des risques.
Outils techniques (CAATs).
Bibliothèque de pratiques d’audit.
Gestion documentaire.
Outils de planification.
Suivi d’incidents.
Outils d’analyse et d’échantillonnage.
Workflow.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

81
7 – Personnel, aptitudes et compétences
Rôles et compétences
o
o
o
o
o
o
o

Description
Expérience
Éducation
Qualifications
Connaissance
Compétences techniques
Comportement

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

82
Questions

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

83
Perspective : Le processus d’audit

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

84
Le processus d’audit
Évaluation de la fonction d’audit TI
o

Processus MEA01, MEA02, MEA03.

Évaluation des facilitateurs
o

Démarche d’audit basé sur Cobit5.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

85
Démarche d’audit basé sur Cobit5

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

86
Démarche d’audit basé sur Cobit5
A-Déterminer
l’étendu
• A1 ( 2)
• A2 (5)
• A3 (7)

4 déc 2013

Comprendre les
facilitateurs et les
évaluer
•
•
•
•
•
•
•

B1 (2)
B2 (5)
B3 (7)
B4 (5)
B5 (5)
B6 (5)
B7 (5)
B8 (5)

ISACA Québec - www.isaca-quebec.ca

Communication
des résultats
• C1 (2)
• C2 (3)

87
Exemple : Flux de travail A-2.4
A-2.4 Traduire les priorités en objectifs d’audit

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

88
Exemple: Flux de travail A-3
A-3 Déterminer les facilitateurs

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

89
Exemple : Flux de travail B-7.5
B-7.5 Évaluation des services (f6)

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

90
Lien avec d’autres guides
ITAF
o

Normes d’audit d’ISACA

IPPF
o

ITAF
IPPF

Normes d’audit d’IIA

SSAE16

SSAE-16
o

Normes des rapports SOC

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

91
Exemple : Lien avec IPPF
IPPF :
o

o

Cadre conceptuel de l’IIA qui organise les exigences
professionnelles des auditeurs.
Composition: La définition d’audit interne, le code
d’éthique et les normes d’audit interne de l’IIA.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

92
Exemple : Lien avec IPPF
Tableau comparatif

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

93
Questions

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

94
Programme d’audit - BYOD
Adaptation du processus
générique
o
o

Structuré dans 3 phases
Aligné avec Cobit5

Procédés et directives

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

95
Programme d’audit – BYOD
A-2.4 Traduire les priorités en objectifs d’audit

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

96
Programme d’audit – BYOD
A-3 Déterminer les facilitateurs

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

97
Exemple : Programme d’audit – BYOD
B-2.1 Évaluation des principes (f1) : Engagement

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

98
Exemple : Programme d’audit – BYOD
B-7.5 Évaluation des service (f6) : MDM

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

99
Conclusion et questions

Adaptation de Cobit 5 pour
la fonction d’audit.
Approche structuré pour la
réalisation des mandats.
Exemples de programmes
d’audit actuels.

4 déc 2013

ISACA Québec - www.isaca-quebec.ca

100
Merci
javier.bentancur@isaca-quebec.ca

Contenu connexe

Tendances

Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
Cobit5 - Outil de la performance
Cobit5   - Outil de la performanceCobit5   - Outil de la performance
Cobit5 - Outil de la performance
Antoine Vigneron
 
Cobit v4.1
Cobit v4.1Cobit v4.1
La Gouvernance IT
La Gouvernance ITLa Gouvernance IT
La Gouvernance IT
Nicolas PIGNAL
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
FINALIANCE
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
Ammar Sassi
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
Ammar Sassi
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
Hajar958801
 
Cobit
Cobit Cobit
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
Ismail EL Makrouz
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'auditBRAHIM MELLOUL
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantes
Abdeslam Menacere
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
ISACA Chapitre de Québec
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 

Tendances (20)

Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Cobit5 - Outil de la performance
Cobit5   - Outil de la performanceCobit5   - Outil de la performance
Cobit5 - Outil de la performance
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1
 
La Gouvernance IT
La Gouvernance ITLa Gouvernance IT
La Gouvernance IT
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
 
Cobit
Cobit Cobit
Cobit
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'audit
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantes
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 

En vedette

Boite à outils de l'auditeur
Boite à outils de l'auditeurBoite à outils de l'auditeur
Boite à outils de l'auditeur
Ammar Sassi
 
Conduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleConduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche générale
Ammar Sassi
 
COBIT 5 - Principal 3 Applying A Single Integrated Framework
COBIT 5 - Principal 3 Applying A Single Integrated FrameworkCOBIT 5 - Principal 3 Applying A Single Integrated Framework
COBIT 5 - Principal 3 Applying A Single Integrated Framework
Mohammad Reda Katby
 
Presentation pfe 2012
Presentation pfe 2012Presentation pfe 2012
Presentation pfe 2012Sellami Ahmed
 
Guide pratique de l'audit oec maroc
Guide pratique de l'audit   oec marocGuide pratique de l'audit   oec maroc
Guide pratique de l'audit oec marocbissa bissa
 
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances   copie (2)La pratique de l'audit interne dans les entreprises d'assurances   copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)dodoooooo
 
L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)
Htitipi
 
Qu'est ce qu'un audit
Qu'est ce qu'un auditQu'est ce qu'un audit
Qu'est ce qu'un audit
Ecoute & Qualité
 
Projet audit ppt
Projet audit pptProjet audit ppt
Projet audit ppt
Hajar Idehou
 
Audit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniquesAudit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniquestoutou0071
 
COBIT 5 IT Governance Model: an Introduction
COBIT 5 IT Governance Model: an IntroductionCOBIT 5 IT Governance Model: an Introduction
COBIT 5 IT Governance Model: an Introduction
aqel aqel
 

En vedette (12)

Boite à outils de l'auditeur
Boite à outils de l'auditeurBoite à outils de l'auditeur
Boite à outils de l'auditeur
 
Conduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleConduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche générale
 
COBIT 5 - Principal 3 Applying A Single Integrated Framework
COBIT 5 - Principal 3 Applying A Single Integrated FrameworkCOBIT 5 - Principal 3 Applying A Single Integrated Framework
COBIT 5 - Principal 3 Applying A Single Integrated Framework
 
Presentation pfe 2012
Presentation pfe 2012Presentation pfe 2012
Presentation pfe 2012
 
Guide pratique de l'audit oec maroc
Guide pratique de l'audit   oec marocGuide pratique de l'audit   oec maroc
Guide pratique de l'audit oec maroc
 
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances   copie (2)La pratique de l'audit interne dans les entreprises d'assurances   copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
 
L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)
 
Qu'est ce qu'un audit
Qu'est ce qu'un auditQu'est ce qu'un audit
Qu'est ce qu'un audit
 
Projet audit ppt
Projet audit pptProjet audit ppt
Projet audit ppt
 
sdfss
sdfsssdfss
sdfss
 
Audit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniquesAudit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniques
 
COBIT 5 IT Governance Model: an Introduction
COBIT 5 IT Governance Model: an IntroductionCOBIT 5 IT Governance Model: an Introduction
COBIT 5 IT Governance Model: an Introduction
 

Similaire à Les guides d'audit TI de l'ISACA

Outils de veille et d'intelligence économique territoriale
Outils de veille et d'intelligence économique territorialeOutils de veille et d'intelligence économique territoriale
Outils de veille et d'intelligence économique territoriale
Christophe Marnat
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
ISACA Chapitre de Québec
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
ISACA Chapitre de Québec
 
20110125 02 - Retour d'experience en qualimétrie informatique (CDC)
20110125 02 - Retour d'experience en qualimétrie informatique (CDC)20110125 02 - Retour d'experience en qualimétrie informatique (CDC)
20110125 02 - Retour d'experience en qualimétrie informatique (CDC)
LeClubQualiteLogicielle
 
20070320 01 - Démarche qualité logicielle et outillage (SNCF)
20070320 01 - Démarche qualité logicielle et outillage (SNCF)20070320 01 - Démarche qualité logicielle et outillage (SNCF)
20070320 01 - Démarche qualité logicielle et outillage (SNCF)
LeClubQualiteLogicielle
 
Club Urba-EA - Architecture d'entreprise et projets agiles
Club Urba-EA - Architecture d'entreprise et projets agilesClub Urba-EA - Architecture d'entreprise et projets agiles
Club Urba-EA - Architecture d'entreprise et projets agiles
Club Urba-EA
 
Vue d’Ensemble de l’application de l’Outil d’Évaluation de la Passation de Ma...
Vue d’Ensemble de l’application de l’Outil d’Évaluation de la Passation de Ma...Vue d’Ensemble de l’application de l’Outil d’Évaluation de la Passation de Ma...
Vue d’Ensemble de l’application de l’Outil d’Évaluation de la Passation de Ma...
icgfmconference
 
20080610 05 - Squale portail qualimétrie en open source
20080610 05 - Squale portail qualimétrie en open source20080610 05 - Squale portail qualimétrie en open source
20080610 05 - Squale portail qualimétrie en open source
LeClubQualiteLogicielle
 
Les normes SDF logiciel dans l'automobile
Les normes SDF logiciel dans l'automobileLes normes SDF logiciel dans l'automobile
Les normes SDF logiciel dans l'automobileYassine SIDKI
 
MariaDB Paris Workshop 2023 - novadys presentation
MariaDB Paris Workshop 2023 - novadys presentationMariaDB Paris Workshop 2023 - novadys presentation
MariaDB Paris Workshop 2023 - novadys presentation
MariaDB plc
 
TABLEAU des OUTILS pour AI AESGPC
TABLEAU des OUTILS pour AI AESGPCTABLEAU des OUTILS pour AI AESGPC
TABLEAU des OUTILS pour AI AESGPC
Erol GIRAUDY
 
Présentation_HIDAYATALLAH_FINAL.pptx
Présentation_HIDAYATALLAH_FINAL.pptxPrésentation_HIDAYATALLAH_FINAL.pptx
Présentation_HIDAYATALLAH_FINAL.pptx
Ghezza
 
Club Urba-EA - Vers un SI "data centric"
Club Urba-EA - Vers un SI "data centric" Club Urba-EA - Vers un SI "data centric"
Club Urba-EA - Vers un SI "data centric"
Club Urba-EA
 
Club numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consultingClub numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consulting
ISlean consulting
 
Audits of Less Complex Entities Webinar (French)
Audits of Less Complex Entities Webinar (French)Audits of Less Complex Entities Webinar (French)
Audits of Less Complex Entities Webinar (French)
International Federation of Accountants
 
Gouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationGouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’information
Miguel Iriart
 
Goulla jamal master miage ntdp v2.0
Goulla jamal master miage ntdp v2.0Goulla jamal master miage ntdp v2.0
Goulla jamal master miage ntdp v2.0
Jamal Goulla
 
Atelier Comment choisir et déployer un ERP dans une PME - Pôle numérique CCI ...
Atelier Comment choisir et déployer un ERP dans une PME - Pôle numérique CCI ...Atelier Comment choisir et déployer un ERP dans une PME - Pôle numérique CCI ...
Atelier Comment choisir et déployer un ERP dans une PME - Pôle numérique CCI ...
echangeurba
 

Similaire à Les guides d'audit TI de l'ISACA (20)

Outils de veille et d'intelligence économique territoriale
Outils de veille et d'intelligence économique territorialeOutils de veille et d'intelligence économique territoriale
Outils de veille et d'intelligence économique territoriale
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
 
20110125 02 - Retour d'experience en qualimétrie informatique (CDC)
20110125 02 - Retour d'experience en qualimétrie informatique (CDC)20110125 02 - Retour d'experience en qualimétrie informatique (CDC)
20110125 02 - Retour d'experience en qualimétrie informatique (CDC)
 
20070320 01 - Démarche qualité logicielle et outillage (SNCF)
20070320 01 - Démarche qualité logicielle et outillage (SNCF)20070320 01 - Démarche qualité logicielle et outillage (SNCF)
20070320 01 - Démarche qualité logicielle et outillage (SNCF)
 
Club Urba-EA - Architecture d'entreprise et projets agiles
Club Urba-EA - Architecture d'entreprise et projets agilesClub Urba-EA - Architecture d'entreprise et projets agiles
Club Urba-EA - Architecture d'entreprise et projets agiles
 
Vue d’Ensemble de l’application de l’Outil d’Évaluation de la Passation de Ma...
Vue d’Ensemble de l’application de l’Outil d’Évaluation de la Passation de Ma...Vue d’Ensemble de l’application de l’Outil d’Évaluation de la Passation de Ma...
Vue d’Ensemble de l’application de l’Outil d’Évaluation de la Passation de Ma...
 
20080610 05 - Squale portail qualimétrie en open source
20080610 05 - Squale portail qualimétrie en open source20080610 05 - Squale portail qualimétrie en open source
20080610 05 - Squale portail qualimétrie en open source
 
Les normes SDF logiciel dans l'automobile
Les normes SDF logiciel dans l'automobileLes normes SDF logiciel dans l'automobile
Les normes SDF logiciel dans l'automobile
 
MariaDB Paris Workshop 2023 - novadys presentation
MariaDB Paris Workshop 2023 - novadys presentationMariaDB Paris Workshop 2023 - novadys presentation
MariaDB Paris Workshop 2023 - novadys presentation
 
TABLEAU des OUTILS pour AI AESGPC
TABLEAU des OUTILS pour AI AESGPCTABLEAU des OUTILS pour AI AESGPC
TABLEAU des OUTILS pour AI AESGPC
 
Présentation_HIDAYATALLAH_FINAL.pptx
Présentation_HIDAYATALLAH_FINAL.pptxPrésentation_HIDAYATALLAH_FINAL.pptx
Présentation_HIDAYATALLAH_FINAL.pptx
 
WLD Références Principales
WLD Références PrincipalesWLD Références Principales
WLD Références Principales
 
Club Urba-EA - Vers un SI "data centric"
Club Urba-EA - Vers un SI "data centric" Club Urba-EA - Vers un SI "data centric"
Club Urba-EA - Vers un SI "data centric"
 
Club numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consultingClub numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consulting
 
Audits of Less Complex Entities Webinar (French)
Audits of Less Complex Entities Webinar (French)Audits of Less Complex Entities Webinar (French)
Audits of Less Complex Entities Webinar (French)
 
Gouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationGouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’information
 
Goulla jamal master miage ntdp v2.0
Goulla jamal master miage ntdp v2.0Goulla jamal master miage ntdp v2.0
Goulla jamal master miage ntdp v2.0
 
CVFAL-10-2016 V6
CVFAL-10-2016 V6CVFAL-10-2016 V6
CVFAL-10-2016 V6
 
Atelier Comment choisir et déployer un ERP dans une PME - Pôle numérique CCI ...
Atelier Comment choisir et déployer un ERP dans une PME - Pôle numérique CCI ...Atelier Comment choisir et déployer un ERP dans une PME - Pôle numérique CCI ...
Atelier Comment choisir et déployer un ERP dans une PME - Pôle numérique CCI ...
 

Plus de Yann Riviere CCSK, CISSP, CRISC, CISM

OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
Yann Riviere CCSK, CISSP, CRISC, CISM
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référence
Yann Riviere CCSK, CISSP, CRISC, CISM
 
ISACA QUEBEC GIA
ISACA QUEBEC GIAISACA QUEBEC GIA
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
Yann Riviere CCSK, CISSP, CRISC, CISM
 

Plus de Yann Riviere CCSK, CISSP, CRISC, CISM (6)

OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
 
Journée cob it isaca compte-rendu panel experts 07-11-2013
Journée cob it isaca   compte-rendu panel experts 07-11-2013Journée cob it isaca   compte-rendu panel experts 07-11-2013
Journée cob it isaca compte-rendu panel experts 07-11-2013
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référence
 
Programme isaca 2013_2014
Programme isaca 2013_2014Programme isaca 2013_2014
Programme isaca 2013_2014
 
ISACA QUEBEC GIA
ISACA QUEBEC GIAISACA QUEBEC GIA
ISACA QUEBEC GIA
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 

Les guides d'audit TI de l'ISACA

  • 1. Les guides d’audit TI de l’ISACA ISACA Chapitre Québec 4 décembre 2013
  • 2. Présentateur Javier Bentancur, CISA, MBA javier.bentancur@isaca-quebec.ca http://ca.linkedin.com/in/javierbentancur 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 2
  • 3. L’association ISACA 1969 : «EDP Auditors Association» 1984 : APVCSI à Québec 1998 : ITGI 2013 : o o + de 110.000 membres dans 180 pays + de 200 délégations dans 80 pays 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 3
  • 4. Objectifs Expliquer les guides d’audit TI d’ISACA et leur contexte d’utilisation. Présenter des exemples des guides. Introduire le nouveau guide basé sur Cobit5. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 4
  • 5. Les guides d’audit TI de l’ISACA Normes d’audit TI et d’assurance (ITAF v2) o Normes et directives Outils et techniques o o o o o Concepts de base d’audit TI Livres blanc (« White papers ») Références techniques Programmes d’audit TI Famille de produits Cobit 5 Cobit 5 pour l’assurance (audit TI) o Guide professionnel basé sur Cobit 5 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 5
  • 6. Les normes d’audit TI et d’assurance (ITAF v2) Les normes Les directives
  • 7. Les normes Définition : o Lignes directrices qui encadrent les professionnels de l’audit TI et de l’assurance. Obligation de les respecter et de les appliquer à tout intervention professionnelle. Concernent l’éthique, l’indépendance, l’objectivité, la diligence, la connaissance, la capacité et les compétences du professionnel. Valides depuis 1-nov-2013. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 7
  • 8. Structure des normes Générales (série 1000) Performance (série 1200) • Conduite de la mission Rapport (série 1400) 4 déc 2013 • Principes directeurs de la profession d’audit • Types de rapports, moyens de communication et informations communiquées ISACA Québec - www.isaca-quebec.ca 8
  • 9. Liste des normes Générales o o o o o o o o 1001 : Charte d’audit 1002 : Indépendance de l’organisation 1003 : Indépendance professionnelle 1004 : Attentes raisonnables 1005 : Conscience professionnelle 1006 : Compétence 1007 : Affirmations 1008 : Critères 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 9
  • 10. Liste des normes Performance o o o o o o o 1201 : Planification de la mission 1202 : Évaluation du risque dans la planification 1203 : Exécution et supervision 1204 : Matérialité 1205 : Éléments probants 1206 : Utilisation du travail d’autres experts 1207 : Irrégularités et actes illégaux 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 10
  • 11. Liste des normes Rapports o o 1401 : Rapports 1402 : Activités de suivi 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 11
  • 12. Les directives Définition : o Instructions sur l’application des normes. Le professionnel s’y réfère lors de leurs mises en œuvre, et fait appel à son jugement professionnel. Il doit être en mesure de justifier tout écart visà-vis celles-ci. Présentement en révision. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 12
  • 13. Structure des directives Générales (série 2000) o 2001 à 2008 Performance (série 2200) o o 2201 à 2207 2208 : Échantillonnage d’audit Rapport (série 2400) o 2401 à 2402 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 13
  • 14. Norme 1001 Exemple : La charte d’audit 4 déc 2013 • 1001.1 : Définit l’objectif, la responsabilité, l’autorité et l’imputabilité de la fonction d’audit. • 1001.2 : Indique que la charte d’audit doit être approuvée par le niveau approprié de l’organisation. ISACA Québec - www.isaca-quebec.ca 14
  • 15. Directive 2001 Exemple : La charte d’audit 4 déc 2013 • Suggère un mandat pour la fonction d’audit. • Décrit le contenue de la charte d’audit : • L’objectif, la responsabilité, l’autorité et la réédition de comptes, etc. • Suggère de considérer un processus d’assurance qualité pour la mettre à jour. • Décrit le contenu de la lettre du mandat. • La responsabilité, l’autorité et la réédition de comptes, etc. ISACA Québec - www.isaca-quebec.ca 15
  • 16. Exemple : La charte d’audit Lien des directives avec Cobit Norme Directive Cobit 4 1001 : Charte d’audit 2001 ME 4.7 – Assurance indépendante. ME 2.5 – Assurance de contrôle interne. 1206 : Utilisation du travail d’autres experts 2206 ME 2.5 – Assurance de contrôle interne. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 16
  • 17. Conclusion et questions Référence universelle. En constante évolution. Commentaires de la communauté. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 17
  • 18. Outils et techniques d’audit TI Concepts de base d’audit TI
  • 19. Concepts de base d’audit TI Objectif : o o Mettre à la disposition des professionnels, éducateurs et le public les principes concernant l’audit TI. Permettre l’avancement du domain de l’audit TI par des opinions. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 19
  • 20. Concepts de base d’audit TI Caractéristiques : o o o Publiés depuis 2002 . Une colonne du magazine «ISACA Journal». Organisés selon les principes du modèle Curricula d’ISACA pour les professionels de l’audit et l’assurance TI. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 20
  • 21. Concepts de base d’audit TI Classification : o o o o o o o Processus d’audit. Développement, acquisition, implementation et maintenance d’applications d’affaires. Évaluation des processus d’affaires et gestion de risques. Récupération aux désastres et continuité d’affaires. Gestion, planification et organisation des SI. Protection des actifs informationnels. Pratiques techniques d’infrastructures et des opérations. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 21
  • 22. Processus d’audit TI Exemple 4 déc 2013 • • • • • • Fonction d’audit TI (6). Évidence d’audit (3). Suivi du rapport (1). Concepts à l’égard du contrôle interne (7). Concepts fondamentaux d’audit (11). Gestion de l’audit (2). ISACA Québec - www.isaca-quebec.ca 22
  • 23. Concepts à l’égard du contrôle interne Exemple 4 déc 2013 • Comment auditer une organisation de services (rapport SOC). • Comprendre le nouveau rapport SOC. • Le cycle de vie du développement des contrôles. • Comment utiliser COSO (parties 1 et 2). • Audit des contrôles généraux et d’applications. • Audit de sécurité. ISACA Québec - www.isaca-quebec.ca 23
  • 24. Exemple Transformation des données pour «CAAT» • Introduction. • Méthodologie «ETL» pour CAAT et forage de données. • Exemples. • Outils de transformation de données. • Conclusion. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 24
  • 25. Conclusion et questions Format papier et numérique. Lecture rapide. Sujets d’actualité. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 25
  • 26. Outils et techniques d’audit TI Livres blanc (White papers)
  • 27. Livres blanc ou « White papers » Objectif : o Mettre à disposition l’information relevante et à jour concernant des aspects pouvant impacter les opérations des organisations. Caractéristiques: o o o o Flux RSS. Commentaires (feedback). Autres ouvrages liés. Format numérique. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 27
  • 28. Livres blanc 2013 Sécurité en tant que service (SAAS). Données masives et protection de la vie privée. Gouvernance du cloud: informations indispensables aux conseils d’administration. Données masives : Impacts et avantages . Résultat de l’étude sur la sensibilisation aux menaces avancées persistentes. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 28
  • 29. Exemple : Gouvernance du cloud Objectif : o Décrire brièvement le cloud et présenter les questions qui permettront aux dirigeants d’évaluer les avantages d’intégrer le cloud dans la stratégie de leurs organisations. Sujets : o o o La valeur du cloud. La gouvernance du cloud. Les informations indispensables au conseil d’administration (les questions). 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 29
  • 30. Exemple : Gouvernance du cloud 1 Les équipes de management ontelles élaboré un plan concernant le cloud computing ? Ont-elles évalué la valeur générée et les coûts d’opportunité ? 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 30
  • 31. Exemple : Gouvernance du cloud 2 Dans quelle mesure les plans relatifs au cloud computing servent-ils la mission de l’entreprise ? 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 31
  • 32. Exemple : Gouvernance du cloud 3 Les équipes dirigeantes ont-elles procédé à une évaluation systématique de la préparation de l’organisation ? 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 32
  • 33. Exemple : Gouvernance du cloud 4 Les équipes de management ontelles pris en compte les investissements existants qui pourraient être perdus dans leur planification de mise en oeuvre du cloud computing ? 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 33
  • 34. Exemple : Gouvernance du cloud 5 Les équipes de management ontelles élaboré des stratégies permettant de mesurer le retour sur investissement de l’adoption du cloud computing et de l’évaluer par rapport aux risques ? 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 34
  • 35. Livres blanc 2012 Business Continuity Management: Emerging Trends Cloud Computing Market Maturity Study Results Security Considerations for Cloud Computing Calculating Cloud ROI: From the Customer Perspective Virtualization Desktop Infrastructure (VDI) Incident Management and Response Guiding Principles for Cloud Computing Adoption and Use 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 35
  • 36. Livres blanc 2011 Mobile Payments: Risk, Security and Assurance Issues. Web Application Security: Business and Risk Considerations. Geolocation: Risk, Issues and Strategies. Data Analytics—A Practical Approach. Leveraging XBRL for Value in Organizations. Sustainability. Electronic Discovery. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 36
  • 37. À venir (2014) Programmes d’audit (Cobit5) Contrôle et audit du cloud Génération de la valeur à partir des données massives (2013) Scénarios de risques (Cobit5 pour les risques) Utilisation de Cobit 5 pour SOX SAP ERP v4: aspects de sécurité, audit et contrôle 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 37
  • 38. Conclusion et questions Groupe de recherche. Sujets d’actualité. Conseils pratiques. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 38
  • 39. Outils et techniques d’audit TI Références techniques
  • 40. Références techniques Objectif : o Faciliter aux professionnels de la sécurité, de l’audit et du contrôle des TI (et non TI) l’évaluation des produits installés. Caractéristiques o o o Livre format papier, payant. Téléchargement gratuit: sommaire, programme d’audit et questionnaire de contrôle interne. Communauté de pratique. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 40
  • 41. PeopleSoft d’Oracle, v3, 2012 296 pages. Sommaire (52 pages). 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 41
  • 42. Suite Oracle e-Business, v3, 2010 407 pages. Sommaire (38 pages). 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 42
  • 43. SAP®ERP, v3, 2009 470 pages. Sommaire (12 pages). 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 43
  • 44. Base de données Oracle, v3, 2009 219 pages. Sommaire (28 pages). 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 44
  • 45. Exemple : Base de données Oracle Architecture d’oracle DBMS. Planification de l’audit. Aspects de sécurité : o Système d’exploitation, privilèges, contrôle d’accès, relations de confiance, réseau. Contrôles généraux. Programme d’audit. Questionnaire du contrôle interne. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 45
  • 46. Conclusion et questions Technologies spécifiques et complexes. Référence pour l’auditeur TI. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 46
  • 47. Outils et techniques d’audit TI Programmes d’audit TI
  • 48. Programmes d’audit TI et d’assurance Objectif : o Mettre à la disposition des professionnels de l’assurance et de l’audit TI des exemples de programmes d’audit avec une vocation éducative. Caractéristiques : o o Modèle basé sur Cobit. Liens avec COSO, ITAF, Cobit. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 48
  • 49. Programmes d’audit TI et d’assurance Gestion de crises, de changements, de continuité d’affaires, de risques, etc. Cloud, biométrie, VOIP, Medias sociaux, etc. Lotus Notes, Sharepoint, Base de données MS-SQL, MS File share, serveur de services web Apache, etc. VPN, PKI, IPv6, Mobile computing, Active directory, z/OS, VMWare, UNIX/Linux, etc. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 49
  • 50. Exemple : Virtualisation avec VMware Planification o o la portée. l’audit de l’application. Programme d’audit o o o o Gouvernance de l’environnement virtuel. Préparation sur le champ. Environnement virtuel. Respect des normes de l’organisation. Évaluation de la maturité. Architecture de virtualisation. Indicateurs de performance. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 50
  • 51. Exemple : Virtualisation avec VMware 4 Environnement virtuel o 4.1 Hypervisor • .1 Hardening guide. • .2 Mot de passe «Root». • .3 Lockdown mode. • .4 Protection du shell ESXi. • .5 Piste d’audit. • .6 Mises à jour de l’hypervisor. • .7 Séparation de fonctions. • .8 Mot de passe de la base de données. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 51
  • 52. Exemple : Virtualisation avec VMware 4.1.6 Mis à jour de l’hypervisor 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 52
  • 53. Conclusion et questions Lien avec plusieurs référentiels. Technologies et sujets variés. Mise à jour vers Cobit 5. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 53
  • 54. Outils et techniques d’audit TI Famille de produits Cobit5
  • 55. Évolution de Cobit 1996 : Cobit V1 - pour l’audit TI 1998 : Cobit V2 2000 : Cobit V3 2005 : Cobit V4 o 2007 : Cobit 4.1, Val IT, Risk IT,… 2012 : Famille de produits Cobit 5 o 2013 : Cobit 5, pour l’assurance 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 55
  • 56. Famille de produits Cobit 5 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 56
  • 57. Famille de produits Cobit 5 Programme d’évaluation Process Assessment Programme. o Self-Assessment Guide. o Process Assessment Model. o Assessor Guide. o 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 57
  • 58. Cobit 5 pour l’assurance 318 pages. Format papier et numérique. Volume payant. Téléchargement : o Présentation et brochure. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 58
  • 59. Cobit 5 pour l’assurance Objectifs : o o o Orienter sur comment utiliser Cobit 5 pour la fonction d’audit et d’assurance. Proposer une démarche d’audit basée sur les facilitateurs de Cobit 5. Présenter des exemples de programmes d’assurance (d’audit). 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 59
  • 60. Cobit 5 pour l’assurance Table de matières : o o o o o o o Section 1 : Concepts de base sur l’assurance et application des principes de Cobit 5. Section 2A : Utilisation des facilitateurs de Cobit 5 pour la gestion de la fonction d’audit ou d’assurance. Section 2B : Réalisation des mandats d’audit en utilisant les facilitateurs de Cobit 5. Section 3 : Relation avec autres référentiels. Annexe B : Guide détaillé sur les facilitateurs pour la fonction d’audit. Annexe C : Description détaillée des processus clés pour l’audit. Annexe D : Exemples de programmes d’audit. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 60
  • 61. Les perspectives du guide 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 61
  • 62. L’étendue du guide 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 62
  • 63. Perspective : La fonction d’audit 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 63
  • 64. Les composantes de l’audit 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 64
  • 65. Les principes appliqués à l’audit TI 1 – Les parties prenantes 2 – L’entreprise de mur à mur 3 – Un cadre de référence intégré 4 – Démarche globale 5 – Distinction entre gouvernance et gestion 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 65
  • 66. Exemple : 1-Les parties prenantes Interne o o o Comité d’audit. Groupes d’audit, risque et conformité. Direction exécutive et d’affaires. Externe o o o o 4 déc 2013 Actionnaires. Auditeurs externes. Entités de réglementation. Partenaires d’affaires et clients. ISACA Québec - www.isaca-quebec.ca 66
  • 67. Exemple : 1-Les parties prenantes Types d’engagements d’assurance 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 67
  • 68. Exemple: 1-Les parties prenantes Caractéristiques des types d’engagements Exemple: Indépendance o Pas requise ou non garantie (établir les responsabilités). o Optimiser la fonction. o Doit être établie, vérifiée et conservée. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 68
  • 69. Les facilitateurs et la fonction d’audit Les facilitateurs de Cobit 5 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 69
  • 70. Les facilitateurs et la fonction d’audit 1 - Principes, normes et cadre de références. 2 - Les processus. 3 – Les structures organisationnelles. 4 – Culture, éthique et comportement. 5 – Informations. 6 – Services, infrastructure et applications. 7 – Personnel, aptitudes et compétences. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 70
  • 71. Modèle générique des facilitateurs 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 71
  • 72. 1 - Principes, normes et cadres de réf. Objectif : o Identifier les principes, normes et cadres de référence nécessaires pour construire et maintenir une fonction d’audit TI efficace et efficiente. Les normes d’audit TI Les bonnes pratiques o Le code d’éthique professionnelle. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 72
  • 73. 2 - Les processus Les processus clés pour la fonction d’audit 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 73
  • 74. Exemple : Le processus EDM01 Les livrables du processus 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 74
  • 75. Exemple : Le processus EDM01 Les indicateurs pour mesurer la performance du processus 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 75
  • 76. Exemple : Le processus EDM01 Les activités du processus 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 76
  • 77. 3 – Les structures organisationnelles Les structures pour la fonction d’audit o o o o Comité d’audit et/ou de direction. Direction d’audit. Direction de conformité (interne, externe). Audit externe. Les bonnes pratiques o o o o Composition. Mandat, principes d’opération, niveaux d’autorité et de contrôle. Rôles et responsabilités (lien des rôles avec les processus organisationnels). Intrants et extrants. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 77
  • 78. 4 – Culture, éthique et comportement Catégories o o o Globales à l’organisation (5) Professionnelle (8) Gestion (10) 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 78
  • 79. 5 – Informations Éléments d’information (18) 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 79
  • 80. 6 - Services, infrastructure et applications Services o o o o o o o o Rapport et communication. Assurance qualité. Suivi du temps. Engagement des ressources. Accès à l’information. Suivi des lois, réglementations, etc. Risques émergents. Évaluation de la performance. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 80
  • 81. 6 – Services, infrastructure et applications Applications de support o o o o o o o o Registre des risques. Outils techniques (CAATs). Bibliothèque de pratiques d’audit. Gestion documentaire. Outils de planification. Suivi d’incidents. Outils d’analyse et d’échantillonnage. Workflow. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 81
  • 82. 7 – Personnel, aptitudes et compétences Rôles et compétences o o o o o o o Description Expérience Éducation Qualifications Connaissance Compétences techniques Comportement 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 82
  • 83. Questions 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 83
  • 84. Perspective : Le processus d’audit 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 84
  • 85. Le processus d’audit Évaluation de la fonction d’audit TI o Processus MEA01, MEA02, MEA03. Évaluation des facilitateurs o Démarche d’audit basé sur Cobit5. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 85
  • 86. Démarche d’audit basé sur Cobit5 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 86
  • 87. Démarche d’audit basé sur Cobit5 A-Déterminer l’étendu • A1 ( 2) • A2 (5) • A3 (7) 4 déc 2013 Comprendre les facilitateurs et les évaluer • • • • • • • B1 (2) B2 (5) B3 (7) B4 (5) B5 (5) B6 (5) B7 (5) B8 (5) ISACA Québec - www.isaca-quebec.ca Communication des résultats • C1 (2) • C2 (3) 87
  • 88. Exemple : Flux de travail A-2.4 A-2.4 Traduire les priorités en objectifs d’audit 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 88
  • 89. Exemple: Flux de travail A-3 A-3 Déterminer les facilitateurs 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 89
  • 90. Exemple : Flux de travail B-7.5 B-7.5 Évaluation des services (f6) 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 90
  • 91. Lien avec d’autres guides ITAF o Normes d’audit d’ISACA IPPF o ITAF IPPF Normes d’audit d’IIA SSAE16 SSAE-16 o Normes des rapports SOC 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 91
  • 92. Exemple : Lien avec IPPF IPPF : o o Cadre conceptuel de l’IIA qui organise les exigences professionnelles des auditeurs. Composition: La définition d’audit interne, le code d’éthique et les normes d’audit interne de l’IIA. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 92
  • 93. Exemple : Lien avec IPPF Tableau comparatif 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 93
  • 94. Questions 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 94
  • 95. Programme d’audit - BYOD Adaptation du processus générique o o Structuré dans 3 phases Aligné avec Cobit5 Procédés et directives 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 95
  • 96. Programme d’audit – BYOD A-2.4 Traduire les priorités en objectifs d’audit 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 96
  • 97. Programme d’audit – BYOD A-3 Déterminer les facilitateurs 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 97
  • 98. Exemple : Programme d’audit – BYOD B-2.1 Évaluation des principes (f1) : Engagement 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 98
  • 99. Exemple : Programme d’audit – BYOD B-7.5 Évaluation des service (f6) : MDM 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 99
  • 100. Conclusion et questions Adaptation de Cobit 5 pour la fonction d’audit. Approche structuré pour la réalisation des mandats. Exemples de programmes d’audit actuels. 4 déc 2013 ISACA Québec - www.isaca-quebec.ca 100