L Audit Process

1

Processus d’Audit

Mohamed SAAD, CISA, ITIL, PMP, ISO 27 001 LA

Cycle de Préparation au C.I.S.A

2

Sommaire

� I- Introduction� II- Normes et standards professionnels d’audit� III- Analyse des risques� IV- Le contrôle interne� V- La réalisation de l’audit� VI- Le CSA (Control Self Assessment)� VII- Le Corporate Governance

3

IntroductionIntroduction

4

I- Introduction

� L’objectif majeure du processus d’Audit est:� Que l’auditeur ait les connaissances nécessaires

pour conduire un audit des systèmes d’information en concordance avec les normes et standards de l’Audit des S.I

� Que l’auditeur assure que les technologies d’information de l’entreprise sont alignées sur le plan stratégique et qu’elles sont bien gérées et contrôlées

5

I- IntroductionL’organisation de la fonction d’Audit

� Le rôle de la fonction d’audit doit être statué dans une charte d’audit

� La charte doit renseigner clairement sur la respons abilité et les objectifs du Top Man. ainsi que la délégation d e l’autoritéqu’il confère à la fonction d’audit des TI

� Ce document doit arrêter:� L’autorité, le périmètre et les responsabilités de la fonction

d’audit des TI

� Le Top Man. et le comité d’audit doivent approuver c ette charte

� Une fois la charte établie et approuvée, elle ne do it être modifiée qu’en cas de changement majeure justifié

6

I- IntroductionLe management des ressources des S.I

� Les ressources des auditeurs S.I sont limitées, et leur temps est planifié et optimisé

� L’auditeur SI doit avoir les connaissances nécessaires pour gérer les projets d’audit avec le staff d’audit

� Des compétences particulières peuvent être requises pour planifier certains audits spécifiques

� Le management de l’audit des SI doit avoir les connaissances nécessaires sur le planning de charges de ses ressources

� Des outils de management des projets sont utilisés pour maîtriser les charges

7

I- IntroductionLe management des ressources des S.I

� Les technologies de l’information sont en perpétuel changement ce qui exige des auditeurs d’être constamment Up to date

� Nouvelles techniques d’audit

� Nouveaux métiers en terme des TI

� La formation continue constitue un objectif majeure dans la mise à niveau des compétences des auditeurs

8

I- IntroductionLa planification des ressources

� La planification de l’audit concerne le court et le long terme

� Le court terme:� Les audit devant être couvert durant l’année

� Le long terme:� Les plans d’audit devant tenir compte des

changements majeurs dans les plans stratégiques des TI de l’organisation

� Les changements devant concerner l’environnement des TI

� L’analyse des plannings du court et du long terme d oit être annuelle

9


� L’auditeur doit être informé au préalable:� Avoir des connaissance sur le domaine à auditer� Les informations, contrôles et pratiques utilisés d ans

l’activité à auditer� L’environnement réglementaire

10


� Planifier un audit, demande de l’auditeur SI de:1. Avoir des connaissances sur l’activité (l’objectif, les

processus, la technologie…)2. Effectuer une analyse des risques3. Conduire une revue de contrôle interne4. Arrêter le périmètre et les objectifs de l’audit5. Développer une approche et une stratégie d’audit

11


� Les étapes permettant à l’auditeur de collecter des informations sur l’activité:

� Analyser les publications et les rapports annuels, � Analyser les rapports d’analyse financière (auditeu rs,

commissariat au compte…)� Revoir les plans stratégiques à long terme� Interview des managers clé de l’activité� Revoir les rapports d’audit SI précédents

12

Normes et standards Normes et standards professionnels dprofessionnels d ’’auditaudit

13

� Les standards techniques proposés par ISO, EDIFACT…� Les Codes de Conduite proposés par le Conseil de l' Europe,

l'OCDE, l'ISACA� Les critères de qualification pour les systèmes

informatiques et les processus ; ITSEC, TCSEC, ISO 9 000, SPICE, TickIT, Common Criteria…

� Les standards professionnels du contrôle interne et de l'audit ; COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO…

� Les pratiques et exigences métiers proposées par le s forums professionnels (ESF, I4) ainsi que les plate s-formes soutenues par les gouvernements (IBAG, NIST, DTI)…

� Les exigences spécifiques aux secteurs de la banque, du commerce électronique et de la fabrication de TI

II- Normes et standards professionnels d’Audit

14


� Présentation de l’ISACA:� Association de professionnels de l’Audit et du

contrôle des SI fondée en 1969� 20 000 membres �� 100 pays� Mission:

• Promouvoir la profession d’auditeur informatique• Développement de standards et guides d’audit• Conférences, formation, publications, ouvrages…

� Cobit: Control Objectives for Information and Relat edTechnology

� www.isaca.org

15

� 010 Charte d’Audit� 010.010 Responsabilité et autorité

la responsabilité et l’autorité liées à la fonction d’audit des systèmes d’information doivent être définies de façon appropriée dans une charte d’audit ou une lettre de mission


16

� 020 Indépendance� 020.010 Indépendance professionnelle

Pour tout ce qui concerne l’audit, l’auditeur en systèmes d’information doit être indépendant de l’audité en attitude et en apparence

� 020.020 Rapport organisationnella fonction d’audit des systèmes d’information doit être suffisamment indépendante du domaine audité pour permettre une réalisation objective de l’audit


17

� 030 Éthique et normes professionnelles� 030.010 Code d’éthique professionnelle

L’auditeur en SI doit se conformer au code d’éthique professionnelle de l’association pour le contrôle et l’audit des SI

� 030.020 Conscience professionnellela conscience professionnelle et l’observation des normes professionnelles d’audit applicables à tous les aspects du travail de l’auditeur en SI


18

� 040 Compétences� 040.010 Compétences et connaissances

L’auditeur en SI doit être techniquement compétent et posséder les connaissances nécessaires à la réalisation de son travail d’auditeur

� 040.020 Formation professionnelle continueL’auditeur en SI doit maintenir ses compétences techniques grâce à une formation professionnelle continue appropriée


19

� 050 Planification� 050.010 Planification d’un audit

L’auditeur en SI doit planifier le travail d’audit de SI pour répondre aux objectifs de l’audit et pour se conformer aux normes professionnelles d’audit applicables


20

� 060 Réalisation du travail d’audit� 060.010 Supervision

Le personnel d’audit des SI, l’auditeur en SI doit être supervisé de façon adéquate pour offrir l’assurance que les objectifs de l’audit sont atteints et que l es normes professionnelles d’audit applicables sont observées

� 060.020 Éléments probantsDurant le cours de l’audit, l’auditeur SI doit recu eillir des éléments probants suffisants, fiables, pertinen ts et utiles pour accomplir efficacement les objectifs de l’audit. Les résultats et conclusions de l’audit do ivent être appuyés par une analyse et une interprétation appropriée de ces éléments probants


21

� 070 Rapport� 070.010 Contenu et forme du rapport

L’auditeur en SI doit fournir aux destinataires voulus un rapport, sous une forme appropriée, après l’achèvement du travail d’audit. Le rapport d’audit doit mentionner le but, les objectifs, la période couverte, la nature et l’étendue de l’audit réalisé. Le rapport doit identifier l’organisation, les destinataires voulus et toute restriction dans la distribution. Le rapport doit contenir les résultats, conclusions et recommandations ainsi que toute réserve ou qualification de l’auditeur vis à vis de l’audit


22

� 080 Activités de suivi� 080.010 Suivi

L’auditeur en SI doit demander et évaluer les informations appropriées concernant les résultats, conclusions et recommandations antérieures pour déterminer si les mesures appropriées ont été mises en place dans des délais raisonnables


23

� Lois et règlements� Lois et règlements sectoriels: banque,

mutuelles, secteur alimentaire, secteur pharmaceutique…

� Lois et règlements applicables aux SI


24

� La façon d’auditer:� Le Top Man. et la DSI ont-ils prévu la prise en

compte des lois dans leurs stratégies, plans, procédures ?

� Revue des documents du département, de la fonction ou de l’activité, qui permettent de répondre aux besoins légaux et sectoriels

� Déterminer l’adhésion aux procédures qui permettent d’atteindre les objectifs


25

LL’’analyse des risquesanalyse des risques

26

� Décomposition d’un risque:� Menace (ou vulnérabilité) sur un processus ou sur u n

actif� Impact sur ce processus ou cet actif� Probabilité que cela arrive

� Évaluation des risques:� Les biens concernés� Les menaces� Les vulnérabilités

� Les Recommandations

III- L’analyse des risques

27

� L’analyse du risque fait partie de la planification de l’audit, elle aide à identifier les risques et vulnérabilités pour que l’auditeur puisse recommander les contrôles adéquats pour atténuer ces risques

� Contrôle: les politiques, l’organisation, les pratiques conçues pour apporter une assurance raisonnable que les objectifs de l’entreprise seront atteints e t que les évènements indésirables seront prévenues ou détectés et corrigés

� Objectif de contrôle: le résultat à atteindre par la mise en place du contrôle dans une activité donnée

III- L’analyse des risques

28

Le contrôle interneLe contrôle interne

29

� Ensemble de procédures et de dispositifs permanents définis et appliqués sous la responsabilité du Top Man., destinés à fournir une assurance raisonnable quant à la réalisation des objectifs suivants:

� Protection du patrimoine� Conformité aux lois et réglementations en vigueur� Efficacité et efficience des opérations de l’entrepr ise� Prévention des fraudes et des erreurs

IV- Le contrôle interne

30

� Le contrôle interne a été développé pour assurer la réalisation des objectifs globaux de l’entreprise e t que les risques soient prévenus, détectés et corrig és


31

� Les objectifs du contrôle interne:� Sauvegarde des actifs� Assurer l’intégrité de l’environnement des TI et

des réseaux d’information� Assurer l’intégrité de l’environnement des

applications critiques:• Les autorisations d’entrées de données• Exactitude et complétude du traitement des

transactions• Exactitude, complétude et sécurisation des sorties• Intégrité des BD

� Assurer l’efficience et l’efficacité des opérations� Conformité de l’expression de besoins des

utilisateurs avec les politiques organisationnelles et les procédures, ainsi que vis à vis de l’environnement réglementaire

� Développer des plans de backup et de reprise� Développer une politique de r éponse aux


32

� Objectifs de contrôle des SI:� L’ISACA publie un ensemble de manuels pour la

gouvernance, le contrôle, l’audit des SI� Le Cobit:

� Executive Summary� Framework: concepts et principes� Objectifs de contrôle: contrôles détaillés� Guide de management des SI� Guide d’audit des SI� Outils de mise en place

IV- Le contrôle interne Les contrôles des SI

33

� Cobit:� 34 processus IT classés en 4 domaines� 302 objectifs de contrôle détaillé


34

35

� Classification des contrôles:� Contrôles préventifs� Contrôles détectifs� Contrôles correctifs


36

Les contrôles des SIClassification des contrôles

Planning contingency

Procédures de backupProblèmes de réexecution

Minimise l’impact d’une menace

Remédie aux problèmes découverts par les contrôles détectifsIdentifie les causes des problèmesCorrige les problèmes émanant d’un problème

Correctif

Points de contrôles dans les soumission de jobs

Contrôle d’echo dans les transmissions telecomReporting des performances périodiques

Utilise les contrôles pour détecter et reporter les occurrences d’erreurs, omission ou actes malveillantsDétectif

N’employer que le personnel qualifiéRépartition des tâches

Contrôle physique aux accèsUtilisation des logiciel de contrôle des accès aux fichiers

Détecte les problèmes avant qu’ils n’arrivent

Gère les opérations et les entréesTente de prédire les incidents potentielsPrévient contre les erreurs, les oublis et les actes malveillants

Préventif

37

RRééalisation de lalisation de l ’’auditaudit

38

� Tests de conformité:� Respect des procédures

� Tests de vérification ou tests substantifs� Les valeurs (chiffres) sont justes.� Exemple: l’inventaire est t-il exact ?

� Corrélation entre les résultats des premiers et le volume des seconds

V- Réalisation de l’auditLes tests

39

� Une vérification de toute une population n’est toujours pas possible…

� Échantillonnage statistique:� Échantillonnage statistique:

• Par attribut (test de conformité)• Par variable (test substantif)

V- Réalisation de l’auditTechniques de sondage

40

� Niveau de confiance (ex : 95%) = 1-risque d’échantillonnage

� Probabilité que l’échantillon représente la population

� La taille de l’échantillon est fonction du niveau de confiance

� Précision : différence admise entre l’échantillon et la population. Plus la précision est fine (petit e) plus la taille de l’échantillon est grande.

V- Réalisation de l’auditÉchantillonnage

41

� Générateurs de jeux d’essais� Systèmes experts� Utilitaires des progiciels (vérification des

paramètres)� Gestionnaires de bibliothèques de logiciel� Dispositif de test intégré (ITF)� Outils de capture (snapshot)� Fichier d’audit� Logiciels d’audit généralisés

V- Réalisation de l’auditTechnique de l’audit assisté par ordinateur

42

� Ressources en personnels� Origine des auditeurs (informatique, finance,

…….)� Les niveaux d’expériences (débutant,

expérimenté, certifié CISA)

� Les contraintes� disponibilité des auditeurs, turn over� échéance à respecter � absence de documentation

� La mission d’audit : se manage comme tout projet.

V- Réalisation de l’auditGestion des ressources d’audit

43

V- Réalisation de l’auditTechnique de gestion de projet

� plan détaillé avec estimations réalistes� rapport d’activité� ajuster le plan et actions correctives

44

� Évaluation des contrôles (forces, faiblesses)

� Pertinence de l’information – Matérialité

� Existence de contrôles compensatoires

� Relations entre contrôles

� Efficacité et efficience des opérations

V- Réalisation d’un audit de SICommunication des résultats

45

� Présentation et contenu du rapport (standard 070 et 080 )

� rappel des objectifs, étendue des travaux, leur période

� procédures d’audit appliquées� opinion sur les contrôles en place� constats et recommandations détaillées� réponses de la direction sur les actions

correctives et les échéances

� un critère : la matérialité


46

Communication des résultats de l’audit� Communication des résultats à la direction et au

comité d’audit

� Conclusions et opinions� l’auditeur doit faire part des réserves et

difficultés rencontrées lors de l’audit� communication et validation à différents

niveaux


47

� Entretien final� l’auditeur peut s’assurer que les faits sont

présentés correctement, que les recommandations sont réalistes et éventuellement à renégocier

� Techniques de présentation� rapport de synthèse concis (éventuellement

avec des annexes)� présentation sur transparents


48

Contrôle et autoContrôle et auto --éévaluationvaluation

49

� Les contrôles sont auto évalués par un service en présence des auditeurs qui interviennent pour faciliter le processus

� Utilisation de techniques telles que les questionnaires, les groupes de travail audités –auditeurs

� Sensibilisation aux besoins de contrôle

� Implication de la hiérarchie et de l’audit interne

VI- Contrôle et auto-évaluationCSA (Control self assessement)

50

� Amélioration du processus de contrôle (cela ne remplace pas l’audit)

� Sensibilisation du management au contrôle et àla surveillance

� Mobilisation de tout le monde sur les domaines à haut risque

VI- Contrôle et auto-évaluationLes objectif du CSA

51

La La corporatecorporateGovernanceGovernance

52

La Corporate Governance ou gouvernance d’entreprise estcomposée de l'ensemble des principes et règlesd'organisation, de comportement et de transparence vi santà assurer - dans l'optique de la protection des actionna ires- l'équilibre entre la direction et le contrôle de l'en treprise àl'échelon le plus élevé, tout en respectant le pouvoi rdécisionnel et l'efficience de la direction. Dans la terminologie anglo-saxonne, on parle de "Checks and balances", mais aussi d‘ "incentives", ce que l'on peuttraduire par des structures de direction, contrôle et incitation qui servent de cadre à l'interaction des actionnaires (assemblée générale), du conseild'administration et du management supérieur.

VII- La Corporate Governance

53

� Pour réussir dans cette économie de l'information, la gouvernance d'entreprise et celle des TI ne doivent plus être considérées comme des disciplines séparées et distinctes.

� Une gouvernance d'entreprise efficace se concentre sur l'expertise et l'expérience des individus et des groupes là où elles peuvent être les plus productives, surveille et mesure les performances, et prévoit une assurance pour les points critiques.


54


55


56


57

IT Governance

Alignement stratégiqueDes projets

Conception de tableauxDe bords

IT balanced Scorecard

Mise en phaseDe l’organisation et de

La DSI

Contrôle de gestionInformatique

Maîtrise des coûts(ABC/ABM)

Schémas directeursUrbanisation

Maîtrise de l’Infrastructure

Gestion des compétences

informatiquesMaîtrise des projets

Gestion des risques

IT Governance

58

� La loi Sarbanes Oxley (entrée en vigueur aux États-Unis en Juillet 2002) vise à renforcer le contrôle exercé sur la gouvernance d’entreprise, selon trois principes :

� Exactitude et accessibilité de l’information� Responsabilité des gestionnaires� Indépendance des vérificateurs

� L’objectif affiché est de promouvoir l’éthique et la responsabilité des gestionnaires, de façon à rétablir la confiance des investisseurs après les différents sc andales financiers

� Dorénavant, les dirigeants seront personnellement e ngagés sur l’exactitude des comptes, une rotation des véri ficateurs externes sera exigée, et ces derniers ne pourront p lus offrir à l’entreprise d’autres services que ceux directemen t liés àla vérification des comptes

� Enfin, les sanctions seront considérablement renfor cées

La loi Sarbanes-Oxley

Documents

L Audit Process