SlideShare une entreprise Scribd logo
CISA
Le Processus d’audit des
         SI
Objectifs
A la fin de cette leçon ,vous serez capable de :
 Définir les risques d’audit: risque inhérent, risque d’échec des
   contrôles, risque de non détection, risque global.
 Distinguer les tests de conformité et les test de corroboration.
 Définir les types de contrôle: Préventif, de détection, de
   correction
 Décrire les types d’échantillonnage: statistique et
   discrétionnaire.
 Décrire les types d’audit: financier, opérationnel, SI, intégré,
   Investigation légale
 Décrire TAAO, Auto évaluation des contrôles, Audit continu.
 Décrire les étapes d’un audit typique, Approche d’audit
   fondée sur le risque.
Définitions (L’audit & les Auditeurs)
 Audit : Evaluation d’un système, d’un
  processus, d’un projet ou d’un produit
  d’une organisation.
 Auditeur : Personne qualifiée, compétente
  et indépendante fournissant avec
  objectivité un service d’audit dans le but
  de rendre un rapport.
Deux types d’auditeur
 Interne:
         Employé d’une organisation ayant
 pour rôle d’analyser et d’évaluer le
 système de contrôle interne.

 Externe : Auditeur provenant d’une firme
 d’audit indépendante de l’organisation
 auditée.
Qualifications de l’auditeur :

 Indépendance   professionnelle
 Indépendance organisationnelle
 Adhésion à un code professionnel
  d’éthique
 Détient les compétences et aptitudes
  nécessaires pour l’exécution de l’audit
 Maintient ses connaissances techniques à
  jour (CPE)
Définition : Audit SI / IT

 Analyse partielle ou exhaustive du
  fonctionnement d'un centre de traitement et de
  son environnement
 Débouche sur un diagnostic précisant
       l'adéquation des ressources matérielles et humaines aux
        besoins de l'entreprise
       l'adéquation des résultats obtenus en regard des moyens
        engagés
       l'adéquation des moyens en regard de la législation
Charte d’audit
   Le rôle de la fonction d’audit des SI est établi par la
    Charte d’Audit. L’audit SI peut faire partie de l’audit
    interne en tant que groupe indépendant ou intégré à
    l’audit financier et opérationnel.
   La charte d’audit doit énoncer clairement:
       Les objectifs et les responsabilités de la direction pour la
        fonction d’audit des SI.
       La délégation de pouvoir de la direction à la fonction d’audit.
       L’autorité, la portée et les responsabilités globales de la fonction
        d’audit.
       L’organisation de la fonction d’audit
Planning d’audit
 Court terme : Généralement dans un an.
 Long terme : Plus d’un an (5, 10, 15, …)


Analyser les enjeux à court et long termes:
• Les changement dans l’environnement affectant
  le niveau de risque;
• L’évolution des technologies et des processus
  administratifs;
• L’amélioration des méthodes d’évaluation;
• Nouvelles réglementations applicables.
Planning d’audit (Exemple)
  Domaine à        Période   Date dernier   Responsabilité
   auditer                      audit
 Procédures et       Q1        Jamais       Auditeur Interne
    politique
d’enregistrement
    Plan de          Q2         2005        DSI, Consultant
   continuité                                  Sécurité
    FERPA :          Q3        Jamais       Auditeur Interne
  Interview du
   personnel
  IT : Test de       Q4         2006        DSI, Consultant
  pénétration                                  Sécurité
Etapes de planification d’un
              audit.
 1- Acquérir la compréhension de la mission.
 2- Réaliser une analyse des risques
 3- Etablir la portée et les objectifs d’audit
 4- concevoir l’approche ou la stratégie d’audit
 5- Affecter les ressources aux tâches d’audit;
 6- Prévoir la logistique du mandat
Acquérir la compréhension de la
             mission
   Lire les documents de référence tels que les publications
    de l’industrie, les rapports annuels et les rapports
    d’analyse financières;
   Etudier les rapports d’audit antérieurs ou les rapports
    concernant les TI;
   Consulter les plans stratégiques à long termes relatifs au
    TI et aux activités de l’organisation;
   Discuter avec les responsables clés pour comprendre
    les enjeux commerciaux;
   Déterminer les règles spécifiques applicables aux TI;
   Déterminer les fonctions des TI ou des activités qui y
    sont liées et qui ont été imparties;
   Visiter les installations importantes de l’organisation.
Analyse des risques (Déf.)
 Risque : La possibilité qu’une menace données
  exploite la vulnérabilité d’un actif ou d’un groupe
  d’actifs et cause ainsi un préjudice à
  l’organisation (ISO/IEC PDTR 13335-1).
 Analyse de Risque : Technique d’identification et
  d’évaluation des facteurs susceptible de
  compromettre un processus ou un objectif.
 L’AR = Evaluation -> Atténuation -> Ré
  évaluation.
AR Evaluer les contre-mesures
 Analyse   coût / bénéfices : Choisir les
  méthodes de gestion des risques
  adéquates en se basant sur :
 Le coût de la mesure de contrôle en
  comparaison au degré de réduction du
  risque;
 La propension de la haute direction au
  risque
 Les méthodes de réduction du risque
  privilégiées
Analyse des Risques (Objectifs)
   Permet de repérer les risques et les menaces
    pour un environnement SI et les contrôles
    internes.
   Aide à évaluer les mesures de contrôle lors de
    la planification de l’audit.
   Aide à déterminer les objectifs de l’audit;
   Aide à prendre les décisions en rapport avec
    l’audit fondé sur le risque.
   Permet d’implémenter les meilleures mesures
    de contrôle interne
Contrôle Interne
 Structures organisationnelles, politiques,
  procédures et pratiques implémentées pour
  réduire les risques.
 Donne à la direction une assurance raisonnable
  que les objectifs seront atteints et que le risque
  sera évité ou détecté et corrigé.
 Permettent non seulement d’atteindre les
  objectifs de l’organisation, mais traitent
  également les évènements indésirables par la
  prévention, la détection et la correction.
 Classifiés préventifs, détection et correction.
Contrôle Interne (COSO)
processus intégré mis en œuvre par les responsables et
le personnel d’une organisation et destiné à traiter les
risques et à fournir une assurance raisonnable quant à la
réalisation, dans le cadre de la mission de l’organisation,
des objectifs de l’entreprise.
 • réalisation et optimisation des opérations
   (optimisation des ressources de l'entreprise, fiabilité
   des informations financières)
 • respect des obligations de rendre compte;
 • conformité aux lois et réglementations en vigueur;
 • protection des ressources contre les pertes, les
   mauvais usages et les dommages.
Contrôle préventif
   Détecte les problèmes avant qu’ils ne surviennent
   Surveille les activités et les entrées
   Tenter de prédire les problèmes potentiels avant qu’ils
    ne surviennent et effectuer les ajustements.
   Prévenir les erreurs, les omissions ou les actes
    malveillants
Contrôle de détection
   Détecte et rapporte toute occurrence d’erreur, omission
    ou acte malveillant.
Contrôle de Correction
   Minimiser l’impact d’une menace
   Remédier aux problèmes découverts par les contrôles
    de détection
   Identifier les causes des problèmes
   Corriger les erreurs causées par un problème
   Modifier les systèmes de traitement pour minimiser les
    occurrences futures des problèmes
Contrôle internes (Objectifs)
 La sauvegarde des actifs informationnels
 L’intégrité de l’environnement des SI
 L’identification et l’authentification approprié de
  l’utilisateur d’une ressource SI
 L’efficacité et l’efficience des opération liés au SI
 La disponibilité des services SI
 L’amélioration de la protection des données et des
  systèmes
 L’assurance de l’intégrité et de la fiabilité des systèmes
  par l’implémentation des procédures de gestion du
  changement efficaces.
Classification des Audits

 Financier : Evaluation de l’exactitude des états
  financiers d’une organisation.
 Opérationnel : Evaluation de la structure de
  contrôle interne d’un processus ou d’un domaine
  donné.
 Intégré : Combine les étapes des audits
  financiers et opérationnels.
 Administratif : Evaluation des enjeux liés à
  l’efficacité de la productivité opérationnelle au
  sein d’une organisation.
Classification des Audits (Suite)

 SI : Evaluation des preuves afin de déterminer si
  les SI et les ressources liées protègent
  adéquatement les actifs informationnel d’une
  organisation.
 Spécialisés : Audit SI de conformité lié à un
  service externe ou un standard.
 Investigation légale : Audit spécialisé dans la
  découverte, la divulgation et le suivi des fraudes
  et des crimes.
Etapes d’un Audit Typique
   1- Sujet d’audit
   2- Objectif de l’audit
   3- Portée de l’audit
   4- Planification avant Audit
   5- Procédures d’audit et de collecte de données
   6- Procédures d’évaluation des tests ou des
    résultats d’examen
   7- Procédures de communication avec la direction
   8- Préparation du rapport d’audit
Risque d’audit
   Se définit comme le risque que les
    renseignements puissent contenir une erreur
    importante qui pourrait ne pas être détectée lors
    de la vérification.
      Risque inhérent

      Risque d’échec des contrôles

      Risque de non détection

      Risque global
Démarche d’audit axé sur le risque
   1- Recueillir les renseignements et planifier
   2- Comprendre les contrôles internes
   3- Effectuer les tests de conformité
   4- Effectuer les test de corroboration
   5- Conclure l’audit
Test de conformité # Test de
           corroboration
   Les test de conformité consistent à recueillir des preuves
    dans le but de tester la conformité d’une organisation
    avec les procédures de contrôle.
   Les tests de conformité détermine si les contrôles sont
    appliqués d’une façon qui respecte les procédures et les
    politiques de la direction.
   L’objectifs est de fournir à l’auditeur des SI l’assurance
    raisonnable que le contrôle particulier sur lequel il
    entend se fier fonctionne comme il l’avait observé lors de
    l’évaluation préliminaire.
Test de conformité vs Test de
            corroboration
 Les tests de corroboration consistent à recueillir
  les preuves pour évaluer l’intégrité des
  transactions individuelles, de données ou
  d’autres renseignements.
 Les tests de corroboration fournissent des
  preuves de la validité et de l’intégrité des soldes
  dans les états financiers et des transactions à
  l’appui de ces soldes.
Preuve
   Renseignements utilisé par l’auditeur pour
    déterminer si l’entité ou les données vérifiés
    respectent les critères ou les objectifs établis.

   La preuve peut comprendre les observations de
    l’auditeur, les notes prises lors des entretiens,
    du matériel tiré de la correspondance, de la
    documentation interne ou des contrats avec les
    partenaires externes, ou les résultats des
    procédés de vérification.
Critères de fiabilité de la preuve
 Indépendance du fournisseur de la preuve
 Titre et qualité du fournisseur de la preuve
 Objectivité de la preuve
 Echéancier de la preuve
Techniques de collecte de preuves
   Observations (Organisation, Personnel,
    Procédé)
   Revue des politiques, procédures et standards
   Documentation SI
   Entretien avec le personnel compétents
   Utilisation d’autres auditeurs ou experts
   Echantillonnage (statistiques / discrétionnaires)
   Techniques d’audit assistées par ordinateur
Echantillonnage
 Statistique : Utilisation d’une méthode objective
  pour déterminer la taille de l’échantillon et les
  critères de sélection.
 Discrétionnaire : Utilisation du jugement
  (appréciation) de l’auditeur pour déterminer la
  méthode d’échantillonnage, la taille de
  l’échantillon et les critères de sélection.
TAAO
 Les TAAO sont des outils important pour recueillir et
  analyser les renseignements des systèmes possédant
  des environnements matériels et logiciels, des structures
  de données, des structures d’enregistrement ou des
  fonctions de traitement qui sont différentes.
 Ils fournissent un moyen d’accéder aux données et de
  les analyser au regard d’un objectif d’audit prédéterminé,
  et de faire rapport des constatations de l’audit en mettant
  l’accent sur la fiabilité des enregistrements produits et
  gérés par le système.
 La fiabilité de la source d’information utilisée permet de
  rassurer quant aux constatations énoncées.
Avantage des TAAO
   Réduit le niveau du risque d’audit
   Accroit l’indépendance des audités
   Rapide disponibilité de l’information
   Opportunité de quantifié les faiblesses d’un
    système de CI
   Réduction des coûts liés au temps
TAAO (documents à conserver)
   Rapport en ligne qui détaillent les questions à
    haut risque à examiner
   Listages de programmes commentés
   Organigrammes
   Rapports échantillons
   Disposition d’enregistrement et les descriptions
    de fichiers
   Définition des champs
   Instruction d’utilisation
   Description des documents sources applicables
Auto évaluation des contrôles
 Technique de gestion qui informe les
  actionnaires, clients et autres parties quant à la
  fiabilité du système de contrôle interne de
  l’organisation.
 Méthodologie utilisée pour réviser les objectifs
  clés de l’entreprise, les risques liés à l’atteinte
  des objectifs de l’entreprise et les CI conçus
  pour gérer ces risques.
 Ensemble d’outils dont le degré de
  sophistication va du simple questionnaire aux
  ateliers dirigés.
Avantages de l’AEC
 Détection précoces des risques
 Amélioration de l’efficacité des CI
 Création de la cohésion des équipes grâce à la
  participation des employés
 Développement, chez les employés et les propriétaires
  des contrôles, d’un sentiment d’appartenance
  relativement à ces contrôles et diminution des leur
  résistance face aux changement
 Réduction des coûts du contrôle
 Garantie donnée aux actionnaires et aux clients quant à
  la fiabilité.
 …..
Inconvénients de l’AEC
 Peut être perçue comme le remplacement d’une
  fonction d’audit.
 Peut être perçue comme une charge de travail.
 En cas de l’échec des améliorations suggérées,
  peut nuire au moral des employés.
 Le manque de motivation peut nuire à la
  détection des contrôles insuffisants.
Audit continu
 Méthode qui permet aux auditeurs indépendants
  de donner par écrit une assurance à propos d’un
  sujet à l’aide d’un ensemble de rapports d’audits
  produits en même temps ou peu après
  l’évènement relatif au sujet.
 Le but est de fournir une plate-forme plus
  sécuritaires pour éviter les fraudes et un
  processus en temps réel qui garantit un niveau
  élevé de contrôle financier
Communication des résultats d’audit

   Discuter des conclusions et des recommandations avec
    la direction lors de l’entrevue finale.
   La présentation peut être un résumé ou une présentation
    visuelle.
   Discuter avec le personnel de gestion de l’organisation
    afin d’arriver à un accord au sujet des conclusions et
    d’élaborer un plan d’actions correctives.
   Le rapport d’audit n’a pas de format précis
   Doit suggérer dés échéanciers pour la mise en œuvre
    des recommandations acceptées.
Question type examen
   Une distinction qui peut être faite entre un
    test de conformité et un test de valeur est :

        A. Les tests de conformités portent sur les détails
        alors que les tests de valeurs portent sur les
        procédures.
       B. Les tests de conformité portent sur les contrôles
        alors que les tests de valeur portent sur les détails
       C. Les tests de conformités portent sur les plans alors
        que les tests de valeur portent sur les procédures
       D. Les tests de conformité portent sur les exigences
        réglementaires alors que les tests de valeur portent
        sur les tests de validation.
Question type examen
   Une distinction importante qu’un auditeur
    informatique doit faire en évaluant et en classant les
    contrôles en contrôles de types préventif, de
    détection, correctif est :

       A. L’endroit où l’on applique les contrôles sur les
        données en circulation dans le système.
       B. Seuls les contrôles de prévention et de détection
        présentent un intérêt.
       C. Les contrôles correctifs ne sont que des contrôles
        compensatoires.
       D. Une classification permet à un auditeur
        informatique de déterminer les contrôles manquants.
Question type examen
   Le bénéfice principal pour une organisation qui
    utilise des techniques d’auto évaluation des
    contrôles résulte de ce qu’elle :

       A. Peut identifier les zones à risques élevés qui
        pourrait nécessiter ultérieurement une revue détaillée.
       B. Permet aux auditeurs informatiques d’évaluer les
        risques de façon indépendante.
       C. Peut être utilisée pour remplacer les audits
        traditionnels.
       D. Permet à la direction d’abandonner sa
        responsabilité en ce qui concerne les contrôles.
Question type examen
 Lequeldes éléments suivants constitue
 une autorisation d’entreprendre un audit
 des SI?
     A. La délimitation de l’audit, y compris ses
      buts et objectifs.
     B. Une requête d’effectuer un audit de la part
      de la direction.
     C. La charte d’audit approuvée.
     D. L’échéancier d’audit approuvé.
Question type examen
 Dans l’exécution d’un audit en fonction du
 risque, quelle évaluation des risques est
 d’abord complétée par l’auditeur des SI?

     A. L’évaluation des risques de non-détection
     B. L’évaluation des risques d’échec des
      contrôles
     C. L’évaluation des risques inhérents
     D. L’évaluation des risques de fraude
Question type examen
 Dans  l’élaboration d’un programme d’audit
 axé sur le risque, sur lequel des éléments
 suivants un auditeur des SI porterait-il
 probablement le PLUS son attention ?
   A. Les processus d’entreprise

   B. Les applications essentielles des TI

   C. Les contrôles opérationnels

   D. Les stratégies d’entreprise
Question type examen
 Lequel des types de risques d’audit
 suivants présume une absence de
 contrôle compensatoire dans le domaine
 examiné ?
   A. Risque d’échec des contrôles

   B. Risque de non détection

   C. Risque inhérent

   D. Risque d’échantillonnage
Question type examen
   Un auditeur des SI effectuant un examen des contrôles
    d’une application découvre une faiblesse dans les
    logiciels systèmes qui pourrait avoir une incidence
    importante sur l’application. L’auditeur des SI doit :
       A. ne pas tenir compte de ces faiblesses, puisque
        l’examen des logiciels systèmes dépasse la portée de cet
        examen.
       B. mener un examen détaillé des logiciels systèmes et
        faire état des faiblesses de contrôle.
       C. inclure dans le rapport une déclaration que la
        vérification se limitait à l’examen des contrôles de
        l’application.
       D. examiner les contrôles des logiciels systèmes, ceux-ci
        étant pertinents, et recommander un examen détaillé des
        logiciels systèmes.
Question type examen
   Parmi les raisons suivantes, laquelle est la
    PLUS importante raison de revoir le processus
    de planification d’audit à des intervalles
    périodiques ?
       A. Pouvoir planifier le déploiement des
        ressources d’audit disponibles.
       B. Pouvoir tenir compte des changements à
        l’environnement de risque.
       C. Pouvoir alimenter la documentation de la
        charte d’audit.
       D. Pouvoir cerner les normes d’audit des SI
        applicables.
Question type examen
 Lequel des éléments suivants est le PLUS
 efficace pour mettre en œuvre un système
 d’autoévaluation des contrôles au sein des
 entités ?
     A. Revues informelles avec les pairs
     B. Ateliers dirigés
     C. Diagrammes descriptifs du flot de
      traitement
     D. Diagrammes de flot de données
Question type examen
 La
   PREMIERE étape de planification d’un
 audit est de :
     A. définir les livrables de l’audit
     B. Finaliser la portée et les objectifs de l’audit
     C. acquérir une compréhension des objectifs
      de l’entreprise
     D. concevoir l’approche pour l’audit ou la
      stratégie d’audit.
Question type examen
 L’approche  que doit utiliser un auditeur
 des SI pour planifier la couverture de
 l’audit des SI doit se baser sur :
     A. le risque
     B. l’importance relative
     C. le scepticisme professionnel
     D. le caractère suffisant des éléments
      probants de l’audit
Question type examen
   Une entreprise effectue une copie de
    sauvegarde quotidienne des données critiques
    et des logiciels, et entrepose cette copie dans
    une installation externe. La copie de sauvegarde
    est utilisée pour restaurer les fichiers en cas
    d’interruption. Il s’agit de :
      A. Un contrôle préventif

      B. Un contrôle de gestion

      C. Un contrôle correctif

      D. Un contrôle de détection
Question type examen
The PRIMARY purpose of generalized audit
   software (GAS) is to:
1. Find fraudulent transactions
2. Determine sample mean compared to
   population mean
3. Extract data for a Substantive Test
4. Organize an audit report
Question type examen
A Compensating Control is defined as
1. Two strong controls address the same
   fault
2. A fault is addressed by a weak control
   and strong control in another area
3. A control addresses a specific problem
4. A control that fixes the problem after it is
   detected
Question type examen
An IS auditor should plan their audit
   approach based upon:
1. Materiality
2. Management recommendations
3. ISACA recommendations
4. Risk
Question type examen
A Hash Total is maintained on each batch
   file to ensure no transactions are lost.
   This is an example of a
1. Preventive Control
2. Detective Control
3. Compensating Control
4. Corrective Control
Question type examen
The FIRST step that an auditor should take
   is:
1. Prepare the Audit Objectives and Scope
2. Learn about the organization
3. Study ISACA audit recommendations for
   the functional area
4. Perform a risk assessment
Question type examen
An audit that considers how financial
  information is generated from both a
  business process and IS handling side is
  known as:
1. Financial audit
2. Operational audit
3. Administrative audit
4. Integrated audit
Question type examen
An auditor over-tests (tests a greater
  percent than actually exist) samples that
  are expected to be most risky
1. Variable Sampling
2. Attribute Sampling
3. Statistical Sampling
4. Non-statistical Sampling
Question type examen
The possibility that a router does not catch
  spoofed IP addresses is known as a
1. Inherent risk
2. Control risk
3. Detection risk
4. External risk
Question type examen
Testing a firewall to ensure that it only
  permits web traffic into the DMZ is known
  as
1. Compliance Test
2. Substantive Test
3. Detection Test
4. Preventive Test
Question type examen
An inherent risk for a school would be:
1. Students trying to hack into the system to
   change grades
2. A firewall does not catch spoofed IP
   addresses
3. An audit does not find fraud which
   actually exists
4. People do not change their passwords
   regularly
Remerciements
 Pour IBT ( Institute of Business and
  Technologies)
 BP: 15441 Douala - Cameroun
 Par Arsène Edmond NGATO, CISA,
  CISM, PMP, OCP 10g/11g
 Téléphone- 99183886
 Email- arsenengato@yahoo.fr
   Sources : Manuel de préparation CISA 2012,
    Divers articles téléchargés sur Internet.

Contenu connexe

Tendances

Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
saqrjareh
 
Projet audit ppt
Projet audit pptProjet audit ppt
Projet audit ppt
Hajar Idehou
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
Audit comptable et_financieer
Audit comptable et_financieerAudit comptable et_financieer
Audit comptable et_financieergirelle
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
Audit-audit-interne
Audit-audit-interneAudit-audit-interne
Audit-audit-interne
Widad Naciri
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Audit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’auditAudit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’audit
JihaneMozdalif
 
Le controle interne-pratique
Le controle interne-pratiqueLe controle interne-pratique
Le controle interne-pratique
Hervé Boullanger
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
PECB
 
Audit comptable et financier Chap 1.pptx
Audit comptable et financier Chap 1.pptxAudit comptable et financier Chap 1.pptx
Audit comptable et financier Chap 1.pptx
AyadIliass
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
Arsène Ngato
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
Ammar Sassi
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
ndelannoy
 
COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER
Hajar EL GUERI
 
Conduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleConduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche générale
Ammar Sassi
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
Exposé audit interne et controle interne
Exposé audit interne et controle interneExposé audit interne et controle interne
Exposé audit interne et controle interne
Pasteur_Tunis
 

Tendances (20)

Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
 
Projet audit ppt
Projet audit pptProjet audit ppt
Projet audit ppt
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
Audit comptable et_financieer
Audit comptable et_financieerAudit comptable et_financieer
Audit comptable et_financieer
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Audit-audit-interne
Audit-audit-interneAudit-audit-interne
Audit-audit-interne
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Audit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’auditAudit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’audit
 
Le controle interne-pratique
Le controle interne-pratiqueLe controle interne-pratique
Le controle interne-pratique
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
 
Audit comptable et financier Chap 1.pptx
Audit comptable et financier Chap 1.pptxAudit comptable et financier Chap 1.pptx
Audit comptable et financier Chap 1.pptx
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER
 
Conduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleConduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche générale
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Exposé audit interne et controle interne
Exposé audit interne et controle interneExposé audit interne et controle interne
Exposé audit interne et controle interne
 

En vedette

Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Oumayma Korchi
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'auditBRAHIM MELLOUL
 
Boite à outils de l'auditeur
Boite à outils de l'auditeurBoite à outils de l'auditeur
Boite à outils de l'auditeur
Ammar Sassi
 
COBIT 5 - Principal 3 Applying A Single Integrated Framework
COBIT 5 - Principal 3 Applying A Single Integrated FrameworkCOBIT 5 - Principal 3 Applying A Single Integrated Framework
COBIT 5 - Principal 3 Applying A Single Integrated Framework
Mohammad Reda Katby
 
L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)
Htitipi
 
Qu'est ce qu'un audit
Qu'est ce qu'un auditQu'est ce qu'un audit
Qu'est ce qu'un audit
Ecoute & Qualité
 
Presentation pfe 2012
Presentation pfe 2012Presentation pfe 2012
Presentation pfe 2012Sellami Ahmed
 
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances   copie (2)La pratique de l'audit interne dans les entreprises d'assurances   copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)dodoooooo
 
Guide pratique de l'audit oec maroc
Guide pratique de l'audit   oec marocGuide pratique de l'audit   oec maroc
Guide pratique de l'audit oec marocbissa bissa
 
Audit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniquesAudit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniquestoutou0071
 
COBIT 5 IT Governance Model: an Introduction
COBIT 5 IT Governance Model: an IntroductionCOBIT 5 IT Governance Model: an Introduction
COBIT 5 IT Governance Model: an Introduction
aqel aqel
 

En vedette (12)

Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'audit
 
Boite à outils de l'auditeur
Boite à outils de l'auditeurBoite à outils de l'auditeur
Boite à outils de l'auditeur
 
COBIT 5 - Principal 3 Applying A Single Integrated Framework
COBIT 5 - Principal 3 Applying A Single Integrated FrameworkCOBIT 5 - Principal 3 Applying A Single Integrated Framework
COBIT 5 - Principal 3 Applying A Single Integrated Framework
 
L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)
 
Qu'est ce qu'un audit
Qu'est ce qu'un auditQu'est ce qu'un audit
Qu'est ce qu'un audit
 
Presentation pfe 2012
Presentation pfe 2012Presentation pfe 2012
Presentation pfe 2012
 
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances   copie (2)La pratique de l'audit interne dans les entreprises d'assurances   copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
 
Guide pratique de l'audit oec maroc
Guide pratique de l'audit   oec marocGuide pratique de l'audit   oec maroc
Guide pratique de l'audit oec maroc
 
sdfss
sdfsssdfss
sdfss
 
Audit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniquesAudit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniques
 
COBIT 5 IT Governance Model: an Introduction
COBIT 5 IT Governance Model: an IntroductionCOBIT 5 IT Governance Model: an Introduction
COBIT 5 IT Governance Model: an Introduction
 

Similaire à Processus Audit SI

les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interne
Youssef Bensafi
 
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7  audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...7  audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
sarl ibrahim ifri
 
Audit RH : Évaluation et amélioration de la performance
Audit RH : Évaluation et amélioration de la performanceAudit RH : Évaluation et amélioration de la performance
Audit RH : Évaluation et amélioration de la performance
HR SCOPE
 
cas audit comptable financier Exercice QCM
cas audit comptable financier Exercice QCMcas audit comptable financier Exercice QCM
cas audit comptable financier Exercice QCM
jujord
 
Valeur ajoutee de l'audit de performance
Valeur ajoutee de l'audit de performanceValeur ajoutee de l'audit de performance
Valeur ajoutee de l'audit de performanceicgfmconference
 
controle interne master.ppt
controle interne  master.pptcontrole interne  master.ppt
controle interne master.ppt
JabirArif
 
Audit stratégique
Audit stratégique Audit stratégique
Audit stratégique
Safa Aoun
 
Audit g n_ral-agrad : Téléchargeable sur www.coursdefsjes.com
Audit g n_ral-agrad  : Téléchargeable sur www.coursdefsjes.comAudit g n_ral-agrad  : Téléchargeable sur www.coursdefsjes.com
Audit g n_ral-agrad : Téléchargeable sur www.coursdefsjes.com
cours fsjes
 
Définition de l'audit et ses techniques;
Définition de l'audit et ses techniques;Définition de l'audit et ses techniques;
Définition de l'audit et ses techniques;
AmriYasmine
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative  iso 9001 vs iso 27001.pptEtude comparative  iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
Khouloud Errachedi
 
Exposéaudit crmef lahcen_ouknine_2017
Exposéaudit crmef lahcen_ouknine_2017Exposéaudit crmef lahcen_ouknine_2017
Exposéaudit crmef lahcen_ouknine_2017
OUKNINE Lahcen
 
AuditInterneDesOrganisations
AuditInterneDesOrganisationsAuditInterneDesOrganisations
AuditInterneDesOrganisations
sbarnech
 
1 audit des-emplois
1 audit des-emplois1 audit des-emplois
1 audit des-emploisqarji
 
Audit compatble et financier
Audit compatble et financierAudit compatble et financier
Audit compatble et financier
gadour youssef
 
Audit comptable et financier
Audit comptable et financierAudit comptable et financier
Audit comptable et financier
alaoui rachida
 
AUDIT ORGANISATIONNEL -PROCESSUS.pdf
AUDIT ORGANISATIONNEL -PROCESSUS.pdfAUDIT ORGANISATIONNEL -PROCESSUS.pdf
AUDIT ORGANISATIONNEL -PROCESSUS.pdf
AxelKAPITA1
 
Topo-Audit.pdf cas de l'entreprise Renault
Topo-Audit.pdf cas de l'entreprise RenaultTopo-Audit.pdf cas de l'entreprise Renault
Topo-Audit.pdf cas de l'entreprise Renault
WaelAmranu
 
Topo-Audit.pdf audit stratégique définitions
Topo-Audit.pdf  audit stratégique définitionsTopo-Audit.pdf  audit stratégique définitions
Topo-Audit.pdf audit stratégique définitions
WaelAmranu
 
Topo-Audit.pdf Audit stratégique definition
Topo-Audit.pdf  Audit stratégique definitionTopo-Audit.pdf  Audit stratégique definition
Topo-Audit.pdf Audit stratégique definition
WaelAmranu
 
M1-SC40-TD-Audit-Qualité.pdf
M1-SC40-TD-Audit-Qualité.pdfM1-SC40-TD-Audit-Qualité.pdf
M1-SC40-TD-Audit-Qualité.pdf
ndiaye66
 

Similaire à Processus Audit SI (20)

les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interne
 
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7  audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...7  audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
 
Audit RH : Évaluation et amélioration de la performance
Audit RH : Évaluation et amélioration de la performanceAudit RH : Évaluation et amélioration de la performance
Audit RH : Évaluation et amélioration de la performance
 
cas audit comptable financier Exercice QCM
cas audit comptable financier Exercice QCMcas audit comptable financier Exercice QCM
cas audit comptable financier Exercice QCM
 
Valeur ajoutee de l'audit de performance
Valeur ajoutee de l'audit de performanceValeur ajoutee de l'audit de performance
Valeur ajoutee de l'audit de performance
 
controle interne master.ppt
controle interne  master.pptcontrole interne  master.ppt
controle interne master.ppt
 
Audit stratégique
Audit stratégique Audit stratégique
Audit stratégique
 
Audit g n_ral-agrad : Téléchargeable sur www.coursdefsjes.com
Audit g n_ral-agrad  : Téléchargeable sur www.coursdefsjes.comAudit g n_ral-agrad  : Téléchargeable sur www.coursdefsjes.com
Audit g n_ral-agrad : Téléchargeable sur www.coursdefsjes.com
 
Définition de l'audit et ses techniques;
Définition de l'audit et ses techniques;Définition de l'audit et ses techniques;
Définition de l'audit et ses techniques;
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative  iso 9001 vs iso 27001.pptEtude comparative  iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
 
Exposéaudit crmef lahcen_ouknine_2017
Exposéaudit crmef lahcen_ouknine_2017Exposéaudit crmef lahcen_ouknine_2017
Exposéaudit crmef lahcen_ouknine_2017
 
AuditInterneDesOrganisations
AuditInterneDesOrganisationsAuditInterneDesOrganisations
AuditInterneDesOrganisations
 
1 audit des-emplois
1 audit des-emplois1 audit des-emplois
1 audit des-emplois
 
Audit compatble et financier
Audit compatble et financierAudit compatble et financier
Audit compatble et financier
 
Audit comptable et financier
Audit comptable et financierAudit comptable et financier
Audit comptable et financier
 
AUDIT ORGANISATIONNEL -PROCESSUS.pdf
AUDIT ORGANISATIONNEL -PROCESSUS.pdfAUDIT ORGANISATIONNEL -PROCESSUS.pdf
AUDIT ORGANISATIONNEL -PROCESSUS.pdf
 
Topo-Audit.pdf cas de l'entreprise Renault
Topo-Audit.pdf cas de l'entreprise RenaultTopo-Audit.pdf cas de l'entreprise Renault
Topo-Audit.pdf cas de l'entreprise Renault
 
Topo-Audit.pdf audit stratégique définitions
Topo-Audit.pdf  audit stratégique définitionsTopo-Audit.pdf  audit stratégique définitions
Topo-Audit.pdf audit stratégique définitions
 
Topo-Audit.pdf Audit stratégique definition
Topo-Audit.pdf  Audit stratégique definitionTopo-Audit.pdf  Audit stratégique definition
Topo-Audit.pdf Audit stratégique definition
 
M1-SC40-TD-Audit-Qualité.pdf
M1-SC40-TD-Audit-Qualité.pdfM1-SC40-TD-Audit-Qualité.pdf
M1-SC40-TD-Audit-Qualité.pdf
 

Processus Audit SI

  • 2. Objectifs A la fin de cette leçon ,vous serez capable de :  Définir les risques d’audit: risque inhérent, risque d’échec des contrôles, risque de non détection, risque global.  Distinguer les tests de conformité et les test de corroboration.  Définir les types de contrôle: Préventif, de détection, de correction  Décrire les types d’échantillonnage: statistique et discrétionnaire.  Décrire les types d’audit: financier, opérationnel, SI, intégré, Investigation légale  Décrire TAAO, Auto évaluation des contrôles, Audit continu.  Décrire les étapes d’un audit typique, Approche d’audit fondée sur le risque.
  • 3. Définitions (L’audit & les Auditeurs)  Audit : Evaluation d’un système, d’un processus, d’un projet ou d’un produit d’une organisation.  Auditeur : Personne qualifiée, compétente et indépendante fournissant avec objectivité un service d’audit dans le but de rendre un rapport.
  • 4. Deux types d’auditeur  Interne: Employé d’une organisation ayant pour rôle d’analyser et d’évaluer le système de contrôle interne.  Externe : Auditeur provenant d’une firme d’audit indépendante de l’organisation auditée.
  • 5. Qualifications de l’auditeur :  Indépendance professionnelle  Indépendance organisationnelle  Adhésion à un code professionnel d’éthique  Détient les compétences et aptitudes nécessaires pour l’exécution de l’audit  Maintient ses connaissances techniques à jour (CPE)
  • 6. Définition : Audit SI / IT  Analyse partielle ou exhaustive du fonctionnement d'un centre de traitement et de son environnement  Débouche sur un diagnostic précisant  l'adéquation des ressources matérielles et humaines aux besoins de l'entreprise  l'adéquation des résultats obtenus en regard des moyens engagés  l'adéquation des moyens en regard de la législation
  • 7. Charte d’audit  Le rôle de la fonction d’audit des SI est établi par la Charte d’Audit. L’audit SI peut faire partie de l’audit interne en tant que groupe indépendant ou intégré à l’audit financier et opérationnel.  La charte d’audit doit énoncer clairement:  Les objectifs et les responsabilités de la direction pour la fonction d’audit des SI.  La délégation de pouvoir de la direction à la fonction d’audit.  L’autorité, la portée et les responsabilités globales de la fonction d’audit.  L’organisation de la fonction d’audit
  • 8. Planning d’audit  Court terme : Généralement dans un an.  Long terme : Plus d’un an (5, 10, 15, …) Analyser les enjeux à court et long termes: • Les changement dans l’environnement affectant le niveau de risque; • L’évolution des technologies et des processus administratifs; • L’amélioration des méthodes d’évaluation; • Nouvelles réglementations applicables.
  • 9. Planning d’audit (Exemple) Domaine à Période Date dernier Responsabilité auditer audit Procédures et Q1 Jamais Auditeur Interne politique d’enregistrement Plan de Q2 2005 DSI, Consultant continuité Sécurité FERPA : Q3 Jamais Auditeur Interne Interview du personnel IT : Test de Q4 2006 DSI, Consultant pénétration Sécurité
  • 10. Etapes de planification d’un audit.  1- Acquérir la compréhension de la mission.  2- Réaliser une analyse des risques  3- Etablir la portée et les objectifs d’audit  4- concevoir l’approche ou la stratégie d’audit  5- Affecter les ressources aux tâches d’audit;  6- Prévoir la logistique du mandat
  • 11. Acquérir la compréhension de la mission  Lire les documents de référence tels que les publications de l’industrie, les rapports annuels et les rapports d’analyse financières;  Etudier les rapports d’audit antérieurs ou les rapports concernant les TI;  Consulter les plans stratégiques à long termes relatifs au TI et aux activités de l’organisation;  Discuter avec les responsables clés pour comprendre les enjeux commerciaux;  Déterminer les règles spécifiques applicables aux TI;  Déterminer les fonctions des TI ou des activités qui y sont liées et qui ont été imparties;  Visiter les installations importantes de l’organisation.
  • 12. Analyse des risques (Déf.)  Risque : La possibilité qu’une menace données exploite la vulnérabilité d’un actif ou d’un groupe d’actifs et cause ainsi un préjudice à l’organisation (ISO/IEC PDTR 13335-1).  Analyse de Risque : Technique d’identification et d’évaluation des facteurs susceptible de compromettre un processus ou un objectif.  L’AR = Evaluation -> Atténuation -> Ré évaluation.
  • 13. AR Evaluer les contre-mesures  Analyse coût / bénéfices : Choisir les méthodes de gestion des risques adéquates en se basant sur :  Le coût de la mesure de contrôle en comparaison au degré de réduction du risque;  La propension de la haute direction au risque  Les méthodes de réduction du risque privilégiées
  • 14. Analyse des Risques (Objectifs)  Permet de repérer les risques et les menaces pour un environnement SI et les contrôles internes.  Aide à évaluer les mesures de contrôle lors de la planification de l’audit.  Aide à déterminer les objectifs de l’audit;  Aide à prendre les décisions en rapport avec l’audit fondé sur le risque.  Permet d’implémenter les meilleures mesures de contrôle interne
  • 15. Contrôle Interne  Structures organisationnelles, politiques, procédures et pratiques implémentées pour réduire les risques.  Donne à la direction une assurance raisonnable que les objectifs seront atteints et que le risque sera évité ou détecté et corrigé.  Permettent non seulement d’atteindre les objectifs de l’organisation, mais traitent également les évènements indésirables par la prévention, la détection et la correction.  Classifiés préventifs, détection et correction.
  • 16. Contrôle Interne (COSO) processus intégré mis en œuvre par les responsables et le personnel d’une organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de l’organisation, des objectifs de l’entreprise. • réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) • respect des obligations de rendre compte; • conformité aux lois et réglementations en vigueur; • protection des ressources contre les pertes, les mauvais usages et les dommages.
  • 17. Contrôle préventif  Détecte les problèmes avant qu’ils ne surviennent  Surveille les activités et les entrées  Tenter de prédire les problèmes potentiels avant qu’ils ne surviennent et effectuer les ajustements.  Prévenir les erreurs, les omissions ou les actes malveillants
  • 18. Contrôle de détection  Détecte et rapporte toute occurrence d’erreur, omission ou acte malveillant.
  • 19. Contrôle de Correction  Minimiser l’impact d’une menace  Remédier aux problèmes découverts par les contrôles de détection  Identifier les causes des problèmes  Corriger les erreurs causées par un problème  Modifier les systèmes de traitement pour minimiser les occurrences futures des problèmes
  • 20. Contrôle internes (Objectifs)  La sauvegarde des actifs informationnels  L’intégrité de l’environnement des SI  L’identification et l’authentification approprié de l’utilisateur d’une ressource SI  L’efficacité et l’efficience des opération liés au SI  La disponibilité des services SI  L’amélioration de la protection des données et des systèmes  L’assurance de l’intégrité et de la fiabilité des systèmes par l’implémentation des procédures de gestion du changement efficaces.
  • 21. Classification des Audits  Financier : Evaluation de l’exactitude des états financiers d’une organisation.  Opérationnel : Evaluation de la structure de contrôle interne d’un processus ou d’un domaine donné.  Intégré : Combine les étapes des audits financiers et opérationnels.  Administratif : Evaluation des enjeux liés à l’efficacité de la productivité opérationnelle au sein d’une organisation.
  • 22. Classification des Audits (Suite)  SI : Evaluation des preuves afin de déterminer si les SI et les ressources liées protègent adéquatement les actifs informationnel d’une organisation.  Spécialisés : Audit SI de conformité lié à un service externe ou un standard.  Investigation légale : Audit spécialisé dans la découverte, la divulgation et le suivi des fraudes et des crimes.
  • 23. Etapes d’un Audit Typique  1- Sujet d’audit  2- Objectif de l’audit  3- Portée de l’audit  4- Planification avant Audit  5- Procédures d’audit et de collecte de données  6- Procédures d’évaluation des tests ou des résultats d’examen  7- Procédures de communication avec la direction  8- Préparation du rapport d’audit
  • 24. Risque d’audit  Se définit comme le risque que les renseignements puissent contenir une erreur importante qui pourrait ne pas être détectée lors de la vérification.  Risque inhérent  Risque d’échec des contrôles  Risque de non détection  Risque global
  • 25. Démarche d’audit axé sur le risque  1- Recueillir les renseignements et planifier  2- Comprendre les contrôles internes  3- Effectuer les tests de conformité  4- Effectuer les test de corroboration  5- Conclure l’audit
  • 26. Test de conformité # Test de corroboration  Les test de conformité consistent à recueillir des preuves dans le but de tester la conformité d’une organisation avec les procédures de contrôle.  Les tests de conformité détermine si les contrôles sont appliqués d’une façon qui respecte les procédures et les politiques de la direction.  L’objectifs est de fournir à l’auditeur des SI l’assurance raisonnable que le contrôle particulier sur lequel il entend se fier fonctionne comme il l’avait observé lors de l’évaluation préliminaire.
  • 27. Test de conformité vs Test de corroboration  Les tests de corroboration consistent à recueillir les preuves pour évaluer l’intégrité des transactions individuelles, de données ou d’autres renseignements.  Les tests de corroboration fournissent des preuves de la validité et de l’intégrité des soldes dans les états financiers et des transactions à l’appui de ces soldes.
  • 28. Preuve  Renseignements utilisé par l’auditeur pour déterminer si l’entité ou les données vérifiés respectent les critères ou les objectifs établis.  La preuve peut comprendre les observations de l’auditeur, les notes prises lors des entretiens, du matériel tiré de la correspondance, de la documentation interne ou des contrats avec les partenaires externes, ou les résultats des procédés de vérification.
  • 29. Critères de fiabilité de la preuve  Indépendance du fournisseur de la preuve  Titre et qualité du fournisseur de la preuve  Objectivité de la preuve  Echéancier de la preuve
  • 30. Techniques de collecte de preuves  Observations (Organisation, Personnel, Procédé)  Revue des politiques, procédures et standards  Documentation SI  Entretien avec le personnel compétents  Utilisation d’autres auditeurs ou experts  Echantillonnage (statistiques / discrétionnaires)  Techniques d’audit assistées par ordinateur
  • 31. Echantillonnage  Statistique : Utilisation d’une méthode objective pour déterminer la taille de l’échantillon et les critères de sélection.  Discrétionnaire : Utilisation du jugement (appréciation) de l’auditeur pour déterminer la méthode d’échantillonnage, la taille de l’échantillon et les critères de sélection.
  • 32. TAAO  Les TAAO sont des outils important pour recueillir et analyser les renseignements des systèmes possédant des environnements matériels et logiciels, des structures de données, des structures d’enregistrement ou des fonctions de traitement qui sont différentes.  Ils fournissent un moyen d’accéder aux données et de les analyser au regard d’un objectif d’audit prédéterminé, et de faire rapport des constatations de l’audit en mettant l’accent sur la fiabilité des enregistrements produits et gérés par le système.  La fiabilité de la source d’information utilisée permet de rassurer quant aux constatations énoncées.
  • 33. Avantage des TAAO  Réduit le niveau du risque d’audit  Accroit l’indépendance des audités  Rapide disponibilité de l’information  Opportunité de quantifié les faiblesses d’un système de CI  Réduction des coûts liés au temps
  • 34. TAAO (documents à conserver)  Rapport en ligne qui détaillent les questions à haut risque à examiner  Listages de programmes commentés  Organigrammes  Rapports échantillons  Disposition d’enregistrement et les descriptions de fichiers  Définition des champs  Instruction d’utilisation  Description des documents sources applicables
  • 35. Auto évaluation des contrôles  Technique de gestion qui informe les actionnaires, clients et autres parties quant à la fiabilité du système de contrôle interne de l’organisation.  Méthodologie utilisée pour réviser les objectifs clés de l’entreprise, les risques liés à l’atteinte des objectifs de l’entreprise et les CI conçus pour gérer ces risques.  Ensemble d’outils dont le degré de sophistication va du simple questionnaire aux ateliers dirigés.
  • 36. Avantages de l’AEC  Détection précoces des risques  Amélioration de l’efficacité des CI  Création de la cohésion des équipes grâce à la participation des employés  Développement, chez les employés et les propriétaires des contrôles, d’un sentiment d’appartenance relativement à ces contrôles et diminution des leur résistance face aux changement  Réduction des coûts du contrôle  Garantie donnée aux actionnaires et aux clients quant à la fiabilité.  …..
  • 37. Inconvénients de l’AEC  Peut être perçue comme le remplacement d’une fonction d’audit.  Peut être perçue comme une charge de travail.  En cas de l’échec des améliorations suggérées, peut nuire au moral des employés.  Le manque de motivation peut nuire à la détection des contrôles insuffisants.
  • 38. Audit continu  Méthode qui permet aux auditeurs indépendants de donner par écrit une assurance à propos d’un sujet à l’aide d’un ensemble de rapports d’audits produits en même temps ou peu après l’évènement relatif au sujet.  Le but est de fournir une plate-forme plus sécuritaires pour éviter les fraudes et un processus en temps réel qui garantit un niveau élevé de contrôle financier
  • 39. Communication des résultats d’audit  Discuter des conclusions et des recommandations avec la direction lors de l’entrevue finale.  La présentation peut être un résumé ou une présentation visuelle.  Discuter avec le personnel de gestion de l’organisation afin d’arriver à un accord au sujet des conclusions et d’élaborer un plan d’actions correctives.  Le rapport d’audit n’a pas de format précis  Doit suggérer dés échéanciers pour la mise en œuvre des recommandations acceptées.
  • 40. Question type examen  Une distinction qui peut être faite entre un test de conformité et un test de valeur est :  A. Les tests de conformités portent sur les détails alors que les tests de valeurs portent sur les procédures.  B. Les tests de conformité portent sur les contrôles alors que les tests de valeur portent sur les détails  C. Les tests de conformités portent sur les plans alors que les tests de valeur portent sur les procédures  D. Les tests de conformité portent sur les exigences réglementaires alors que les tests de valeur portent sur les tests de validation.
  • 41. Question type examen  Une distinction importante qu’un auditeur informatique doit faire en évaluant et en classant les contrôles en contrôles de types préventif, de détection, correctif est :  A. L’endroit où l’on applique les contrôles sur les données en circulation dans le système.  B. Seuls les contrôles de prévention et de détection présentent un intérêt.  C. Les contrôles correctifs ne sont que des contrôles compensatoires.  D. Une classification permet à un auditeur informatique de déterminer les contrôles manquants.
  • 42. Question type examen  Le bénéfice principal pour une organisation qui utilise des techniques d’auto évaluation des contrôles résulte de ce qu’elle :  A. Peut identifier les zones à risques élevés qui pourrait nécessiter ultérieurement une revue détaillée.  B. Permet aux auditeurs informatiques d’évaluer les risques de façon indépendante.  C. Peut être utilisée pour remplacer les audits traditionnels.  D. Permet à la direction d’abandonner sa responsabilité en ce qui concerne les contrôles.
  • 43. Question type examen  Lequeldes éléments suivants constitue une autorisation d’entreprendre un audit des SI?  A. La délimitation de l’audit, y compris ses buts et objectifs.  B. Une requête d’effectuer un audit de la part de la direction.  C. La charte d’audit approuvée.  D. L’échéancier d’audit approuvé.
  • 44. Question type examen  Dans l’exécution d’un audit en fonction du risque, quelle évaluation des risques est d’abord complétée par l’auditeur des SI?  A. L’évaluation des risques de non-détection  B. L’évaluation des risques d’échec des contrôles  C. L’évaluation des risques inhérents  D. L’évaluation des risques de fraude
  • 45. Question type examen  Dans l’élaboration d’un programme d’audit axé sur le risque, sur lequel des éléments suivants un auditeur des SI porterait-il probablement le PLUS son attention ?  A. Les processus d’entreprise  B. Les applications essentielles des TI  C. Les contrôles opérationnels  D. Les stratégies d’entreprise
  • 46. Question type examen  Lequel des types de risques d’audit suivants présume une absence de contrôle compensatoire dans le domaine examiné ?  A. Risque d’échec des contrôles  B. Risque de non détection  C. Risque inhérent  D. Risque d’échantillonnage
  • 47. Question type examen  Un auditeur des SI effectuant un examen des contrôles d’une application découvre une faiblesse dans les logiciels systèmes qui pourrait avoir une incidence importante sur l’application. L’auditeur des SI doit :  A. ne pas tenir compte de ces faiblesses, puisque l’examen des logiciels systèmes dépasse la portée de cet examen.  B. mener un examen détaillé des logiciels systèmes et faire état des faiblesses de contrôle.  C. inclure dans le rapport une déclaration que la vérification se limitait à l’examen des contrôles de l’application.  D. examiner les contrôles des logiciels systèmes, ceux-ci étant pertinents, et recommander un examen détaillé des logiciels systèmes.
  • 48. Question type examen  Parmi les raisons suivantes, laquelle est la PLUS importante raison de revoir le processus de planification d’audit à des intervalles périodiques ?  A. Pouvoir planifier le déploiement des ressources d’audit disponibles.  B. Pouvoir tenir compte des changements à l’environnement de risque.  C. Pouvoir alimenter la documentation de la charte d’audit.  D. Pouvoir cerner les normes d’audit des SI applicables.
  • 49. Question type examen  Lequel des éléments suivants est le PLUS efficace pour mettre en œuvre un système d’autoévaluation des contrôles au sein des entités ?  A. Revues informelles avec les pairs  B. Ateliers dirigés  C. Diagrammes descriptifs du flot de traitement  D. Diagrammes de flot de données
  • 50. Question type examen  La PREMIERE étape de planification d’un audit est de :  A. définir les livrables de l’audit  B. Finaliser la portée et les objectifs de l’audit  C. acquérir une compréhension des objectifs de l’entreprise  D. concevoir l’approche pour l’audit ou la stratégie d’audit.
  • 51. Question type examen  L’approche que doit utiliser un auditeur des SI pour planifier la couverture de l’audit des SI doit se baser sur :  A. le risque  B. l’importance relative  C. le scepticisme professionnel  D. le caractère suffisant des éléments probants de l’audit
  • 52. Question type examen  Une entreprise effectue une copie de sauvegarde quotidienne des données critiques et des logiciels, et entrepose cette copie dans une installation externe. La copie de sauvegarde est utilisée pour restaurer les fichiers en cas d’interruption. Il s’agit de :  A. Un contrôle préventif  B. Un contrôle de gestion  C. Un contrôle correctif  D. Un contrôle de détection
  • 53. Question type examen The PRIMARY purpose of generalized audit software (GAS) is to: 1. Find fraudulent transactions 2. Determine sample mean compared to population mean 3. Extract data for a Substantive Test 4. Organize an audit report
  • 54. Question type examen A Compensating Control is defined as 1. Two strong controls address the same fault 2. A fault is addressed by a weak control and strong control in another area 3. A control addresses a specific problem 4. A control that fixes the problem after it is detected
  • 55. Question type examen An IS auditor should plan their audit approach based upon: 1. Materiality 2. Management recommendations 3. ISACA recommendations 4. Risk
  • 56. Question type examen A Hash Total is maintained on each batch file to ensure no transactions are lost. This is an example of a 1. Preventive Control 2. Detective Control 3. Compensating Control 4. Corrective Control
  • 57. Question type examen The FIRST step that an auditor should take is: 1. Prepare the Audit Objectives and Scope 2. Learn about the organization 3. Study ISACA audit recommendations for the functional area 4. Perform a risk assessment
  • 58. Question type examen An audit that considers how financial information is generated from both a business process and IS handling side is known as: 1. Financial audit 2. Operational audit 3. Administrative audit 4. Integrated audit
  • 59. Question type examen An auditor over-tests (tests a greater percent than actually exist) samples that are expected to be most risky 1. Variable Sampling 2. Attribute Sampling 3. Statistical Sampling 4. Non-statistical Sampling
  • 60. Question type examen The possibility that a router does not catch spoofed IP addresses is known as a 1. Inherent risk 2. Control risk 3. Detection risk 4. External risk
  • 61. Question type examen Testing a firewall to ensure that it only permits web traffic into the DMZ is known as 1. Compliance Test 2. Substantive Test 3. Detection Test 4. Preventive Test
  • 62. Question type examen An inherent risk for a school would be: 1. Students trying to hack into the system to change grades 2. A firewall does not catch spoofed IP addresses 3. An audit does not find fraud which actually exists 4. People do not change their passwords regularly
  • 63. Remerciements  Pour IBT ( Institute of Business and Technologies)  BP: 15441 Douala - Cameroun  Par Arsène Edmond NGATO, CISA, CISM, PMP, OCP 10g/11g  Téléphone- 99183886  Email- arsenengato@yahoo.fr  Sources : Manuel de préparation CISA 2012, Divers articles téléchargés sur Internet.