Your SlideShare is downloading. ×
0
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Processus Audit SI
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Processus Audit SI

12,962

Published on

Premier chapitre du manuel de préparation CISA 2012

Premier chapitre du manuel de préparation CISA 2012

0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
12,962
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
1,063
Comments
0
Likes
4
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. CISALe Processus d’audit des SI
  • 2. ObjectifsA la fin de cette leçon ,vous serez capable de : Définir les risques d’audit: risque inhérent, risque d’échec des contrôles, risque de non détection, risque global. Distinguer les tests de conformité et les test de corroboration. Définir les types de contrôle: Préventif, de détection, de correction Décrire les types d’échantillonnage: statistique et discrétionnaire. Décrire les types d’audit: financier, opérationnel, SI, intégré, Investigation légale Décrire TAAO, Auto évaluation des contrôles, Audit continu. Décrire les étapes d’un audit typique, Approche d’audit fondée sur le risque.
  • 3. Définitions (L’audit & les Auditeurs) Audit : Evaluation d’un système, d’un processus, d’un projet ou d’un produit d’une organisation. Auditeur : Personne qualifiée, compétente et indépendante fournissant avec objectivité un service d’audit dans le but de rendre un rapport.
  • 4. Deux types d’auditeur Interne: Employé d’une organisation ayant pour rôle d’analyser et d’évaluer le système de contrôle interne. Externe : Auditeur provenant d’une firme d’audit indépendante de l’organisation auditée.
  • 5. Qualifications de l’auditeur : Indépendance professionnelle Indépendance organisationnelle Adhésion à un code professionnel d’éthique Détient les compétences et aptitudes nécessaires pour l’exécution de l’audit Maintient ses connaissances techniques à jour (CPE)
  • 6. Définition : Audit SI / IT Analyse partielle ou exhaustive du fonctionnement dun centre de traitement et de son environnement Débouche sur un diagnostic précisant  ladéquation des ressources matérielles et humaines aux besoins de lentreprise  ladéquation des résultats obtenus en regard des moyens engagés  ladéquation des moyens en regard de la législation
  • 7. Charte d’audit Le rôle de la fonction d’audit des SI est établi par la Charte d’Audit. L’audit SI peut faire partie de l’audit interne en tant que groupe indépendant ou intégré à l’audit financier et opérationnel. La charte d’audit doit énoncer clairement:  Les objectifs et les responsabilités de la direction pour la fonction d’audit des SI.  La délégation de pouvoir de la direction à la fonction d’audit.  L’autorité, la portée et les responsabilités globales de la fonction d’audit.  L’organisation de la fonction d’audit
  • 8. Planning d’audit Court terme : Généralement dans un an. Long terme : Plus d’un an (5, 10, 15, …)Analyser les enjeux à court et long termes:• Les changement dans l’environnement affectant le niveau de risque;• L’évolution des technologies et des processus administratifs;• L’amélioration des méthodes d’évaluation;• Nouvelles réglementations applicables.
  • 9. Planning d’audit (Exemple) Domaine à Période Date dernier Responsabilité auditer audit Procédures et Q1 Jamais Auditeur Interne politiqued’enregistrement Plan de Q2 2005 DSI, Consultant continuité Sécurité FERPA : Q3 Jamais Auditeur Interne Interview du personnel IT : Test de Q4 2006 DSI, Consultant pénétration Sécurité
  • 10. Etapes de planification d’un audit. 1- Acquérir la compréhension de la mission. 2- Réaliser une analyse des risques 3- Etablir la portée et les objectifs d’audit 4- concevoir l’approche ou la stratégie d’audit 5- Affecter les ressources aux tâches d’audit; 6- Prévoir la logistique du mandat
  • 11. Acquérir la compréhension de la mission Lire les documents de référence tels que les publications de l’industrie, les rapports annuels et les rapports d’analyse financières; Etudier les rapports d’audit antérieurs ou les rapports concernant les TI; Consulter les plans stratégiques à long termes relatifs au TI et aux activités de l’organisation; Discuter avec les responsables clés pour comprendre les enjeux commerciaux; Déterminer les règles spécifiques applicables aux TI; Déterminer les fonctions des TI ou des activités qui y sont liées et qui ont été imparties; Visiter les installations importantes de l’organisation.
  • 12. Analyse des risques (Déf.) Risque : La possibilité qu’une menace données exploite la vulnérabilité d’un actif ou d’un groupe d’actifs et cause ainsi un préjudice à l’organisation (ISO/IEC PDTR 13335-1). Analyse de Risque : Technique d’identification et d’évaluation des facteurs susceptible de compromettre un processus ou un objectif. L’AR = Evaluation -> Atténuation -> Ré évaluation.
  • 13. AR Evaluer les contre-mesures Analyse coût / bénéfices : Choisir les méthodes de gestion des risques adéquates en se basant sur : Le coût de la mesure de contrôle en comparaison au degré de réduction du risque; La propension de la haute direction au risque Les méthodes de réduction du risque privilégiées
  • 14. Analyse des Risques (Objectifs) Permet de repérer les risques et les menaces pour un environnement SI et les contrôles internes. Aide à évaluer les mesures de contrôle lors de la planification de l’audit. Aide à déterminer les objectifs de l’audit; Aide à prendre les décisions en rapport avec l’audit fondé sur le risque. Permet d’implémenter les meilleures mesures de contrôle interne
  • 15. Contrôle Interne Structures organisationnelles, politiques, procédures et pratiques implémentées pour réduire les risques. Donne à la direction une assurance raisonnable que les objectifs seront atteints et que le risque sera évité ou détecté et corrigé. Permettent non seulement d’atteindre les objectifs de l’organisation, mais traitent également les évènements indésirables par la prévention, la détection et la correction. Classifiés préventifs, détection et correction.
  • 16. Contrôle Interne (COSO)processus intégré mis en œuvre par les responsables etle personnel d’une organisation et destiné à traiter lesrisques et à fournir une assurance raisonnable quant à laréalisation, dans le cadre de la mission de l’organisation,des objectifs de l’entreprise. • réalisation et optimisation des opérations (optimisation des ressources de lentreprise, fiabilité des informations financières) • respect des obligations de rendre compte; • conformité aux lois et réglementations en vigueur; • protection des ressources contre les pertes, les mauvais usages et les dommages.
  • 17. Contrôle préventif Détecte les problèmes avant qu’ils ne surviennent Surveille les activités et les entrées Tenter de prédire les problèmes potentiels avant qu’ils ne surviennent et effectuer les ajustements. Prévenir les erreurs, les omissions ou les actes malveillants
  • 18. Contrôle de détection Détecte et rapporte toute occurrence d’erreur, omission ou acte malveillant.
  • 19. Contrôle de Correction Minimiser l’impact d’une menace Remédier aux problèmes découverts par les contrôles de détection Identifier les causes des problèmes Corriger les erreurs causées par un problème Modifier les systèmes de traitement pour minimiser les occurrences futures des problèmes
  • 20. Contrôle internes (Objectifs) La sauvegarde des actifs informationnels L’intégrité de l’environnement des SI L’identification et l’authentification approprié de l’utilisateur d’une ressource SI L’efficacité et l’efficience des opération liés au SI La disponibilité des services SI L’amélioration de la protection des données et des systèmes L’assurance de l’intégrité et de la fiabilité des systèmes par l’implémentation des procédures de gestion du changement efficaces.
  • 21. Classification des Audits Financier : Evaluation de l’exactitude des états financiers d’une organisation. Opérationnel : Evaluation de la structure de contrôle interne d’un processus ou d’un domaine donné. Intégré : Combine les étapes des audits financiers et opérationnels. Administratif : Evaluation des enjeux liés à l’efficacité de la productivité opérationnelle au sein d’une organisation.
  • 22. Classification des Audits (Suite) SI : Evaluation des preuves afin de déterminer si les SI et les ressources liées protègent adéquatement les actifs informationnel d’une organisation. Spécialisés : Audit SI de conformité lié à un service externe ou un standard. Investigation légale : Audit spécialisé dans la découverte, la divulgation et le suivi des fraudes et des crimes.
  • 23. Etapes d’un Audit Typique 1- Sujet d’audit 2- Objectif de l’audit 3- Portée de l’audit 4- Planification avant Audit 5- Procédures d’audit et de collecte de données 6- Procédures d’évaluation des tests ou des résultats d’examen 7- Procédures de communication avec la direction 8- Préparation du rapport d’audit
  • 24. Risque d’audit Se définit comme le risque que les renseignements puissent contenir une erreur importante qui pourrait ne pas être détectée lors de la vérification.  Risque inhérent  Risque d’échec des contrôles  Risque de non détection  Risque global
  • 25. Démarche d’audit axé sur le risque 1- Recueillir les renseignements et planifier 2- Comprendre les contrôles internes 3- Effectuer les tests de conformité 4- Effectuer les test de corroboration 5- Conclure l’audit
  • 26. Test de conformité # Test de corroboration Les test de conformité consistent à recueillir des preuves dans le but de tester la conformité d’une organisation avec les procédures de contrôle. Les tests de conformité détermine si les contrôles sont appliqués d’une façon qui respecte les procédures et les politiques de la direction. L’objectifs est de fournir à l’auditeur des SI l’assurance raisonnable que le contrôle particulier sur lequel il entend se fier fonctionne comme il l’avait observé lors de l’évaluation préliminaire.
  • 27. Test de conformité vs Test de corroboration Les tests de corroboration consistent à recueillir les preuves pour évaluer l’intégrité des transactions individuelles, de données ou d’autres renseignements. Les tests de corroboration fournissent des preuves de la validité et de l’intégrité des soldes dans les états financiers et des transactions à l’appui de ces soldes.
  • 28. Preuve Renseignements utilisé par l’auditeur pour déterminer si l’entité ou les données vérifiés respectent les critères ou les objectifs établis. La preuve peut comprendre les observations de l’auditeur, les notes prises lors des entretiens, du matériel tiré de la correspondance, de la documentation interne ou des contrats avec les partenaires externes, ou les résultats des procédés de vérification.
  • 29. Critères de fiabilité de la preuve Indépendance du fournisseur de la preuve Titre et qualité du fournisseur de la preuve Objectivité de la preuve Echéancier de la preuve
  • 30. Techniques de collecte de preuves Observations (Organisation, Personnel, Procédé) Revue des politiques, procédures et standards Documentation SI Entretien avec le personnel compétents Utilisation d’autres auditeurs ou experts Echantillonnage (statistiques / discrétionnaires) Techniques d’audit assistées par ordinateur
  • 31. Echantillonnage Statistique : Utilisation d’une méthode objective pour déterminer la taille de l’échantillon et les critères de sélection. Discrétionnaire : Utilisation du jugement (appréciation) de l’auditeur pour déterminer la méthode d’échantillonnage, la taille de l’échantillon et les critères de sélection.
  • 32. TAAO Les TAAO sont des outils important pour recueillir et analyser les renseignements des systèmes possédant des environnements matériels et logiciels, des structures de données, des structures d’enregistrement ou des fonctions de traitement qui sont différentes. Ils fournissent un moyen d’accéder aux données et de les analyser au regard d’un objectif d’audit prédéterminé, et de faire rapport des constatations de l’audit en mettant l’accent sur la fiabilité des enregistrements produits et gérés par le système. La fiabilité de la source d’information utilisée permet de rassurer quant aux constatations énoncées.
  • 33. Avantage des TAAO Réduit le niveau du risque d’audit Accroit l’indépendance des audités Rapide disponibilité de l’information Opportunité de quantifié les faiblesses d’un système de CI Réduction des coûts liés au temps
  • 34. TAAO (documents à conserver) Rapport en ligne qui détaillent les questions à haut risque à examiner Listages de programmes commentés Organigrammes Rapports échantillons Disposition d’enregistrement et les descriptions de fichiers Définition des champs Instruction d’utilisation Description des documents sources applicables
  • 35. Auto évaluation des contrôles Technique de gestion qui informe les actionnaires, clients et autres parties quant à la fiabilité du système de contrôle interne de l’organisation. Méthodologie utilisée pour réviser les objectifs clés de l’entreprise, les risques liés à l’atteinte des objectifs de l’entreprise et les CI conçus pour gérer ces risques. Ensemble d’outils dont le degré de sophistication va du simple questionnaire aux ateliers dirigés.
  • 36. Avantages de l’AEC Détection précoces des risques Amélioration de l’efficacité des CI Création de la cohésion des équipes grâce à la participation des employés Développement, chez les employés et les propriétaires des contrôles, d’un sentiment d’appartenance relativement à ces contrôles et diminution des leur résistance face aux changement Réduction des coûts du contrôle Garantie donnée aux actionnaires et aux clients quant à la fiabilité. …..
  • 37. Inconvénients de l’AEC Peut être perçue comme le remplacement d’une fonction d’audit. Peut être perçue comme une charge de travail. En cas de l’échec des améliorations suggérées, peut nuire au moral des employés. Le manque de motivation peut nuire à la détection des contrôles insuffisants.
  • 38. Audit continu Méthode qui permet aux auditeurs indépendants de donner par écrit une assurance à propos d’un sujet à l’aide d’un ensemble de rapports d’audits produits en même temps ou peu après l’évènement relatif au sujet. Le but est de fournir une plate-forme plus sécuritaires pour éviter les fraudes et un processus en temps réel qui garantit un niveau élevé de contrôle financier
  • 39. Communication des résultats d’audit Discuter des conclusions et des recommandations avec la direction lors de l’entrevue finale. La présentation peut être un résumé ou une présentation visuelle. Discuter avec le personnel de gestion de l’organisation afin d’arriver à un accord au sujet des conclusions et d’élaborer un plan d’actions correctives. Le rapport d’audit n’a pas de format précis Doit suggérer dés échéanciers pour la mise en œuvre des recommandations acceptées.
  • 40. Question type examen Une distinction qui peut être faite entre un test de conformité et un test de valeur est :  A. Les tests de conformités portent sur les détails alors que les tests de valeurs portent sur les procédures.  B. Les tests de conformité portent sur les contrôles alors que les tests de valeur portent sur les détails  C. Les tests de conformités portent sur les plans alors que les tests de valeur portent sur les procédures  D. Les tests de conformité portent sur les exigences réglementaires alors que les tests de valeur portent sur les tests de validation.
  • 41. Question type examen Une distinction importante qu’un auditeur informatique doit faire en évaluant et en classant les contrôles en contrôles de types préventif, de détection, correctif est :  A. L’endroit où l’on applique les contrôles sur les données en circulation dans le système.  B. Seuls les contrôles de prévention et de détection présentent un intérêt.  C. Les contrôles correctifs ne sont que des contrôles compensatoires.  D. Une classification permet à un auditeur informatique de déterminer les contrôles manquants.
  • 42. Question type examen Le bénéfice principal pour une organisation qui utilise des techniques d’auto évaluation des contrôles résulte de ce qu’elle :  A. Peut identifier les zones à risques élevés qui pourrait nécessiter ultérieurement une revue détaillée.  B. Permet aux auditeurs informatiques d’évaluer les risques de façon indépendante.  C. Peut être utilisée pour remplacer les audits traditionnels.  D. Permet à la direction d’abandonner sa responsabilité en ce qui concerne les contrôles.
  • 43. Question type examen Lequeldes éléments suivants constitue une autorisation d’entreprendre un audit des SI?  A. La délimitation de l’audit, y compris ses buts et objectifs.  B. Une requête d’effectuer un audit de la part de la direction.  C. La charte d’audit approuvée.  D. L’échéancier d’audit approuvé.
  • 44. Question type examen Dans l’exécution d’un audit en fonction du risque, quelle évaluation des risques est d’abord complétée par l’auditeur des SI?  A. L’évaluation des risques de non-détection  B. L’évaluation des risques d’échec des contrôles  C. L’évaluation des risques inhérents  D. L’évaluation des risques de fraude
  • 45. Question type examen Dans l’élaboration d’un programme d’audit axé sur le risque, sur lequel des éléments suivants un auditeur des SI porterait-il probablement le PLUS son attention ?  A. Les processus d’entreprise  B. Les applications essentielles des TI  C. Les contrôles opérationnels  D. Les stratégies d’entreprise
  • 46. Question type examen Lequel des types de risques d’audit suivants présume une absence de contrôle compensatoire dans le domaine examiné ?  A. Risque d’échec des contrôles  B. Risque de non détection  C. Risque inhérent  D. Risque d’échantillonnage
  • 47. Question type examen Un auditeur des SI effectuant un examen des contrôles d’une application découvre une faiblesse dans les logiciels systèmes qui pourrait avoir une incidence importante sur l’application. L’auditeur des SI doit :  A. ne pas tenir compte de ces faiblesses, puisque l’examen des logiciels systèmes dépasse la portée de cet examen.  B. mener un examen détaillé des logiciels systèmes et faire état des faiblesses de contrôle.  C. inclure dans le rapport une déclaration que la vérification se limitait à l’examen des contrôles de l’application.  D. examiner les contrôles des logiciels systèmes, ceux-ci étant pertinents, et recommander un examen détaillé des logiciels systèmes.
  • 48. Question type examen Parmi les raisons suivantes, laquelle est la PLUS importante raison de revoir le processus de planification d’audit à des intervalles périodiques ?  A. Pouvoir planifier le déploiement des ressources d’audit disponibles.  B. Pouvoir tenir compte des changements à l’environnement de risque.  C. Pouvoir alimenter la documentation de la charte d’audit.  D. Pouvoir cerner les normes d’audit des SI applicables.
  • 49. Question type examen Lequel des éléments suivants est le PLUS efficace pour mettre en œuvre un système d’autoévaluation des contrôles au sein des entités ?  A. Revues informelles avec les pairs  B. Ateliers dirigés  C. Diagrammes descriptifs du flot de traitement  D. Diagrammes de flot de données
  • 50. Question type examen La PREMIERE étape de planification d’un audit est de :  A. définir les livrables de l’audit  B. Finaliser la portée et les objectifs de l’audit  C. acquérir une compréhension des objectifs de l’entreprise  D. concevoir l’approche pour l’audit ou la stratégie d’audit.
  • 51. Question type examen L’approche que doit utiliser un auditeur des SI pour planifier la couverture de l’audit des SI doit se baser sur :  A. le risque  B. l’importance relative  C. le scepticisme professionnel  D. le caractère suffisant des éléments probants de l’audit
  • 52. Question type examen Une entreprise effectue une copie de sauvegarde quotidienne des données critiques et des logiciels, et entrepose cette copie dans une installation externe. La copie de sauvegarde est utilisée pour restaurer les fichiers en cas d’interruption. Il s’agit de :  A. Un contrôle préventif  B. Un contrôle de gestion  C. Un contrôle correctif  D. Un contrôle de détection
  • 53. Question type examenThe PRIMARY purpose of generalized audit software (GAS) is to:1. Find fraudulent transactions2. Determine sample mean compared to population mean3. Extract data for a Substantive Test4. Organize an audit report
  • 54. Question type examenA Compensating Control is defined as1. Two strong controls address the same fault2. A fault is addressed by a weak control and strong control in another area3. A control addresses a specific problem4. A control that fixes the problem after it is detected
  • 55. Question type examenAn IS auditor should plan their audit approach based upon:1. Materiality2. Management recommendations3. ISACA recommendations4. Risk
  • 56. Question type examenA Hash Total is maintained on each batch file to ensure no transactions are lost. This is an example of a1. Preventive Control2. Detective Control3. Compensating Control4. Corrective Control
  • 57. Question type examenThe FIRST step that an auditor should take is:1. Prepare the Audit Objectives and Scope2. Learn about the organization3. Study ISACA audit recommendations for the functional area4. Perform a risk assessment
  • 58. Question type examenAn audit that considers how financial information is generated from both a business process and IS handling side is known as:1. Financial audit2. Operational audit3. Administrative audit4. Integrated audit
  • 59. Question type examenAn auditor over-tests (tests a greater percent than actually exist) samples that are expected to be most risky1. Variable Sampling2. Attribute Sampling3. Statistical Sampling4. Non-statistical Sampling
  • 60. Question type examenThe possibility that a router does not catch spoofed IP addresses is known as a1. Inherent risk2. Control risk3. Detection risk4. External risk
  • 61. Question type examenTesting a firewall to ensure that it only permits web traffic into the DMZ is known as1. Compliance Test2. Substantive Test3. Detection Test4. Preventive Test
  • 62. Question type examenAn inherent risk for a school would be:1. Students trying to hack into the system to change grades2. A firewall does not catch spoofed IP addresses3. An audit does not find fraud which actually exists4. People do not change their passwords regularly
  • 63. Remerciements Pour IBT ( Institute of Business and Technologies) BP: 15441 Douala - Cameroun Par Arsène Edmond NGATO, CISA, CISM, PMP, OCP 10g/11g Téléphone- 99183886 Email- arsenengato@yahoo.fr Sources : Manuel de préparation CISA 2012, Divers articles téléchargés sur Internet.

×