Download - L Audit Process
1
Processus d’Audit
Mohamed SAAD, CISA, ITIL, PMP, ISO 27 001 LA
Cycle de Préparation au C.I.S.A
2
Sommaire
� I- Introduction� II- Normes et standards professionnels d’audit� III- Analyse des risques� IV- Le contrôle interne� V- La réalisation de l’audit� VI- Le CSA (Control Self Assessment)� VII- Le Corporate Governance
3
IntroductionIntroduction
4
I- Introduction
� L’objectif majeure du processus d’Audit est:� Que l’auditeur ait les connaissances nécessaires
pour conduire un audit des systèmes d’information en concordance avec les normes et standards de l’Audit des S.I
� Que l’auditeur assure que les technologies d’information de l’entreprise sont alignées sur le plan stratégique et qu’elles sont bien gérées et contrôlées
5
I- IntroductionL’organisation de la fonction d’Audit
� Le rôle de la fonction d’audit doit être statué dans une charte d’audit
� La charte doit renseigner clairement sur la respons abilité et les objectifs du Top Man. ainsi que la délégation d e l’autoritéqu’il confère à la fonction d’audit des TI
� Ce document doit arrêter:� L’autorité, le périmètre et les responsabilités de la fonction
d’audit des TI
� Le Top Man. et le comité d’audit doivent approuver c ette charte
� Une fois la charte établie et approuvée, elle ne do it être modifiée qu’en cas de changement majeure justifié
6
I- IntroductionLe management des ressources des S.I
� Les ressources des auditeurs S.I sont limitées, et leur temps est planifié et optimisé
� L’auditeur SI doit avoir les connaissances nécessaires pour gérer les projets d’audit avec le staff d’audit
� Des compétences particulières peuvent être requises pour planifier certains audits spécifiques
� Le management de l’audit des SI doit avoir les connaissances nécessaires sur le planning de charges de ses ressources
� Des outils de management des projets sont utilisés pour maîtriser les charges
7
I- IntroductionLe management des ressources des S.I
� Les technologies de l’information sont en perpétuel changement ce qui exige des auditeurs d’être constamment Up to date
� Nouvelles techniques d’audit
� Nouveaux métiers en terme des TI
� La formation continue constitue un objectif majeure dans la mise à niveau des compétences des auditeurs
8
I- IntroductionLa planification des ressources
� La planification de l’audit concerne le court et le long terme
� Le court terme:� Les audit devant être couvert durant l’année
� Le long terme:� Les plans d’audit devant tenir compte des
changements majeurs dans les plans stratégiques des TI de l’organisation
� Les changements devant concerner l’environnement des TI
� L’analyse des plannings du court et du long terme d oit être annuelle
9
I- IntroductionLa planification des ressources
� L’auditeur doit être informé au préalable:� Avoir des connaissance sur le domaine à auditer� Les informations, contrôles et pratiques utilisés d ans
l’activité à auditer� L’environnement réglementaire
10
I- IntroductionLa planification des ressources
� Planifier un audit, demande de l’auditeur SI de:1. Avoir des connaissances sur l’activité (l’objectif, les
processus, la technologie…)2. Effectuer une analyse des risques3. Conduire une revue de contrôle interne4. Arrêter le périmètre et les objectifs de l’audit5. Développer une approche et une stratégie d’audit
11
I- IntroductionLa planification des ressources
� Les étapes permettant à l’auditeur de collecter des informations sur l’activité:
� Analyser les publications et les rapports annuels, � Analyser les rapports d’analyse financière (auditeu rs,
commissariat au compte…)� Revoir les plans stratégiques à long terme� Interview des managers clé de l’activité� Revoir les rapports d’audit SI précédents
12
Normes et standards Normes et standards professionnels dprofessionnels d ’’auditaudit
13
� Les standards techniques proposés par ISO, EDIFACT…� Les Codes de Conduite proposés par le Conseil de l' Europe,
l'OCDE, l'ISACA� Les critères de qualification pour les systèmes
informatiques et les processus ; ITSEC, TCSEC, ISO 9 000, SPICE, TickIT, Common Criteria…
� Les standards professionnels du contrôle interne et de l'audit ; COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO…
� Les pratiques et exigences métiers proposées par le s forums professionnels (ESF, I4) ainsi que les plate s-formes soutenues par les gouvernements (IBAG, NIST, DTI)…
� Les exigences spécifiques aux secteurs de la banque, du commerce électronique et de la fabrication de TI
II- Normes et standards professionnels d’Audit
14
II- Normes et standards professionnels d’Audit
� Présentation de l’ISACA:� Association de professionnels de l’Audit et du
contrôle des SI fondée en 1969� 20 000 membres ���� 100 pays� Mission:
• Promouvoir la profession d’auditeur informatique• Développement de standards et guides d’audit• Conférences, formation, publications, ouvrages…
� Cobit: Control Objectives for Information and Relat edTechnology
� www.isaca.org
15
� 010 Charte d’Audit� 010.010 Responsabilité et autorité
la responsabilité et l’autorité liées à la fonction d’audit des systèmes d’information doivent être définies de façon appropriée dans une charte d’audit ou une lettre de mission
II- Normes et standards professionnels d’Audit
16
� 020 Indépendance� 020.010 Indépendance professionnelle
Pour tout ce qui concerne l’audit, l’auditeur en systèmes d’information doit être indépendant de l’audité en attitude et en apparence
� 020.020 Rapport organisationnella fonction d’audit des systèmes d’information doit être suffisamment indépendante du domaine audité pour permettre une réalisation objective de l’audit
II- Normes et standards professionnels d’Audit
17
� 030 Éthique et normes professionnelles� 030.010 Code d’éthique professionnelle
L’auditeur en SI doit se conformer au code d’éthique professionnelle de l’association pour le contrôle et l’audit des SI
� 030.020 Conscience professionnellela conscience professionnelle et l’observation des normes professionnelles d’audit applicables à tous les aspects du travail de l’auditeur en SI
II- Normes et standards professionnels d’Audit
18
� 040 Compétences� 040.010 Compétences et connaissances
L’auditeur en SI doit être techniquement compétent et posséder les connaissances nécessaires à la réalisation de son travail d’auditeur
� 040.020 Formation professionnelle continueL’auditeur en SI doit maintenir ses compétences techniques grâce à une formation professionnelle continue appropriée
II- Normes et standards professionnels d’Audit
19
� 050 Planification� 050.010 Planification d’un audit
L’auditeur en SI doit planifier le travail d’audit de SI pour répondre aux objectifs de l’audit et pour se conformer aux normes professionnelles d’audit applicables
II- Normes et standards professionnels d’Audit
20
� 060 Réalisation du travail d’audit� 060.010 Supervision
Le personnel d’audit des SI, l’auditeur en SI doit être supervisé de façon adéquate pour offrir l’assurance que les objectifs de l’audit sont atteints et que l es normes professionnelles d’audit applicables sont observées
� 060.020 Éléments probantsDurant le cours de l’audit, l’auditeur SI doit recu eillir des éléments probants suffisants, fiables, pertinen ts et utiles pour accomplir efficacement les objectifs de l’audit. Les résultats et conclusions de l’audit do ivent être appuyés par une analyse et une interprétation appropriée de ces éléments probants
II- Normes et standards professionnels d’Audit
21
� 070 Rapport� 070.010 Contenu et forme du rapport
L’auditeur en SI doit fournir aux destinataires voulus un rapport, sous une forme appropriée, après l’achèvement du travail d’audit. Le rapport d’audit doit mentionner le but, les objectifs, la période couverte, la nature et l’étendue de l’audit réalisé. Le rapport doit identifier l’organisation, les destinataires voulus et toute restriction dans la distribution. Le rapport doit contenir les résultats, conclusions et recommandations ainsi que toute réserve ou qualification de l’auditeur vis à vis de l’audit
II- Normes et standards professionnels d’Audit
22
� 080 Activités de suivi� 080.010 Suivi
L’auditeur en SI doit demander et évaluer les informations appropriées concernant les résultats, conclusions et recommandations antérieures pour déterminer si les mesures appropriées ont été mises en place dans des délais raisonnables
II- Normes et standards professionnels d’Audit
23
� Lois et règlements� Lois et règlements sectoriels: banque,
mutuelles, secteur alimentaire, secteur pharmaceutique…
� Lois et règlements applicables aux SI
II- Normes et standards professionnels d’Audit
24
� La façon d’auditer:� Le Top Man. et la DSI ont-ils prévu la prise en
compte des lois dans leurs stratégies, plans, procédures ?
� Revue des documents du département, de la fonction ou de l’activité, qui permettent de répondre aux besoins légaux et sectoriels
� Déterminer l’adhésion aux procédures qui permettent d’atteindre les objectifs
II- Normes et standards professionnels d’Audit
25
LL’’analyse des risquesanalyse des risques
26
� Décomposition d’un risque:� Menace (ou vulnérabilité) sur un processus ou sur u n
actif� Impact sur ce processus ou cet actif� Probabilité que cela arrive
� Évaluation des risques:� Les biens concernés� Les menaces� Les vulnérabilités
� Les Recommandations
III- L’analyse des risques
27
� L’analyse du risque fait partie de la planification de l’audit, elle aide à identifier les risques et vulnérabilités pour que l’auditeur puisse recommander les contrôles adéquats pour atténuer ces risques
� Contrôle: les politiques, l’organisation, les pratiques conçues pour apporter une assurance raisonnable que les objectifs de l’entreprise seront atteints e t que les évènements indésirables seront prévenues ou détectés et corrigés
� Objectif de contrôle: le résultat à atteindre par la mise en place du contrôle dans une activité donnée
III- L’analyse des risques
28
Le contrôle interneLe contrôle interne
29
� Ensemble de procédures et de dispositifs permanents définis et appliqués sous la responsabilité du Top Man., destinés à fournir une assurance raisonnable quant à la réalisation des objectifs suivants:
� Protection du patrimoine� Conformité aux lois et réglementations en vigueur� Efficacité et efficience des opérations de l’entrepr ise� Prévention des fraudes et des erreurs
IV- Le contrôle interne
30
� Le contrôle interne a été développé pour assurer la réalisation des objectifs globaux de l’entreprise e t que les risques soient prévenus, détectés et corrig és
IV- Le contrôle interne
31
� Les objectifs du contrôle interne:� Sauvegarde des actifs� Assurer l’intégrité de l’environnement des TI et
des réseaux d’information� Assurer l’intégrité de l’environnement des
applications critiques:• Les autorisations d’entrées de données• Exactitude et complétude du traitement des
transactions• Exactitude, complétude et sécurisation des sorties• Intégrité des BD
� Assurer l’efficience et l’efficacité des opérations� Conformité de l’expression de besoins des
utilisateurs avec les politiques organisationnelles et les procédures, ainsi que vis à vis de l’environnement réglementaire
� Développer des plans de backup et de reprise� Développer une politique de r éponse aux
IV- Le contrôle interne
32
� Objectifs de contrôle des SI:� L’ISACA publie un ensemble de manuels pour la
gouvernance, le contrôle, l’audit des SI� Le Cobit:
� Executive Summary� Framework: concepts et principes� Objectifs de contrôle: contrôles détaillés� Guide de management des SI� Guide d’audit des SI� Outils de mise en place
IV- Le contrôle interne Les contrôles des SI
33
� Cobit:� 34 processus IT classés en 4 domaines� 302 objectifs de contrôle détaillé
IV- Le contrôle interne Les contrôles des SI
34
35
� Classification des contrôles:� Contrôles préventifs� Contrôles détectifs� Contrôles correctifs
IV- Le contrôle interne Les contrôles des SI
36
Les contrôles des SIClassification des contrôles
Planning contingency
Procédures de backupProblèmes de réexecution
Minimise l’impact d’une menace
Remédie aux problèmes découverts par les contrôles détectifsIdentifie les causes des problèmesCorrige les problèmes émanant d’un problème
Correctif
Points de contrôles dans les soumission de jobs
Contrôle d’echo dans les transmissions telecomReporting des performances périodiques
Utilise les contrôles pour détecter et reporter les occurrences d’erreurs, omission ou actes malveillantsDétectif
N’employer que le personnel qualifiéRépartition des tâches
Contrôle physique aux accèsUtilisation des logiciel de contrôle des accès aux fichiers
Détecte les problèmes avant qu’ils n’arrivent
Gère les opérations et les entréesTente de prédire les incidents potentielsPrévient contre les erreurs, les oublis et les actes malveillants
Préventif
37
RRééalisation de lalisation de l ’’auditaudit
38
� Tests de conformité:� Respect des procédures
� Tests de vérification ou tests substantifs� Les valeurs (chiffres) sont justes.� Exemple: l’inventaire est t-il exact ?
� Corrélation entre les résultats des premiers et le volume des seconds
V- Réalisation de l’auditLes tests
39
� Une vérification de toute une population n’est toujours pas possible…
� Échantillonnage statistique:� Échantillonnage statistique:
• Par attribut (test de conformité)• Par variable (test substantif)
V- Réalisation de l’auditTechniques de sondage
40
� Niveau de confiance (ex : 95%) = 1-risque d’échantillonnage
� Probabilité que l’échantillon représente la population
� La taille de l’échantillon est fonction du niveau de confiance
� Précision : différence admise entre l’échantillon et la population. Plus la précision est fine (petit e) plus la taille de l’échantillon est grande.
V- Réalisation de l’auditÉchantillonnage
41
� Générateurs de jeux d’essais� Systèmes experts� Utilitaires des progiciels (vérification des
paramètres)� Gestionnaires de bibliothèques de logiciel� Dispositif de test intégré (ITF)� Outils de capture (snapshot)� Fichier d’audit� Logiciels d’audit généralisés
V- Réalisation de l’auditTechnique de l’audit assisté par ordinateur
42
� Ressources en personnels� Origine des auditeurs (informatique, finance,
…….)� Les niveaux d’expériences (débutant,
expérimenté, certifié CISA)
� Les contraintes� disponibilité des auditeurs, turn over� échéance à respecter � absence de documentation
� La mission d’audit : se manage comme tout projet.
V- Réalisation de l’auditGestion des ressources d’audit
43
V- Réalisation de l’auditTechnique de gestion de projet
� plan détaillé avec estimations réalistes� rapport d’activité� ajuster le plan et actions correctives
44
� Évaluation des contrôles (forces, faiblesses)
� Pertinence de l’information – Matérialité
� Existence de contrôles compensatoires
� Relations entre contrôles
� Efficacité et efficience des opérations
V- Réalisation d’un audit de SICommunication des résultats
45
� Présentation et contenu du rapport (standard 070 et 080 )
� rappel des objectifs, étendue des travaux, leur période
� procédures d’audit appliquées� opinion sur les contrôles en place� constats et recommandations détaillées� réponses de la direction sur les actions
correctives et les échéances
� un critère : la matérialité
V- Réalisation d’un audit de SICommunication des résultats
46
Communication des résultats de l’audit� Communication des résultats à la direction et au
comité d’audit
� Conclusions et opinions� l’auditeur doit faire part des réserves et
difficultés rencontrées lors de l’audit� communication et validation à différents
niveaux
V- Réalisation d’un audit de SICommunication des résultats
47
� Entretien final� l’auditeur peut s’assurer que les faits sont
présentés correctement, que les recommandations sont réalistes et éventuellement à renégocier
� Techniques de présentation� rapport de synthèse concis (éventuellement
avec des annexes)� présentation sur transparents
V- Réalisation d’un audit de SICommunication des résultats
48
Contrôle et autoContrôle et auto --éévaluationvaluation
49
� Les contrôles sont auto évalués par un service en présence des auditeurs qui interviennent pour faciliter le processus
� Utilisation de techniques telles que les questionnaires, les groupes de travail audités –auditeurs
� Sensibilisation aux besoins de contrôle
� Implication de la hiérarchie et de l’audit interne
VI- Contrôle et auto-évaluationCSA (Control self assessement)
50
� Amélioration du processus de contrôle (cela ne remplace pas l’audit)
� Sensibilisation du management au contrôle et àla surveillance
� Mobilisation de tout le monde sur les domaines à haut risque
VI- Contrôle et auto-évaluationLes objectif du CSA
51
La La corporatecorporateGovernanceGovernance
52
La Corporate Governance ou gouvernance d’entreprise estcomposée de l'ensemble des principes et règlesd'organisation, de comportement et de transparence vi santà assurer - dans l'optique de la protection des actionna ires- l'équilibre entre la direction et le contrôle de l'en treprise àl'échelon le plus élevé, tout en respectant le pouvoi rdécisionnel et l'efficience de la direction. Dans la terminologie anglo-saxonne, on parle de "Checks and balances", mais aussi d‘ "incentives", ce que l'on peuttraduire par des structures de direction, contrôle et incitation qui servent de cadre à l'interaction des actionnaires (assemblée générale), du conseild'administration et du management supérieur.
VII- La Corporate Governance
53
� Pour réussir dans cette économie de l'information, la gouvernance d'entreprise et celle des TI ne doivent plus être considérées comme des disciplines séparées et distinctes.
� Une gouvernance d'entreprise efficace se concentre sur l'expertise et l'expérience des individus et des groupes là où elles peuvent être les plus productives, surveille et mesure les performances, et prévoit une assurance pour les points critiques.
VII- La Corporate Governance
54
VII- La Corporate Governance
55
VII- La Corporate Governance
56
VII- La Corporate Governance
57
IT Governance
Alignement stratégiqueDes projets
Conception de tableauxDe bords
IT balanced Scorecard
Mise en phaseDe l’organisation et de
La DSI
Contrôle de gestionInformatique
Maîtrise des coûts(ABC/ABM)
Schémas directeursUrbanisation
Maîtrise de l’Infrastructure
Gestion des compétences
informatiquesMaîtrise des projets
Gestion des risques
IT Governance
58
� La loi Sarbanes Oxley (entrée en vigueur aux États-Unis en Juillet 2002) vise à renforcer le contrôle exercé sur la gouvernance d’entreprise, selon trois principes :
� Exactitude et accessibilité de l’information� Responsabilité des gestionnaires� Indépendance des vérificateurs
� L’objectif affiché est de promouvoir l’éthique et la responsabilité des gestionnaires, de façon à rétablir la confiance des investisseurs après les différents sc andales financiers
� Dorénavant, les dirigeants seront personnellement e ngagés sur l’exactitude des comptes, une rotation des véri ficateurs externes sera exigée, et ces derniers ne pourront p lus offrir à l’entreprise d’autres services que ceux directemen t liés àla vérification des comptes
� Enfin, les sanctions seront considérablement renfor cées
La loi Sarbanes-Oxley