Les guides d'audit TI de l'ISACA

ISACA Chapitre Québec

4 décembre 2013

Les guides d’audit TI de l’ISACA

24 déc 2013

Présentateur

Javier Bentancur, CISA, MBA

[email protected]

http://ca.linkedin.com/in/javierbentancur

ISACA Québec - www.isaca-quebec.ca

34 déc 2013

L’association ISACA

�1969 : «EDP Auditors Association»

�1984 : APVCSI à Québec

�1998 : ITGI

�2013 :

o + de 110.000 membres dans 180 pays

o + de 200 délégations dans 80 pays


44 déc 2013

Objectifs

�Expliquer les guides d’audit TI d’ISACA et leur contexte d’utilisation.

�Présenter des exemples des guides.

�Introduire le nouveau guide basé sur Cobit5.


54 déc 2013

Les guides d’audit TI de l’ISACA

�Normes d’audit TI et d’assurance (ITAF v2)o Normes et directives

�Outils et techniqueso Concepts de base d’audit TI

o Livres blanc (« White papers »)

o Références techniques

o Programmes d’audit TI

o Famille de produits Cobit 5

�Cobit 5 pour l’assurance (audit TI)o Guide professionnel basé sur Cobit 5


Les normes d’audit TI et d’assurance (ITAF v2)

Les normes

Les directives

74 déc 2013

Les normes

�Définition :o Lignes directrices qui encadrent les professionnels

de l’audit TI et de l’assurance.

�Obligation de les respecter et de les appliquer à tout intervention professionnelle.

�Concernent l’éthique, l’indépendance, l’objectivité, la diligence, la connaissance, la capacité et les compétences du professionnel.

�Valides depuis 1-nov-2013.ISACA Québec - www.isaca-quebec.ca

84 déc 2013

Structure des normes

• Principes directeurs de la profession d’audit

Générales (série 1000)

• Conduite de la missionPerformance (série 1200)

• Types de rapports, moyens de communication et informations communiquées

Rapport (série 1400)


94 déc 2013

Liste des normes

�Généraleso 1001 : Charte d’audit

o 1002 : Indépendance de l’organisation

o 1003 : Indépendance professionnelle

o 1004 : Attentes raisonnables

o 1005 : Conscience professionnelle

o 1006 : Compétence

o 1007 : Affirmations

o 1008 : Critères


104 déc 2013

Liste des normes

�Performance

o 1201 : Planification de la mission

o 1202 : Évaluation du risque dans la planification

o 1203 : Exécution et supervision

o 1204 : Matérialité

o 1205 : Éléments probants

o 1206 : Utilisation du travail d’autres experts

o 1207 : Irrégularités et actes illégaux


114 déc 2013

Liste des normes

�Rapports

o 1401 : Rapports

o 1402 : Activités de suivi


124 déc 2013

Les directives

�Définition :o Instructions sur l’application des normes.

�Le professionnel s’y réfère lors de leurs mises en œuvre, et fait appel à son jugement professionnel.

�Il doit être en mesure de justifier tout écart vis-à-vis celles-ci.

�Présentement en révision.


134 déc 2013

Structure des directives

�Générales (série 2000)

o 2001 à 2008

�Performance (série 2200)

o 2201 à 2207

o 2208 : Échantillonnage d’audit

�Rapport (série 2400)

o 2401 à 2402


144 déc 2013

Exemple : La charte d’audit

• 1001.1 : Définit l’objectif, la responsabilité, l’autorité et l’imputabilité de la fonction d’audit.

• 1001.2 : Indique que la charte d’audit doit être approuvée par le niveau approprié de l’organisation.

No

rme

10

01


154 déc 2013


• Suggère un mandat pour la fonction d’audit.

• Décrit le contenue de la charte d’audit :

• L’objectif, la responsabilité, l’autorité et la réédition de comptes, etc.

• Suggère de considérer un processus d’assurance qualité pour la mettre à jour.

• Décrit le contenu de la lettre du mandat.

• La responsabilité, l’autorité et la réédition de comptes, etc.

Dir

ecti

ve 2

00

1


164 déc 2013


Norme Directive Cobit 4

1001 : Charte d’audit 2001 ME 4.7 – Assurance indépendante.ME 2.5 – Assurance de contrôle interne.

1206 : Utilisation du travail d’autres experts

2206 ME 2.5 – Assurance de contrôle interne.

�Lien des directives avec Cobit


174 déc 2013

Conclusion et questions

�Référence universelle.

�En constante évolution.

�Commentaires de la communauté.


Outils et techniques d’audit TI

Concepts de base d’audit TI

194 déc 2013


�Objectif :

o Mettre à la disposition des professionnels, éducateurs et le public les principes concernantl’audit TI.

o Permettre l’avancement du domain de l’audit TI par des opinions.


204 déc 2013


�Caractéristiques :

o Publiés depuis 2002 .

o Une colonne du magazine «ISACA Journal».

o Organisés selon les principes du modèle Curricula d’ISACA pour les professionels de l’audit et l’assurance TI.


214 déc 2013


�Classification :o Processus d’audit.o Développement, acquisition, implementation et

maintenance d’applications d’affaires.o Évaluation des processus d’affaires et gestion de

risques.o Récupération aux désastres et continuité d’affaires.o Gestion, planification et organisation des SI.o Protection des actifs informationnels.o Pratiques techniques d’infrastructures et des

opérations.


224 déc 2013

Exemple

• Fonction d’audit TI (6).

• Évidence d’audit (3).

• Suivi du rapport (1).

• Concepts à l’égard du contrôle interne (7).

• Concepts fondamentaux d’audit (11).

• Gestion de l’audit (2).

Pro

cess

us

d’a

ud

it T

I


234 déc 2013

Exemple

• Comment auditer une organisation de services (rapport SOC).

• Comprendre le nouveau rapport SOC.

• Le cycle de vie du développement des contrôles.

• Comment utiliser COSO (parties 1 et 2).

• Audit des contrôles généraux et d’applications.

• Audit de sécurité.Co

nce

pts

à l’

égar

d d

u

con

trô

le in

tern

e


244 déc 2013

Exemple

• Introduction.

• Méthodologie «ETL» pour CAAT et forage de données.

• Exemples.

• Outils de transformation de données.

• Conclusion.

�Transformation des données pour «CAAT»


254 déc 2013


�Format papier et numérique.

�Lecture rapide.

�Sujets d’actualité.



Livres blanc (White papers)

274 déc 2013

Livres blanc ou « White papers »

�Objectif :o Mettre à disposition l’information relevante et à jour

concernant des aspects pouvant impacter les opérations des organisations.

�Caractéristiques:o Flux RSS.

o Commentaires (feedback).

o Autres ouvrages liés.

o Format numérique.


284 déc 2013

Livres blanc 2013

�Sécurité en tant que service (SAAS).

�Données masives et protection de la vie privée.

�Gouvernance du cloud: informations indispensables aux conseils d’administration.

�Données masives : Impacts et avantages .

�Résultat de l’étude sur la sensibilisation aux menacesavancées persistentes.


294 déc 2013

Exemple : Gouvernance du cloud

�Objectif :

o Décrire brièvement le cloud et présenter les questions qui permettront aux dirigeants d’évaluer les avantages d’intégrer le cloud dans la stratégie de leurs organisations.

�Sujets :

o La valeur du cloud.

o La gouvernance du cloud.

o Les informations indispensables au conseil d’administration (les questions).


304 déc 2013


Les équipes de management ont-elles élaboré un plan concernant le cloud computing ? Ont-elles évalué la valeur générée et les coûts d’opportunité ?

1


314 déc 2013


Dans quelle mesure les plans relatifs au cloud computingservent-ils la mission de l’entreprise ?

2


324 déc 2013


Les équipes dirigeantes ont-elles procédé à une évaluation systématique de la préparation de l’organisation ?

3


334 déc 2013


Les équipes de management ont-elles pris en compte les investissements existants qui pourraient être perdus dans leur

planification de mise en oeuvre du cloud computing ?

4


344 déc 2013


Les équipes de management ont-elles élaboré des stratégies permettant de mesurer le retour sur investissement de l’adoption du cloud computing et de l’évaluer par rapport aux risques ?

5


354 déc 2013

Livres blanc 2012

�Business Continuity Management: Emerging Trends�Cloud Computing Market Maturity Study Results�Security Considerations for Cloud Computing�Calculating Cloud ROI: From the Customer Perspective�Virtualization Desktop Infrastructure (VDI)� Incident Management and Response�Guiding Principles for Cloud Computing Adoption and

Use


364 déc 2013

Livres blanc 2011

�Mobile Payments: Risk, Security and Assurance Issues.

�Web Application Security: Business and Risk Considerations.

�Geolocation: Risk, Issues and Strategies.

�Data Analytics—A Practical Approach.

�Leveraging XBRL for Value in Organizations.

�Sustainability.

�Electronic Discovery.


374 déc 2013

À venir (2014)

�Programmes d’audit (Cobit5)

�Contrôle et audit du cloud

�Génération de la valeur à partir des données massives (2013)

�Scénarios de risques (Cobit5 pour les risques)

�Utilisation de Cobit 5 pour SOX

�SAP ERP v4: aspects de sécurité, audit et contrôle


384 déc 2013


�Groupe de recherche.

�Sujets d’actualité.

�Conseils pratiques.



Références techniques

404 déc 2013

Références techniques

�Objectif :

o Faciliter aux professionnels de la sécurité, de l’audit et du contrôle des TI (et non TI) l’évaluation des produits installés.

�Caractéristiques

o Livre format papier, payant.

o Téléchargement gratuit: sommaire, programme d’audit et questionnaire de contrôle interne.

o Communauté de pratique.


414 déc 2013

PeopleSoft d’Oracle, v3, 2012

�296 pages.

�Sommaire (52 pages).


424 déc 2013

Suite Oracle e-Business, v3, 2010

�407 pages.



434 déc 2013

SAP®ERP, v3, 2009

�470 pages.



444 déc 2013

Base de données Oracle, v3, 2009

�219 pages.



454 déc 2013

Exemple : Base de données Oracle

�Architecture d’oracle DBMS.

�Planification de l’audit.

�Aspects de sécurité :o Système d’exploitation, privilèges, contrôle d’accès,

relations de confiance, réseau.

�Contrôles généraux.

�Programme d’audit.

�Questionnaire du contrôle interne.


464 déc 2013


�Technologies spécifiques et complexes.

�Référence pour l’auditeur TI.



Programmes d’audit TI

484 déc 2013

Programmes d’audit TI et d’assurance

�Objectif :

o Mettre à la disposition des professionnels de l’assurance et de l’audit TI des exemples de programmes d’audit avec une vocation éducative.

�Caractéristiques :

o Modèle basé sur Cobit.

o Liens avec COSO, ITAF, Cobit.


494 déc 2013

Programmes d’audit TI et d’assurance

� Gestion de crises, de changements, de continuité d’affaires, de risques, etc.

� Cloud, biométrie, VOIP, Medias sociaux, etc.

� Lotus Notes, Sharepoint, Base de données MS-SQL, MS File share, serveur de services web Apache, etc.

� VPN, PKI, IPv6, Mobile computing, Active directory, z/OS, VMWare, UNIX/Linux, etc.


504 déc 2013

Exemple : Virtualisation avec VMware

�Planificationo la portée.o l’audit de l’application.

�Programme d’audito Gouvernance de l’environnement virtuel.o Préparation sur le champ.o Environnement virtuel.o Respect des normes de l’organisation.

�Évaluation de la maturité.�Architecture de virtualisation.� Indicateurs de performance.


514 déc 2013


�4 Environnement virtuelo 4.1 Hypervisor

• .1 Hardening guide.• .2 Mot de passe «Root».• .3 Lockdown mode.• .4 Protection du shell ESXi.• .5 Piste d’audit.• .6 Mises à jour de l’hypervisor.• .7 Séparation de fonctions.• .8 Mot de passe de la base de données.


524 déc 2013


�4.1.6 Mis à jour de l’hypervisor


534 déc 2013


�Lien avec plusieurs référentiels.

�Technologies et sujets variés.

�Mise à jour vers Cobit 5.



Famille de produits Cobit5

554 déc 2013

Évolution de Cobit

�1996 : Cobit V1 - pour l’audit TI

�1998 : Cobit V2

�2000 : Cobit V3

�2005 : Cobit V4

o 2007 : Cobit 4.1, Val IT, Risk IT,…

�2012 : Famille de produits Cobit 5

o 2013 : Cobit 5, pour l’assurance


564 déc 2013

Famille de produits Cobit 5


574 déc 2013

Famille de produits Cobit 5

�Programme d’évaluation

o Process Assessment Programme.

o Self-Assessment Guide.

o Process Assessment Model.

o Assessor Guide.


584 déc 2013

Cobit 5 pour l’assurance

�318 pages.

�Format papier et numérique.

�Volume payant.

�Téléchargement :

o Présentation et brochure.


594 déc 2013


�Objectifs :

o Orienter sur comment utiliser Cobit 5 pour la fonction d’audit et d’assurance.

o Proposer une démarche d’audit basée sur les facilitateurs de Cobit 5.

o Présenter des exemples de programmes d’assurance (d’audit).


604 déc 2013


�Table de matières :o Section 1 : Concepts de base sur l’assurance et application

des principes de Cobit 5.o Section 2A : Utilisation des facilitateurs de Cobit 5 pour la

gestion de la fonction d’audit ou d’assurance.o Section 2B : Réalisation des mandats d’audit en utilisant

les facilitateurs de Cobit 5.o Section 3 : Relation avec autres référentiels.o Annexe B : Guide détaillé sur les facilitateurs pour la

fonction d’audit.o Annexe C : Description détaillée des processus clés pour

l’audit.o Annexe D : Exemples de programmes d’audit.


614 déc 2013

Les perspectives du guide


624 déc 2013

L’étendue du guide


634 déc 2013

Perspective : La fonction d’audit


644 déc 2013

Les composantes de l’audit


654 déc 2013

Les principes appliqués à l’audit TI

� 1 – Les parties prenantes

� 2 – L’entreprise de mur à mur

� 3 – Un cadre de référence intégré

� 4 – Démarche globale

� 5 – Distinction entre gouvernance et gestion


664 déc 2013

Exemple : 1-Les parties prenantes

�Interneo Comité d’audit.

o Groupes d’audit, risque et conformité.

o Direction exécutive et d’affaires.

�Externeo Actionnaires.

o Auditeurs externes.

o Entités de réglementation.

o Partenaires d’affaires et clients.


674 déc 2013

Exemple : 1-Les parties prenantes

�Types d’engagements d’assurance


684 déc 2013

Exemple: 1-Les parties prenantes

�Caractéristiques des types d’engagements

�Exemple: Indépendanceo Pas requise ou non garantie (établir les responsabilités).o Optimiser la fonction.o Doit être établie, vérifiée et conservée.


694 déc 2013

Les facilitateurs et la fonction d’audit

�Les facilitateurs de Cobit 5


704 déc 2013

Les facilitateurs et la fonction d’audit

�1 - Principes, normes et cadre de références.

�2 - Les processus.

�3 – Les structures organisationnelles.

�4 – Culture, éthique et comportement.

�5 – Informations.

�6 – Services, infrastructure et applications.

�7 – Personnel, aptitudes et compétences.


714 déc 2013

Modèle générique des facilitateurs


724 déc 2013

1 - Principes, normes et cadres de réf.

�Objectif :

o Identifier les principes, normes et cadres de référence nécessaires pour construire et maintenir une fonction d’audit TI efficace et efficiente.

�Les normes d’audit TI

�Les bonnes pratiques

o Le code d’éthique professionnelle.


734 déc 2013

2 - Les processus

�Les processus clés pour la fonction d’audit


744 déc 2013

Exemple : Le processus EDM01

�Les livrables du processus


754 déc 2013


�Les indicateurs pour mesurer la performance du processus


764 déc 2013


�Les activités du processus


774 déc 2013

3 – Les structures organisationnelles

�Les structures pour la fonction d’audito Comité d’audit et/ou de direction.o Direction d’audit.o Direction de conformité (interne, externe).o Audit externe.

�Les bonnes pratiqueso Composition.o Mandat, principes d’opération, niveaux d’autorité et de

contrôle.o Rôles et responsabilités (lien des rôles avec les processus

organisationnels).o Intrants et extrants.


784 déc 2013

4 – Culture, éthique et comportement

�Catégories

o Globales à l’organisation (5)

o Professionnelle (8)

o Gestion (10)


794 déc 2013

5 – Informations

�Éléments d’information (18)


804 déc 2013

6 - Services, infrastructure et applications

�Serviceso Rapport et communication.

o Assurance qualité.

o Suivi du temps.

o Engagement des ressources.

o Accès à l’information.

o Suivi des lois, réglementations, etc.

o Risques émergents.

o Évaluation de la performance.


814 déc 2013

6 – Services, infrastructure et applications

�Applications de support

o Registre des risques.

o Outils techniques (CAATs).

o Bibliothèque de pratiques d’audit.

o Gestion documentaire.

o Outils de planification.

o Suivi d’incidents.

o Outils d’analyse et d’échantillonnage.

o Workflow.


824 déc 2013

7 – Personnel, aptitudes et compétences

�Rôles et compétences

o Description

o Expérience

o Éducation

o Qualifications

o Connaissance

o Compétences techniques

o Comportement


834 déc 2013

Questions


844 déc 2013

Perspective : Le processus d’audit


854 déc 2013

Le processus d’audit

�Évaluation de la fonction d’audit TI

o Processus MEA01, MEA02, MEA03.

�Évaluation des facilitateurs

o Démarche d’audit basé sur Cobit5.


864 déc 2013

Démarche d’audit basé sur Cobit5


874 déc 2013

Démarche d’audit basé sur Cobit5

A-Déterminer l’étendu

• A1 ( 2)• A2 (5)• A3 (7)

• A1 ( 2)• A2 (5)• A3 (7)

Comprendre les facilitateurs et les

évaluer

• B1 (2)• B2 (5)• B3 (7)• B4 (5)• B5 (5)• B6 (5)• B7 (5)

B8 (5)

• B1 (2)• B2 (5)• B3 (7)• B4 (5)• B5 (5)• B6 (5)• B7 (5)

B8 (5)

Communication des résultats

• C1 (2)• C2 (3)• C1 (2)• C2 (3)


884 déc 2013

Exemple : Flux de travail A-2.4

�A-2.4 Traduire les priorités en objectifs d’audit


894 déc 2013

Exemple: Flux de travail A-3

�A-3 Déterminer les facilitateurs


904 déc 2013

Exemple : Flux de travail B-7.5

�B-7.5 Évaluation des services (f6)


914 déc 2013

Lien avec d’autres guides

�ITAF

o Normes d’audit d’ISACA

�IPPF

o Normes d’audit d’IIA

�SSAE-16

o Normes des rapports SOC


SSAE-16

IPPF

ITAF

924 déc 2013

Exemple : Lien avec IPPF

�IPPF :

o Cadre conceptuel de l’IIA qui organise les exigences professionnelles des auditeurs.

o Composition: La définition d’audit interne, le code d’éthique et les normes d’audit interne de l’IIA.


934 déc 2013

Exemple : Lien avec IPPF


� Tableau comparatif

944 déc 2013

Questions


954 déc 2013

Programme d’audit - BYOD

�Adaptation du processus générique

o Structuré dans 3 phases

o Aligné avec Cobit5

�Procédés et directives


964 déc 2013

Programme d’audit – BYOD

�A-2.4 Traduire les priorités en objectifs d’audit


974 déc 2013

Programme d’audit – BYOD

�A-3 Déterminer les facilitateurs


984 déc 2013

Exemple : Programme d’audit – BYOD

�B-2.1 Évaluation des principes (f1) : Engagement


994 déc 2013

Exemple : Programme d’audit – BYOD

�B-7.5 Évaluation des service (f6) : MDM


1004 déc 2013


�Adaptation de Cobit 5 pour la fonction d’audit.

�Approche structuré pour la réalisation des mandats.

�Exemples de programmes d’audit actuels.


Merci

[email protected]

Technology

Les guides d'audit TI de l'ISACA