SlideShare une entreprise Scribd logo

Processus Audit SI

Télécharger en tant que PPTX, PDF
Arsène Ngato
Arsène Ngato

Premier chapitre du manuel de préparation CISA 2012

1  sur  63
CISA Le Processus d’audit des SI
Objectifs A la fin de cette leçon ,vous serez capable de :  Définir les risques d’audit: risque inhérent, risque d’échec des contrôles, risque de non détection, risque global.  Distinguer les tests de conformité et les test de corroboration.  Définir les types de contrôle: Préventif, de détection, de correction  Décrire les types d’échantillonnage: statistique et discrétionnaire.  Décrire les types d’audit: financier, opérationnel, SI, intégré, Investigation légale  Décrire TAAO, Auto évaluation des contrôles, Audit continu.  Décrire les étapes d’un audit typique, Approche d’audit fondée sur le risque.
Définitions (L’audit & les Auditeurs)  Audit : Evaluation d’un système, d’un processus, d’un projet ou d’un produit d’une organisation.  Auditeur : Personne qualifiée, compétente et indépendante fournissant avec objectivité un service d’audit dans le but de rendre un rapport.
Deux types d’auditeur  Interne: Employé d’une organisation ayant pour rôle d’analyser et d’évaluer le système de contrôle interne.  Externe : Auditeur provenant d’une firme d’audit indépendante de l’organisation auditée.
Qualifications de l’auditeur :  Indépendance professionnelle  Indépendance organisationnelle  Adhésion à un code professionnel d’éthique  Détient les compétences et aptitudes nécessaires pour l’exécution de l’audit  Maintient ses connaissances techniques à jour (CPE)
Définition : Audit SI / IT  Analyse partielle ou exhaustive du fonctionnement d'un centre de traitement et de son environnement  Débouche sur un diagnostic précisant  l'adéquation des ressources matérielles et humaines aux besoins de l'entreprise  l'adéquation des résultats obtenus en regard des moyens engagés  l'adéquation des moyens en regard de la législation
Charte d’audit  Le rôle de la fonction d’audit des SI est établi par la Charte d’Audit. L’audit SI peut faire partie de l’audit interne en tant que groupe indépendant ou intégré à l’audit financier et opérationnel.  La charte d’audit doit énoncer clairement:  Les objectifs et les responsabilités de la direction pour la fonction d’audit des SI.  La délégation de pouvoir de la direction à la fonction d’audit.  L’autorité, la portée et les responsabilités globales de la fonction d’audit.  L’organisation de la fonction d’audit
Planning d’audit  Court terme : Généralement dans un an.  Long terme : Plus d’un an (5, 10, 15, …) Analyser les enjeux à court et long termes: • Les changement dans l’environnement affectant le niveau de risque; • L’évolution des technologies et des processus administratifs; • L’amélioration des méthodes d’évaluation; • Nouvelles réglementations applicables.
Planning d’audit (Exemple) Domaine à Période Date dernier Responsabilité auditer audit Procédures et Q1 Jamais Auditeur Interne politique d’enregistrement Plan de Q2 2005 DSI, Consultant continuité Sécurité FERPA : Q3 Jamais Auditeur Interne Interview du personnel IT : Test de Q4 2006 DSI, Consultant pénétration Sécurité
Etapes de planification d’un audit.  1- Acquérir la compréhension de la mission.  2- Réaliser une analyse des risques  3- Etablir la portée et les objectifs d’audit  4- concevoir l’approche ou la stratégie d’audit  5- Affecter les ressources aux tâches d’audit;  6- Prévoir la logistique du mandat
Acquérir la compréhension de la mission  Lire les documents de référence tels que les publications de l’industrie, les rapports annuels et les rapports d’analyse financières;  Etudier les rapports d’audit antérieurs ou les rapports concernant les TI;  Consulter les plans stratégiques à long termes relatifs au TI et aux activités de l’organisation;  Discuter avec les responsables clés pour comprendre les enjeux commerciaux;  Déterminer les règles spécifiques applicables aux TI;  Déterminer les fonctions des TI ou des activités qui y sont liées et qui ont été imparties;  Visiter les installations importantes de l’organisation.
Analyse des risques (Déf.)  Risque : La possibilité qu’une menace données exploite la vulnérabilité d’un actif ou d’un groupe d’actifs et cause ainsi un préjudice à l’organisation (ISO/IEC PDTR 13335-1).  Analyse de Risque : Technique d’identification et d’évaluation des facteurs susceptible de compromettre un processus ou un objectif.  L’AR = Evaluation -> Atténuation -> Ré évaluation.
AR Evaluer les contre-mesures  Analyse coût / bénéfices : Choisir les méthodes de gestion des risques adéquates en se basant sur :  Le coût de la mesure de contrôle en comparaison au degré de réduction du risque;  La propension de la haute direction au risque  Les méthodes de réduction du risque privilégiées
Analyse des Risques (Objectifs)  Permet de repérer les risques et les menaces pour un environnement SI et les contrôles internes.  Aide à évaluer les mesures de contrôle lors de la planification de l’audit.  Aide à déterminer les objectifs de l’audit;  Aide à prendre les décisions en rapport avec l’audit fondé sur le risque.  Permet d’implémenter les meilleures mesures de contrôle interne
Contrôle Interne  Structures organisationnelles, politiques, procédures et pratiques implémentées pour réduire les risques.  Donne à la direction une assurance raisonnable que les objectifs seront atteints et que le risque sera évité ou détecté et corrigé.  Permettent non seulement d’atteindre les objectifs de l’organisation, mais traitent également les évènements indésirables par la prévention, la détection et la correction.  Classifiés préventifs, détection et correction.
Contrôle Interne (COSO) processus intégré mis en œuvre par les responsables et le personnel d’une organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de l’organisation, des objectifs de l’entreprise. • réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) • respect des obligations de rendre compte; • conformité aux lois et réglementations en vigueur; • protection des ressources contre les pertes, les mauvais usages et les dommages.
Contrôle préventif  Détecte les problèmes avant qu’ils ne surviennent  Surveille les activités et les entrées  Tenter de prédire les problèmes potentiels avant qu’ils ne surviennent et effectuer les ajustements.  Prévenir les erreurs, les omissions ou les actes malveillants
Contrôle de détection  Détecte et rapporte toute occurrence d’erreur, omission ou acte malveillant.
Contrôle de Correction  Minimiser l’impact d’une menace  Remédier aux problèmes découverts par les contrôles de détection  Identifier les causes des problèmes  Corriger les erreurs causées par un problème  Modifier les systèmes de traitement pour minimiser les occurrences futures des problèmes
Contrôle internes (Objectifs)  La sauvegarde des actifs informationnels  L’intégrité de l’environnement des SI  L’identification et l’authentification approprié de l’utilisateur d’une ressource SI  L’efficacité et l’efficience des opération liés au SI  La disponibilité des services SI  L’amélioration de la protection des données et des systèmes  L’assurance de l’intégrité et de la fiabilité des systèmes par l’implémentation des procédures de gestion du changement efficaces.
Classification des Audits  Financier : Evaluation de l’exactitude des états financiers d’une organisation.  Opérationnel : Evaluation de la structure de contrôle interne d’un processus ou d’un domaine donné.  Intégré : Combine les étapes des audits financiers et opérationnels.  Administratif : Evaluation des enjeux liés à l’efficacité de la productivité opérationnelle au sein d’une organisation.
Classification des Audits (Suite)  SI : Evaluation des preuves afin de déterminer si les SI et les ressources liées protègent adéquatement les actifs informationnel d’une organisation.  Spécialisés : Audit SI de conformité lié à un service externe ou un standard.  Investigation légale : Audit spécialisé dans la découverte, la divulgation et le suivi des fraudes et des crimes.
Etapes d’un Audit Typique  1- Sujet d’audit  2- Objectif de l’audit  3- Portée de l’audit  4- Planification avant Audit  5- Procédures d’audit et de collecte de données  6- Procédures d’évaluation des tests ou des résultats d’examen  7- Procédures de communication avec la direction  8- Préparation du rapport d’audit
Risque d’audit  Se définit comme le risque que les renseignements puissent contenir une erreur importante qui pourrait ne pas être détectée lors de la vérification.  Risque inhérent  Risque d’échec des contrôles  Risque de non détection  Risque global
Démarche d’audit axé sur le risque  1- Recueillir les renseignements et planifier  2- Comprendre les contrôles internes  3- Effectuer les tests de conformité  4- Effectuer les test de corroboration  5- Conclure l’audit
Test de conformité # Test de corroboration  Les test de conformité consistent à recueillir des preuves dans le but de tester la conformité d’une organisation avec les procédures de contrôle.  Les tests de conformité détermine si les contrôles sont appliqués d’une façon qui respecte les procédures et les politiques de la direction.  L’objectifs est de fournir à l’auditeur des SI l’assurance raisonnable que le contrôle particulier sur lequel il entend se fier fonctionne comme il l’avait observé lors de l’évaluation préliminaire.
Test de conformité vs Test de corroboration  Les tests de corroboration consistent à recueillir les preuves pour évaluer l’intégrité des transactions individuelles, de données ou d’autres renseignements.  Les tests de corroboration fournissent des preuves de la validité et de l’intégrité des soldes dans les états financiers et des transactions à l’appui de ces soldes.
Preuve  Renseignements utilisé par l’auditeur pour déterminer si l’entité ou les données vérifiés respectent les critères ou les objectifs établis.  La preuve peut comprendre les observations de l’auditeur, les notes prises lors des entretiens, du matériel tiré de la correspondance, de la documentation interne ou des contrats avec les partenaires externes, ou les résultats des procédés de vérification.
Critères de fiabilité de la preuve  Indépendance du fournisseur de la preuve  Titre et qualité du fournisseur de la preuve  Objectivité de la preuve  Echéancier de la preuve
Techniques de collecte de preuves  Observations (Organisation, Personnel, Procédé)  Revue des politiques, procédures et standards  Documentation SI  Entretien avec le personnel compétents  Utilisation d’autres auditeurs ou experts  Echantillonnage (statistiques / discrétionnaires)  Techniques d’audit assistées par ordinateur
Echantillonnage  Statistique : Utilisation d’une méthode objective pour déterminer la taille de l’échantillon et les critères de sélection.  Discrétionnaire : Utilisation du jugement (appréciation) de l’auditeur pour déterminer la méthode d’échantillonnage, la taille de l’échantillon et les critères de sélection.
TAAO  Les TAAO sont des outils important pour recueillir et analyser les renseignements des systèmes possédant des environnements matériels et logiciels, des structures de données, des structures d’enregistrement ou des fonctions de traitement qui sont différentes.  Ils fournissent un moyen d’accéder aux données et de les analyser au regard d’un objectif d’audit prédéterminé, et de faire rapport des constatations de l’audit en mettant l’accent sur la fiabilité des enregistrements produits et gérés par le système.  La fiabilité de la source d’information utilisée permet de rassurer quant aux constatations énoncées.
Avantage des TAAO  Réduit le niveau du risque d’audit  Accroit l’indépendance des audités  Rapide disponibilité de l’information  Opportunité de quantifié les faiblesses d’un système de CI  Réduction des coûts liés au temps
TAAO (documents à conserver)  Rapport en ligne qui détaillent les questions à haut risque à examiner  Listages de programmes commentés  Organigrammes  Rapports échantillons  Disposition d’enregistrement et les descriptions de fichiers  Définition des champs  Instruction d’utilisation  Description des documents sources applicables
Auto évaluation des contrôles  Technique de gestion qui informe les actionnaires, clients et autres parties quant à la fiabilité du système de contrôle interne de l’organisation.  Méthodologie utilisée pour réviser les objectifs clés de l’entreprise, les risques liés à l’atteinte des objectifs de l’entreprise et les CI conçus pour gérer ces risques.  Ensemble d’outils dont le degré de sophistication va du simple questionnaire aux ateliers dirigés.
Avantages de l’AEC  Détection précoces des risques  Amélioration de l’efficacité des CI  Création de la cohésion des équipes grâce à la participation des employés  Développement, chez les employés et les propriétaires des contrôles, d’un sentiment d’appartenance relativement à ces contrôles et diminution des leur résistance face aux changement  Réduction des coûts du contrôle  Garantie donnée aux actionnaires et aux clients quant à la fiabilité.  …..
Inconvénients de l’AEC  Peut être perçue comme le remplacement d’une fonction d’audit.  Peut être perçue comme une charge de travail.  En cas de l’échec des améliorations suggérées, peut nuire au moral des employés.  Le manque de motivation peut nuire à la détection des contrôles insuffisants.
Audit continu  Méthode qui permet aux auditeurs indépendants de donner par écrit une assurance à propos d’un sujet à l’aide d’un ensemble de rapports d’audits produits en même temps ou peu après l’évènement relatif au sujet.  Le but est de fournir une plate-forme plus sécuritaires pour éviter les fraudes et un processus en temps réel qui garantit un niveau élevé de contrôle financier
Communication des résultats d’audit  Discuter des conclusions et des recommandations avec la direction lors de l’entrevue finale.  La présentation peut être un résumé ou une présentation visuelle.  Discuter avec le personnel de gestion de l’organisation afin d’arriver à un accord au sujet des conclusions et d’élaborer un plan d’actions correctives.  Le rapport d’audit n’a pas de format précis  Doit suggérer dés échéanciers pour la mise en œuvre des recommandations acceptées.
Question type examen  Une distinction qui peut être faite entre un test de conformité et un test de valeur est :  A. Les tests de conformités portent sur les détails alors que les tests de valeurs portent sur les procédures.  B. Les tests de conformité portent sur les contrôles alors que les tests de valeur portent sur les détails  C. Les tests de conformités portent sur les plans alors que les tests de valeur portent sur les procédures  D. Les tests de conformité portent sur les exigences réglementaires alors que les tests de valeur portent sur les tests de validation.
Question type examen  Une distinction importante qu’un auditeur informatique doit faire en évaluant et en classant les contrôles en contrôles de types préventif, de détection, correctif est :  A. L’endroit où l’on applique les contrôles sur les données en circulation dans le système.  B. Seuls les contrôles de prévention et de détection présentent un intérêt.  C. Les contrôles correctifs ne sont que des contrôles compensatoires.  D. Une classification permet à un auditeur informatique de déterminer les contrôles manquants.
Question type examen  Le bénéfice principal pour une organisation qui utilise des techniques d’auto évaluation des contrôles résulte de ce qu’elle :  A. Peut identifier les zones à risques élevés qui pourrait nécessiter ultérieurement une revue détaillée.  B. Permet aux auditeurs informatiques d’évaluer les risques de façon indépendante.  C. Peut être utilisée pour remplacer les audits traditionnels.  D. Permet à la direction d’abandonner sa responsabilité en ce qui concerne les contrôles.
Question type examen  Lequeldes éléments suivants constitue une autorisation d’entreprendre un audit des SI?  A. La délimitation de l’audit, y compris ses buts et objectifs.  B. Une requête d’effectuer un audit de la part de la direction.  C. La charte d’audit approuvée.  D. L’échéancier d’audit approuvé.
Question type examen  Dans l’exécution d’un audit en fonction du risque, quelle évaluation des risques est d’abord complétée par l’auditeur des SI?  A. L’évaluation des risques de non-détection  B. L’évaluation des risques d’échec des contrôles  C. L’évaluation des risques inhérents  D. L’évaluation des risques de fraude
Question type examen  Dans l’élaboration d’un programme d’audit axé sur le risque, sur lequel des éléments suivants un auditeur des SI porterait-il probablement le PLUS son attention ?  A. Les processus d’entreprise  B. Les applications essentielles des TI  C. Les contrôles opérationnels  D. Les stratégies d’entreprise
Question type examen  Lequel des types de risques d’audit suivants présume une absence de contrôle compensatoire dans le domaine examiné ?  A. Risque d’échec des contrôles  B. Risque de non détection  C. Risque inhérent  D. Risque d’échantillonnage
Question type examen  Un auditeur des SI effectuant un examen des contrôles d’une application découvre une faiblesse dans les logiciels systèmes qui pourrait avoir une incidence importante sur l’application. L’auditeur des SI doit :  A. ne pas tenir compte de ces faiblesses, puisque l’examen des logiciels systèmes dépasse la portée de cet examen.  B. mener un examen détaillé des logiciels systèmes et faire état des faiblesses de contrôle.  C. inclure dans le rapport une déclaration que la vérification se limitait à l’examen des contrôles de l’application.  D. examiner les contrôles des logiciels systèmes, ceux-ci étant pertinents, et recommander un examen détaillé des logiciels systèmes.
Question type examen  Parmi les raisons suivantes, laquelle est la PLUS importante raison de revoir le processus de planification d’audit à des intervalles périodiques ?  A. Pouvoir planifier le déploiement des ressources d’audit disponibles.  B. Pouvoir tenir compte des changements à l’environnement de risque.  C. Pouvoir alimenter la documentation de la charte d’audit.  D. Pouvoir cerner les normes d’audit des SI applicables.
Question type examen  Lequel des éléments suivants est le PLUS efficace pour mettre en œuvre un système d’autoévaluation des contrôles au sein des entités ?  A. Revues informelles avec les pairs  B. Ateliers dirigés  C. Diagrammes descriptifs du flot de traitement  D. Diagrammes de flot de données
Question type examen  La PREMIERE étape de planification d’un audit est de :  A. définir les livrables de l’audit  B. Finaliser la portée et les objectifs de l’audit  C. acquérir une compréhension des objectifs de l’entreprise  D. concevoir l’approche pour l’audit ou la stratégie d’audit.
Question type examen  L’approche que doit utiliser un auditeur des SI pour planifier la couverture de l’audit des SI doit se baser sur :  A. le risque  B. l’importance relative  C. le scepticisme professionnel  D. le caractère suffisant des éléments probants de l’audit
Question type examen  Une entreprise effectue une copie de sauvegarde quotidienne des données critiques et des logiciels, et entrepose cette copie dans une installation externe. La copie de sauvegarde est utilisée pour restaurer les fichiers en cas d’interruption. Il s’agit de :  A. Un contrôle préventif  B. Un contrôle de gestion  C. Un contrôle correctif  D. Un contrôle de détection
Question type examen The PRIMARY purpose of generalized audit software (GAS) is to: 1. Find fraudulent transactions 2. Determine sample mean compared to population mean 3. Extract data for a Substantive Test 4. Organize an audit report
Question type examen A Compensating Control is defined as 1. Two strong controls address the same fault 2. A fault is addressed by a weak control and strong control in another area 3. A control addresses a specific problem 4. A control that fixes the problem after it is detected
Question type examen An IS auditor should plan their audit approach based upon: 1. Materiality 2. Management recommendations 3. ISACA recommendations 4. Risk
Question type examen A Hash Total is maintained on each batch file to ensure no transactions are lost. This is an example of a 1. Preventive Control 2. Detective Control 3. Compensating Control 4. Corrective Control
Question type examen The FIRST step that an auditor should take is: 1. Prepare the Audit Objectives and Scope 2. Learn about the organization 3. Study ISACA audit recommendations for the functional area 4. Perform a risk assessment
Question type examen An audit that considers how financial information is generated from both a business process and IS handling side is known as: 1. Financial audit 2. Operational audit 3. Administrative audit 4. Integrated audit
Question type examen An auditor over-tests (tests a greater percent than actually exist) samples that are expected to be most risky 1. Variable Sampling 2. Attribute Sampling 3. Statistical Sampling 4. Non-statistical Sampling
Question type examen The possibility that a router does not catch spoofed IP addresses is known as a 1. Inherent risk 2. Control risk 3. Detection risk 4. External risk
Question type examen Testing a firewall to ensure that it only permits web traffic into the DMZ is known as 1. Compliance Test 2. Substantive Test 3. Detection Test 4. Preventive Test
Question type examen An inherent risk for a school would be: 1. Students trying to hack into the system to change grades 2. A firewall does not catch spoofed IP addresses 3. An audit does not find fraud which actually exists 4. People do not change their passwords regularly
Remerciements  Pour IBT ( Institute of Business and Technologies)  BP: 15441 Douala - Cameroun  Par Arsène Edmond NGATO, CISA, CISM, PMP, OCP 10g/11g  Téléphone- 99183886  Email- arsenengato@yahoo.fr  Sources : Manuel de préparation CISA 2012, Divers articles téléchargés sur Internet.

Recommandé

Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'informationAnnick Franck Monyie Fouda
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueFINALIANCE
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobitYoussef Bensafi
 
La Gouvernance IT
La Gouvernance ITLa Gouvernance IT
La Gouvernance ITNicolas PIGNAL
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Ammar Sassi
 

Recommandé

Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'informationAnnick Franck Monyie Fouda
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueFINALIANCE
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobitYoussef Bensafi
 
La Gouvernance IT
La Gouvernance ITLa Gouvernance IT
La Gouvernance ITNicolas PIGNAL
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Ammar Sassi
 
Projet audit ppt
Projet audit pptProjet audit ppt
Projet audit pptHajar Idehou
 
Approche risques ISO9001-2015.pptx
Approche risques ISO9001-2015.pptxApproche risques ISO9001-2015.pptx
Approche risques ISO9001-2015.pptxAhmed Moujane
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Iso 9001 approche processus
Iso 9001 approche processusIso 9001 approche processus
Iso 9001 approche processusazfgr
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACAYann Riviere CCSK, CISSP, CRISC, CISM
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'auditBRAHIM MELLOUL
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographieibtissam el hassani
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
AUDIT QUALITE .pptx
AUDIT QUALITE .pptxAUDIT QUALITE .pptx
AUDIT QUALITE .pptxssuserbbc8ed
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB
 
controle interne master.ppt
controle interne master.pptcontrole interne master.ppt
controle interne master.pptJabirArif
 
Gestion de la qualite
Gestion de la qualiteGestion de la qualite
Gestion de la qualiteAymen Foudhaili
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Conduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleConduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleAmmar Sassi
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
ISO 9001 V 2015 .ppt
ISO 9001 V 2015 .pptISO 9001 V 2015 .ppt
ISO 9001 V 2015 .pptTrikiWassim1
 
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Oumayma Korchi
 
Audit-audit-interne
Audit-audit-interneAudit-audit-interne
Audit-audit-interneWidad Naciri
 

Contenu connexe

Tendances

Approche risques ISO9001-2015.pptx
Approche risques ISO9001-2015.pptxApproche risques ISO9001-2015.pptx
Approche risques ISO9001-2015.pptxAhmed Moujane
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Iso 9001 approche processus
Iso 9001 approche processusIso 9001 approche processus
Iso 9001 approche processusazfgr
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'auditBRAHIM MELLOUL
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographieibtissam el hassani
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
AUDIT QUALITE .pptx
AUDIT QUALITE .pptxAUDIT QUALITE .pptx
AUDIT QUALITE .pptxssuserbbc8ed
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB
 
controle interne master.ppt
controle interne master.pptcontrole interne master.ppt
controle interne master.pptJabirArif
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Conduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleConduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleAmmar Sassi
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
ISO 9001 V 2015 .ppt
ISO 9001 V 2015 .pptISO 9001 V 2015 .ppt
ISO 9001 V 2015 .pptTrikiWassim1
 

Tendances (20)

Projet audit ppt
Projet audit pptProjet audit ppt
Projet audit ppt
 
Approche risques ISO9001-2015.pptx
Approche risques ISO9001-2015.pptxApproche risques ISO9001-2015.pptx
Approche risques ISO9001-2015.pptx
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Iso 9001 approche processus
Iso 9001 approche processusIso 9001 approche processus
Iso 9001 approche processus
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'audit
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
 
AUDIT QUALITE .pptx
AUDIT QUALITE .pptxAUDIT QUALITE .pptx
AUDIT QUALITE .pptx
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
 
controle interne master.ppt
controle interne master.pptcontrole interne master.ppt
controle interne master.ppt
 
Gestion de la qualite
Gestion de la qualiteGestion de la qualite
Gestion de la qualite
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
 
Conduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleConduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche générale
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
ISO 9001 V 2015 .ppt
ISO 9001 V 2015 .pptISO 9001 V 2015 .ppt
ISO 9001 V 2015 .ppt
 

En vedette

Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Oumayma Korchi
 
Audit-audit-interne
Audit-audit-interneAudit-audit-interne
Audit-audit-interneWidad Naciri
 
Audit comptable et_financieer
Audit comptable et_financieerAudit comptable et_financieer
Audit comptable et_financieergirelle
 
Boite à outils de l'auditeur
Boite à outils de l'auditeurBoite à outils de l'auditeur
Boite à outils de l'auditeurAmmar Sassi
 
COBIT 5 - Principal 3 Applying A Single Integrated Framework
COBIT 5 - Principal 3 Applying A Single Integrated FrameworkCOBIT 5 - Principal 3 Applying A Single Integrated Framework
COBIT 5 - Principal 3 Applying A Single Integrated FrameworkMohammad Reda Katby
 
L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)Htitipi
 
Presentation pfe 2012
Presentation pfe 2012Presentation pfe 2012
Presentation pfe 2012Sellami Ahmed
 
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)dodoooooo
 
Guide pratique de l'audit oec maroc
Guide pratique de l'audit oec marocGuide pratique de l'audit oec maroc
Guide pratique de l'audit oec marocbissa bissa
 
Audit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniquesAudit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniquestoutou0071
 
COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER Hajar EL GUERI
 
COBIT 5 IT Governance Model: an Introduction
COBIT 5 IT Governance Model: an IntroductionCOBIT 5 IT Governance Model: an Introduction
COBIT 5 IT Governance Model: an Introductionaqel aqel
 

En vedette (14)

Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
 
Audit-audit-interne
Audit-audit-interneAudit-audit-interne
Audit-audit-interne
 
Audit comptable et_financieer
Audit comptable et_financieerAudit comptable et_financieer
Audit comptable et_financieer
 
Boite à outils de l'auditeur
Boite à outils de l'auditeurBoite à outils de l'auditeur
Boite à outils de l'auditeur
 
COBIT 5 - Principal 3 Applying A Single Integrated Framework
COBIT 5 - Principal 3 Applying A Single Integrated FrameworkCOBIT 5 - Principal 3 Applying A Single Integrated Framework
COBIT 5 - Principal 3 Applying A Single Integrated Framework
 
L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)
 
Qu'est ce qu'un audit
Qu'est ce qu'un auditQu'est ce qu'un audit
Qu'est ce qu'un audit
 
Presentation pfe 2012
Presentation pfe 2012Presentation pfe 2012
Presentation pfe 2012
 
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
 
Guide pratique de l'audit oec maroc
Guide pratique de l'audit oec marocGuide pratique de l'audit oec maroc
Guide pratique de l'audit oec maroc
 
sdfss
sdfsssdfss
sdfss
 
Audit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniquesAudit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniques
 
COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER
 
COBIT 5 IT Governance Model: an Introduction
COBIT 5 IT Governance Model: an IntroductionCOBIT 5 IT Governance Model: an Introduction
COBIT 5 IT Governance Model: an Introduction
 

Similaire à Processus Audit SI

les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneYoussef Bensafi
 
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...sarl ibrahim ifri
 
Audit RH : Évaluation et amélioration de la performance
Audit RH : Évaluation et amélioration de la performanceAudit RH : Évaluation et amélioration de la performance
Audit RH : Évaluation et amélioration de la performanceHR SCOPE
 
Valeur ajoutee de l'audit de performance
Valeur ajoutee de l'audit de performanceValeur ajoutee de l'audit de performance
Valeur ajoutee de l'audit de performanceicgfmconference
 
Audit stratégique
Audit stratégique Audit stratégique
Audit stratégique Safa Aoun
 
Audit g n_ral-agrad : Téléchargeable sur www.coursdefsjes.com
Audit g n_ral-agrad : Téléchargeable sur www.coursdefsjes.comAudit g n_ral-agrad : Téléchargeable sur www.coursdefsjes.com
Audit g n_ral-agrad : Téléchargeable sur www.coursdefsjes.comcours fsjes
 
Définition de l'audit et ses techniques;
Définition de l'audit et ses techniques;Définition de l'audit et ses techniques;
Définition de l'audit et ses techniques;AmriYasmine
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptEtude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptKhouloud Errachedi
 
Exposéaudit crmef lahcen_ouknine_2017
Exposéaudit crmef lahcen_ouknine_2017Exposéaudit crmef lahcen_ouknine_2017
Exposéaudit crmef lahcen_ouknine_2017OUKNINE Lahcen
 
AuditInterneDesOrganisations
AuditInterneDesOrganisationsAuditInterneDesOrganisations
AuditInterneDesOrganisationssbarnech
 
1 audit des-emplois
1 audit des-emplois1 audit des-emplois
1 audit des-emploisqarji
 
Audit comptable et financier
Audit comptable et financierAudit comptable et financier
Audit comptable et financieralaoui rachida
 
Audit compatble et financier
Audit compatble et financierAudit compatble et financier
Audit compatble et financiergadour youssef
 
AUDIT ORGANISATIONNEL -PROCESSUS.pdf
AUDIT ORGANISATIONNEL -PROCESSUS.pdfAUDIT ORGANISATIONNEL -PROCESSUS.pdf
AUDIT ORGANISATIONNEL -PROCESSUS.pdfAxelKAPITA1
 
Audit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’auditAudit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’auditJihaneMozdalif
 
M1-SC40-TD-Audit-Qualité.pdf
M1-SC40-TD-Audit-Qualité.pdfM1-SC40-TD-Audit-Qualité.pdf
M1-SC40-TD-Audit-Qualité.pdfndiaye66
 
Audit et-controle-interne - www.coursdefsjes.com
Audit et-controle-interne - www.coursdefsjes.comAudit et-controle-interne - www.coursdefsjes.com
Audit et-controle-interne - www.coursdefsjes.comcours fsjes
 
Partie 2 prise de connaissance et planification
Partie 2 prise de connaissance et planificationPartie 2 prise de connaissance et planification
Partie 2 prise de connaissance et planificationZouhair Aitelhaj
 
Prise de position___audit_interne_qualite__mai_2004__1
Prise de position___audit_interne_qualite__mai_2004__1Prise de position___audit_interne_qualite__mai_2004__1
Prise de position___audit_interne_qualite__mai_2004__1saray1990
 
Généralité sur l'audit
Généralité sur l'auditGénéralité sur l'audit
Généralité sur l'auditAsmae OULMADOU
 

Similaire à Processus Audit SI (20)

les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interne
 
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
 
Audit RH : Évaluation et amélioration de la performance
Audit RH : Évaluation et amélioration de la performanceAudit RH : Évaluation et amélioration de la performance
Audit RH : Évaluation et amélioration de la performance
 
Valeur ajoutee de l'audit de performance
Valeur ajoutee de l'audit de performanceValeur ajoutee de l'audit de performance
Valeur ajoutee de l'audit de performance
 
Audit stratégique
Audit stratégique Audit stratégique
Audit stratégique
 
Audit g n_ral-agrad : Téléchargeable sur www.coursdefsjes.com
Audit g n_ral-agrad : Téléchargeable sur www.coursdefsjes.comAudit g n_ral-agrad : Téléchargeable sur www.coursdefsjes.com
Audit g n_ral-agrad : Téléchargeable sur www.coursdefsjes.com
 
Définition de l'audit et ses techniques;
Définition de l'audit et ses techniques;Définition de l'audit et ses techniques;
Définition de l'audit et ses techniques;
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptEtude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
 
Exposéaudit crmef lahcen_ouknine_2017
Exposéaudit crmef lahcen_ouknine_2017Exposéaudit crmef lahcen_ouknine_2017
Exposéaudit crmef lahcen_ouknine_2017
 
AuditInterneDesOrganisations
AuditInterneDesOrganisationsAuditInterneDesOrganisations
AuditInterneDesOrganisations
 
1 audit des-emplois
1 audit des-emplois1 audit des-emplois
1 audit des-emplois
 
Audit comptable et financier
Audit comptable et financierAudit comptable et financier
Audit comptable et financier
 
Audit compatble et financier
Audit compatble et financierAudit compatble et financier
Audit compatble et financier
 
AUDIT ORGANISATIONNEL -PROCESSUS.pdf
AUDIT ORGANISATIONNEL -PROCESSUS.pdfAUDIT ORGANISATIONNEL -PROCESSUS.pdf
AUDIT ORGANISATIONNEL -PROCESSUS.pdf
 
Audit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’auditAudit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’audit
 
M1-SC40-TD-Audit-Qualité.pdf
M1-SC40-TD-Audit-Qualité.pdfM1-SC40-TD-Audit-Qualité.pdf
M1-SC40-TD-Audit-Qualité.pdf
 
Audit et-controle-interne - www.coursdefsjes.com
Audit et-controle-interne - www.coursdefsjes.comAudit et-controle-interne - www.coursdefsjes.com
Audit et-controle-interne - www.coursdefsjes.com
 
Partie 2 prise de connaissance et planification
Partie 2 prise de connaissance et planificationPartie 2 prise de connaissance et planification
Partie 2 prise de connaissance et planification
 
Prise de position___audit_interne_qualite__mai_2004__1
Prise de position___audit_interne_qualite__mai_2004__1Prise de position___audit_interne_qualite__mai_2004__1
Prise de position___audit_interne_qualite__mai_2004__1
 
Généralité sur l'audit
Généralité sur l'auditGénéralité sur l'audit
Généralité sur l'audit
 

Processus Audit SI

  • 2. Objectifs A la fin de cette leçon ,vous serez capable de :  Définir les risques d’audit: risque inhérent, risque d’échec des contrôles, risque de non détection, risque global.  Distinguer les tests de conformité et les test de corroboration.  Définir les types de contrôle: Préventif, de détection, de correction  Décrire les types d’échantillonnage: statistique et discrétionnaire.  Décrire les types d’audit: financier, opérationnel, SI, intégré, Investigation légale  Décrire TAAO, Auto évaluation des contrôles, Audit continu.  Décrire les étapes d’un audit typique, Approche d’audit fondée sur le risque.
  • 3. Définitions (L’audit & les Auditeurs)  Audit : Evaluation d’un système, d’un processus, d’un projet ou d’un produit d’une organisation.  Auditeur : Personne qualifiée, compétente et indépendante fournissant avec objectivité un service d’audit dans le but de rendre un rapport.
  • 4. Deux types d’auditeur  Interne: Employé d’une organisation ayant pour rôle d’analyser et d’évaluer le système de contrôle interne.  Externe : Auditeur provenant d’une firme d’audit indépendante de l’organisation auditée.
  • 5. Qualifications de l’auditeur :  Indépendance professionnelle  Indépendance organisationnelle  Adhésion à un code professionnel d’éthique  Détient les compétences et aptitudes nécessaires pour l’exécution de l’audit  Maintient ses connaissances techniques à jour (CPE)
  • 6. Définition : Audit SI / IT  Analyse partielle ou exhaustive du fonctionnement d'un centre de traitement et de son environnement  Débouche sur un diagnostic précisant  l'adéquation des ressources matérielles et humaines aux besoins de l'entreprise  l'adéquation des résultats obtenus en regard des moyens engagés  l'adéquation des moyens en regard de la législation
  • 7. Charte d’audit  Le rôle de la fonction d’audit des SI est établi par la Charte d’Audit. L’audit SI peut faire partie de l’audit interne en tant que groupe indépendant ou intégré à l’audit financier et opérationnel.  La charte d’audit doit énoncer clairement:  Les objectifs et les responsabilités de la direction pour la fonction d’audit des SI.  La délégation de pouvoir de la direction à la fonction d’audit.  L’autorité, la portée et les responsabilités globales de la fonction d’audit.  L’organisation de la fonction d’audit
  • 8. Planning d’audit  Court terme : Généralement dans un an.  Long terme : Plus d’un an (5, 10, 15, …) Analyser les enjeux à court et long termes: • Les changement dans l’environnement affectant le niveau de risque; • L’évolution des technologies et des processus administratifs; • L’amélioration des méthodes d’évaluation; • Nouvelles réglementations applicables.
  • 9. Planning d’audit (Exemple) Domaine à Période Date dernier Responsabilité auditer audit Procédures et Q1 Jamais Auditeur Interne politique d’enregistrement Plan de Q2 2005 DSI, Consultant continuité Sécurité FERPA : Q3 Jamais Auditeur Interne Interview du personnel IT : Test de Q4 2006 DSI, Consultant pénétration Sécurité
  • 10. Etapes de planification d’un audit.  1- Acquérir la compréhension de la mission.  2- Réaliser une analyse des risques  3- Etablir la portée et les objectifs d’audit  4- concevoir l’approche ou la stratégie d’audit  5- Affecter les ressources aux tâches d’audit;  6- Prévoir la logistique du mandat
  • 11. Acquérir la compréhension de la mission  Lire les documents de référence tels que les publications de l’industrie, les rapports annuels et les rapports d’analyse financières;  Etudier les rapports d’audit antérieurs ou les rapports concernant les TI;  Consulter les plans stratégiques à long termes relatifs au TI et aux activités de l’organisation;  Discuter avec les responsables clés pour comprendre les enjeux commerciaux;  Déterminer les règles spécifiques applicables aux TI;  Déterminer les fonctions des TI ou des activités qui y sont liées et qui ont été imparties;  Visiter les installations importantes de l’organisation.
  • 12. Analyse des risques (Déf.)  Risque : La possibilité qu’une menace données exploite la vulnérabilité d’un actif ou d’un groupe d’actifs et cause ainsi un préjudice à l’organisation (ISO/IEC PDTR 13335-1).  Analyse de Risque : Technique d’identification et d’évaluation des facteurs susceptible de compromettre un processus ou un objectif.  L’AR = Evaluation -> Atténuation -> Ré évaluation.
  • 13. AR Evaluer les contre-mesures  Analyse coût / bénéfices : Choisir les méthodes de gestion des risques adéquates en se basant sur :  Le coût de la mesure de contrôle en comparaison au degré de réduction du risque;  La propension de la haute direction au risque  Les méthodes de réduction du risque privilégiées
  • 14. Analyse des Risques (Objectifs)  Permet de repérer les risques et les menaces pour un environnement SI et les contrôles internes.  Aide à évaluer les mesures de contrôle lors de la planification de l’audit.  Aide à déterminer les objectifs de l’audit;  Aide à prendre les décisions en rapport avec l’audit fondé sur le risque.  Permet d’implémenter les meilleures mesures de contrôle interne
  • 15. Contrôle Interne  Structures organisationnelles, politiques, procédures et pratiques implémentées pour réduire les risques.  Donne à la direction une assurance raisonnable que les objectifs seront atteints et que le risque sera évité ou détecté et corrigé.  Permettent non seulement d’atteindre les objectifs de l’organisation, mais traitent également les évènements indésirables par la prévention, la détection et la correction.  Classifiés préventifs, détection et correction.
  • 16. Contrôle Interne (COSO) processus intégré mis en œuvre par les responsables et le personnel d’une organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de l’organisation, des objectifs de l’entreprise. • réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) • respect des obligations de rendre compte; • conformité aux lois et réglementations en vigueur; • protection des ressources contre les pertes, les mauvais usages et les dommages.
  • 17. Contrôle préventif  Détecte les problèmes avant qu’ils ne surviennent  Surveille les activités et les entrées  Tenter de prédire les problèmes potentiels avant qu’ils ne surviennent et effectuer les ajustements.  Prévenir les erreurs, les omissions ou les actes malveillants
  • 18. Contrôle de détection  Détecte et rapporte toute occurrence d’erreur, omission ou acte malveillant.
  • 19. Contrôle de Correction  Minimiser l’impact d’une menace  Remédier aux problèmes découverts par les contrôles de détection  Identifier les causes des problèmes  Corriger les erreurs causées par un problème  Modifier les systèmes de traitement pour minimiser les occurrences futures des problèmes
  • 20. Contrôle internes (Objectifs)  La sauvegarde des actifs informationnels  L’intégrité de l’environnement des SI  L’identification et l’authentification approprié de l’utilisateur d’une ressource SI  L’efficacité et l’efficience des opération liés au SI  La disponibilité des services SI  L’amélioration de la protection des données et des systèmes  L’assurance de l’intégrité et de la fiabilité des systèmes par l’implémentation des procédures de gestion du changement efficaces.
  • 21. Classification des Audits  Financier : Evaluation de l’exactitude des états financiers d’une organisation.  Opérationnel : Evaluation de la structure de contrôle interne d’un processus ou d’un domaine donné.  Intégré : Combine les étapes des audits financiers et opérationnels.  Administratif : Evaluation des enjeux liés à l’efficacité de la productivité opérationnelle au sein d’une organisation.
  • 22. Classification des Audits (Suite)  SI : Evaluation des preuves afin de déterminer si les SI et les ressources liées protègent adéquatement les actifs informationnel d’une organisation.  Spécialisés : Audit SI de conformité lié à un service externe ou un standard.  Investigation légale : Audit spécialisé dans la découverte, la divulgation et le suivi des fraudes et des crimes.
  • 23. Etapes d’un Audit Typique  1- Sujet d’audit  2- Objectif de l’audit  3- Portée de l’audit  4- Planification avant Audit  5- Procédures d’audit et de collecte de données  6- Procédures d’évaluation des tests ou des résultats d’examen  7- Procédures de communication avec la direction  8- Préparation du rapport d’audit
  • 24. Risque d’audit  Se définit comme le risque que les renseignements puissent contenir une erreur importante qui pourrait ne pas être détectée lors de la vérification.  Risque inhérent  Risque d’échec des contrôles  Risque de non détection  Risque global
  • 25. Démarche d’audit axé sur le risque  1- Recueillir les renseignements et planifier  2- Comprendre les contrôles internes  3- Effectuer les tests de conformité  4- Effectuer les test de corroboration  5- Conclure l’audit
  • 26. Test de conformité # Test de corroboration  Les test de conformité consistent à recueillir des preuves dans le but de tester la conformité d’une organisation avec les procédures de contrôle.  Les tests de conformité détermine si les contrôles sont appliqués d’une façon qui respecte les procédures et les politiques de la direction.  L’objectifs est de fournir à l’auditeur des SI l’assurance raisonnable que le contrôle particulier sur lequel il entend se fier fonctionne comme il l’avait observé lors de l’évaluation préliminaire.
  • 27. Test de conformité vs Test de corroboration  Les tests de corroboration consistent à recueillir les preuves pour évaluer l’intégrité des transactions individuelles, de données ou d’autres renseignements.  Les tests de corroboration fournissent des preuves de la validité et de l’intégrité des soldes dans les états financiers et des transactions à l’appui de ces soldes.
  • 28. Preuve  Renseignements utilisé par l’auditeur pour déterminer si l’entité ou les données vérifiés respectent les critères ou les objectifs établis.  La preuve peut comprendre les observations de l’auditeur, les notes prises lors des entretiens, du matériel tiré de la correspondance, de la documentation interne ou des contrats avec les partenaires externes, ou les résultats des procédés de vérification.
  • 29. Critères de fiabilité de la preuve  Indépendance du fournisseur de la preuve  Titre et qualité du fournisseur de la preuve  Objectivité de la preuve  Echéancier de la preuve
  • 30. Techniques de collecte de preuves  Observations (Organisation, Personnel, Procédé)  Revue des politiques, procédures et standards  Documentation SI  Entretien avec le personnel compétents  Utilisation d’autres auditeurs ou experts  Echantillonnage (statistiques / discrétionnaires)  Techniques d’audit assistées par ordinateur
  • 31. Echantillonnage  Statistique : Utilisation d’une méthode objective pour déterminer la taille de l’échantillon et les critères de sélection.  Discrétionnaire : Utilisation du jugement (appréciation) de l’auditeur pour déterminer la méthode d’échantillonnage, la taille de l’échantillon et les critères de sélection.
  • 32. TAAO  Les TAAO sont des outils important pour recueillir et analyser les renseignements des systèmes possédant des environnements matériels et logiciels, des structures de données, des structures d’enregistrement ou des fonctions de traitement qui sont différentes.  Ils fournissent un moyen d’accéder aux données et de les analyser au regard d’un objectif d’audit prédéterminé, et de faire rapport des constatations de l’audit en mettant l’accent sur la fiabilité des enregistrements produits et gérés par le système.  La fiabilité de la source d’information utilisée permet de rassurer quant aux constatations énoncées.
  • 33. Avantage des TAAO  Réduit le niveau du risque d’audit  Accroit l’indépendance des audités  Rapide disponibilité de l’information  Opportunité de quantifié les faiblesses d’un système de CI  Réduction des coûts liés au temps
  • 34. TAAO (documents à conserver)  Rapport en ligne qui détaillent les questions à haut risque à examiner  Listages de programmes commentés  Organigrammes  Rapports échantillons  Disposition d’enregistrement et les descriptions de fichiers  Définition des champs  Instruction d’utilisation  Description des documents sources applicables
  • 35. Auto évaluation des contrôles  Technique de gestion qui informe les actionnaires, clients et autres parties quant à la fiabilité du système de contrôle interne de l’organisation.  Méthodologie utilisée pour réviser les objectifs clés de l’entreprise, les risques liés à l’atteinte des objectifs de l’entreprise et les CI conçus pour gérer ces risques.  Ensemble d’outils dont le degré de sophistication va du simple questionnaire aux ateliers dirigés.
  • 36. Avantages de l’AEC  Détection précoces des risques  Amélioration de l’efficacité des CI  Création de la cohésion des équipes grâce à la participation des employés  Développement, chez les employés et les propriétaires des contrôles, d’un sentiment d’appartenance relativement à ces contrôles et diminution des leur résistance face aux changement  Réduction des coûts du contrôle  Garantie donnée aux actionnaires et aux clients quant à la fiabilité.  …..
  • 37. Inconvénients de l’AEC  Peut être perçue comme le remplacement d’une fonction d’audit.  Peut être perçue comme une charge de travail.  En cas de l’échec des améliorations suggérées, peut nuire au moral des employés.  Le manque de motivation peut nuire à la détection des contrôles insuffisants.
  • 38. Audit continu  Méthode qui permet aux auditeurs indépendants de donner par écrit une assurance à propos d’un sujet à l’aide d’un ensemble de rapports d’audits produits en même temps ou peu après l’évènement relatif au sujet.  Le but est de fournir une plate-forme plus sécuritaires pour éviter les fraudes et un processus en temps réel qui garantit un niveau élevé de contrôle financier
  • 39. Communication des résultats d’audit  Discuter des conclusions et des recommandations avec la direction lors de l’entrevue finale.  La présentation peut être un résumé ou une présentation visuelle.  Discuter avec le personnel de gestion de l’organisation afin d’arriver à un accord au sujet des conclusions et d’élaborer un plan d’actions correctives.  Le rapport d’audit n’a pas de format précis  Doit suggérer dés échéanciers pour la mise en œuvre des recommandations acceptées.
  • 40. Question type examen  Une distinction qui peut être faite entre un test de conformité et un test de valeur est :  A. Les tests de conformités portent sur les détails alors que les tests de valeurs portent sur les procédures.  B. Les tests de conformité portent sur les contrôles alors que les tests de valeur portent sur les détails  C. Les tests de conformités portent sur les plans alors que les tests de valeur portent sur les procédures  D. Les tests de conformité portent sur les exigences réglementaires alors que les tests de valeur portent sur les tests de validation.
  • 41. Question type examen  Une distinction importante qu’un auditeur informatique doit faire en évaluant et en classant les contrôles en contrôles de types préventif, de détection, correctif est :  A. L’endroit où l’on applique les contrôles sur les données en circulation dans le système.  B. Seuls les contrôles de prévention et de détection présentent un intérêt.  C. Les contrôles correctifs ne sont que des contrôles compensatoires.  D. Une classification permet à un auditeur informatique de déterminer les contrôles manquants.
  • 42. Question type examen  Le bénéfice principal pour une organisation qui utilise des techniques d’auto évaluation des contrôles résulte de ce qu’elle :  A. Peut identifier les zones à risques élevés qui pourrait nécessiter ultérieurement une revue détaillée.  B. Permet aux auditeurs informatiques d’évaluer les risques de façon indépendante.  C. Peut être utilisée pour remplacer les audits traditionnels.  D. Permet à la direction d’abandonner sa responsabilité en ce qui concerne les contrôles.
  • 43. Question type examen  Lequeldes éléments suivants constitue une autorisation d’entreprendre un audit des SI?  A. La délimitation de l’audit, y compris ses buts et objectifs.  B. Une requête d’effectuer un audit de la part de la direction.  C. La charte d’audit approuvée.  D. L’échéancier d’audit approuvé.
  • 44. Question type examen  Dans l’exécution d’un audit en fonction du risque, quelle évaluation des risques est d’abord complétée par l’auditeur des SI?  A. L’évaluation des risques de non-détection  B. L’évaluation des risques d’échec des contrôles  C. L’évaluation des risques inhérents  D. L’évaluation des risques de fraude
  • 45. Question type examen  Dans l’élaboration d’un programme d’audit axé sur le risque, sur lequel des éléments suivants un auditeur des SI porterait-il probablement le PLUS son attention ?  A. Les processus d’entreprise  B. Les applications essentielles des TI  C. Les contrôles opérationnels  D. Les stratégies d’entreprise
  • 46. Question type examen  Lequel des types de risques d’audit suivants présume une absence de contrôle compensatoire dans le domaine examiné ?  A. Risque d’échec des contrôles  B. Risque de non détection  C. Risque inhérent  D. Risque d’échantillonnage
  • 47. Question type examen  Un auditeur des SI effectuant un examen des contrôles d’une application découvre une faiblesse dans les logiciels systèmes qui pourrait avoir une incidence importante sur l’application. L’auditeur des SI doit :  A. ne pas tenir compte de ces faiblesses, puisque l’examen des logiciels systèmes dépasse la portée de cet examen.  B. mener un examen détaillé des logiciels systèmes et faire état des faiblesses de contrôle.  C. inclure dans le rapport une déclaration que la vérification se limitait à l’examen des contrôles de l’application.  D. examiner les contrôles des logiciels systèmes, ceux-ci étant pertinents, et recommander un examen détaillé des logiciels systèmes.
  • 48. Question type examen  Parmi les raisons suivantes, laquelle est la PLUS importante raison de revoir le processus de planification d’audit à des intervalles périodiques ?  A. Pouvoir planifier le déploiement des ressources d’audit disponibles.  B. Pouvoir tenir compte des changements à l’environnement de risque.  C. Pouvoir alimenter la documentation de la charte d’audit.  D. Pouvoir cerner les normes d’audit des SI applicables.
  • 49. Question type examen  Lequel des éléments suivants est le PLUS efficace pour mettre en œuvre un système d’autoévaluation des contrôles au sein des entités ?  A. Revues informelles avec les pairs  B. Ateliers dirigés  C. Diagrammes descriptifs du flot de traitement  D. Diagrammes de flot de données
  • 50. Question type examen  La PREMIERE étape de planification d’un audit est de :  A. définir les livrables de l’audit  B. Finaliser la portée et les objectifs de l’audit  C. acquérir une compréhension des objectifs de l’entreprise  D. concevoir l’approche pour l’audit ou la stratégie d’audit.
  • 51. Question type examen  L’approche que doit utiliser un auditeur des SI pour planifier la couverture de l’audit des SI doit se baser sur :  A. le risque  B. l’importance relative  C. le scepticisme professionnel  D. le caractère suffisant des éléments probants de l’audit
  • 52. Question type examen  Une entreprise effectue une copie de sauvegarde quotidienne des données critiques et des logiciels, et entrepose cette copie dans une installation externe. La copie de sauvegarde est utilisée pour restaurer les fichiers en cas d’interruption. Il s’agit de :  A. Un contrôle préventif  B. Un contrôle de gestion  C. Un contrôle correctif  D. Un contrôle de détection
  • 53. Question type examen The PRIMARY purpose of generalized audit software (GAS) is to: 1. Find fraudulent transactions 2. Determine sample mean compared to population mean 3. Extract data for a Substantive Test 4. Organize an audit report
  • 54. Question type examen A Compensating Control is defined as 1. Two strong controls address the same fault 2. A fault is addressed by a weak control and strong control in another area 3. A control addresses a specific problem 4. A control that fixes the problem after it is detected
  • 55. Question type examen An IS auditor should plan their audit approach based upon: 1. Materiality 2. Management recommendations 3. ISACA recommendations 4. Risk
  • 56. Question type examen A Hash Total is maintained on each batch file to ensure no transactions are lost. This is an example of a 1. Preventive Control 2. Detective Control 3. Compensating Control 4. Corrective Control
  • 57. Question type examen The FIRST step that an auditor should take is: 1. Prepare the Audit Objectives and Scope 2. Learn about the organization 3. Study ISACA audit recommendations for the functional area 4. Perform a risk assessment
  • 58. Question type examen An audit that considers how financial information is generated from both a business process and IS handling side is known as: 1. Financial audit 2. Operational audit 3. Administrative audit 4. Integrated audit
  • 59. Question type examen An auditor over-tests (tests a greater percent than actually exist) samples that are expected to be most risky 1. Variable Sampling 2. Attribute Sampling 3. Statistical Sampling 4. Non-statistical Sampling
  • 60. Question type examen The possibility that a router does not catch spoofed IP addresses is known as a 1. Inherent risk 2. Control risk 3. Detection risk 4. External risk
  • 61. Question type examen Testing a firewall to ensure that it only permits web traffic into the DMZ is known as 1. Compliance Test 2. Substantive Test 3. Detection Test 4. Preventive Test
  • 62. Question type examen An inherent risk for a school would be: 1. Students trying to hack into the system to change grades 2. A firewall does not catch spoofed IP addresses 3. An audit does not find fraud which actually exists 4. People do not change their passwords regularly
  • 63. Remerciements  Pour IBT ( Institute of Business and Technologies)  BP: 15441 Douala - Cameroun  Par Arsène Edmond NGATO, CISA, CISM, PMP, OCP 10g/11g  Téléphone- 99183886  Email- arsenengato@yahoo.fr  Sources : Manuel de préparation CISA 2012, Divers articles téléchargés sur Internet.