Processus Audit SI

CISA Le Processus d’audit des

SI

ObjectifsA la fin de cette leçon ,vous serez capable de : Définir les risques d’audit: risque inhérent, risque d’échec des

contrôles, risque de non détection, risque global. Distinguer les tests de conformité et les test de corroboration. Définir les types de contrôle: Préventif, de détection, de

correction Décrire les types d’échantillonnage: statistique et

discrétionnaire. Décrire les types d’audit: financier, opérationnel, SI, intégré,

Investigation légale Décrire TAAO, Auto évaluation des contrôles, Audit continu. Décrire les étapes d’un audit typique, Approche d’audit fondée

sur le risque.

Définitions (L’audit & les Auditeurs)

Audit : Evaluation d’un système, d’un processus, d’un projet ou d’un produit d’une organisation.

Auditeur : Personne qualifiée, compétente et indépendante fournissant avec objectivité un service d’audit dans le but de rendre un rapport.

Deux types d’auditeur

Interne: Employé d’une organisation ayant pour rôle d’analyser et d’évaluer le système de contrôle interne.

Externe : Auditeur provenant d’une firme d’audit indépendante de l’organisation auditée.

Qualifications de l’auditeur :

Indépendance professionnelle Indépendance organisationnelle Adhésion à un code professionnel

d’éthique Détient les compétences et aptitudes

nécessaires pour l’exécution de l’audit Maintient ses connaissances techniques à

jour (CPE)

Définition : Audit SI / IT

Analyse partielle ou exhaustive du fonctionnement d'un centre de traitement et de son environnement

Débouche sur un diagnostic précisant l'adéquation des ressources matérielles et humaines aux

besoins de l'entreprise l'adéquation des résultats obtenus en regard des moyens

engagés l'adéquation des moyens en regard de la législation

Charte d’audit

Le rôle de la fonction d’audit des SI est établi par la Charte d’Audit. L’audit SI peut faire partie de l’audit interne en tant que groupe indépendant ou intégré à l’audit financier et opérationnel.

La charte d’audit doit énoncer clairement: Les objectifs et les responsabilités de la direction pour la

fonction d’audit des SI. La délégation de pouvoir de la direction à la fonction d’audit. L’autorité, la portée et les responsabilités globales de la fonction

d’audit. L’organisation de la fonction d’audit

Planning d’audit

Court terme : Généralement dans un an. Long terme : Plus d’un an (5, 10, 15, …)

Analyser les enjeux à court et long termes: • Les changement dans l’environnement affectant

le niveau de risque;• L’évolution des technologies et des processus

administratifs;• L’amélioration des méthodes d’évaluation;• Nouvelles réglementations applicables.

Planning d’audit (Exemple)

Domaine à auditer

Période Date dernier audit

Responsabilité

Procédures et politique

d’enregistrement

Q1 Jamais Auditeur Interne

Plan de continuité

Q2 2005 DSI, Consultant Sécurité

FERPA : Interview du personnel

Q3 Jamais Auditeur Interne

IT : Test de pénétration

Q4 2006 DSI, Consultant Sécurité

Etapes de planification d’un audit.

1- Acquérir la compréhension de la mission. 2- Réaliser une analyse des risques 3- Etablir la portée et les objectifs d’audit 4- concevoir l’approche ou la stratégie d’audit 5- Affecter les ressources aux tâches d’audit; 6- Prévoir la logistique du mandat

Acquérir la compréhension de la mission

Lire les documents de référence tels que les publications de l’industrie, les rapports annuels et les rapports d’analyse financières;

Etudier les rapports d’audit antérieurs ou les rapports concernant les TI;

Consulter les plans stratégiques à long termes relatifs au TI et aux activités de l’organisation;

Discuter avec les responsables clés pour comprendre les enjeux commerciaux;

Déterminer les règles spécifiques applicables aux TI; Déterminer les fonctions des TI ou des activités qui y

sont liées et qui ont été imparties; Visiter les installations importantes de l’organisation.

Analyse des risques (Déf.)

Risque : La possibilité qu’une menace données exploite la vulnérabilité d’un actif ou d’un groupe d’actifs et cause ainsi un préjudice à l’organisation (ISO/IEC PDTR 13335-1).

Analyse de Risque : Technique d’identification et d’évaluation des facteurs susceptible de compromettre un processus ou un objectif.

L’AR = Evaluation -> Atténuation -> Ré évaluation.

AR Evaluer les contre-mesures

Analyse coût / bénéfices : Choisir les méthodes de gestion des risques adéquates en se basant sur :

Le coût de la mesure de contrôle en comparaison au degré de réduction du risque;

La propension de la haute direction au risque

Les méthodes de réduction du risque privilégiées

Analyse des Risques (Objectifs)

Permet de repérer les risques et les menaces pour un environnement SI et les contrôles internes.

Aide à évaluer les mesures de contrôle lors de la planification de l’audit.

Aide à déterminer les objectifs de l’audit; Aide à prendre les décisions en rapport avec

l’audit fondé sur le risque. Permet d’implémenter les meilleures mesures

de contrôle interne

Contrôle Interne

Structures organisationnelles, politiques, procédures et pratiques implémentées pour réduire les risques.

Donne à la direction une assurance raisonnable que les objectifs seront atteints et que le risque sera évité ou détecté et corrigé.

Permettent non seulement d’atteindre les objectifs de l’organisation, mais traitent également les évènements indésirables par la prévention, la détection et la correction.

Classifiés préventifs, détection et correction.

Contrôle Interne (COSO)

processus intégré mis en œuvre par les responsables et le personnel d’une organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de l’organisation, des objectifs de l’entreprise. • réalisation et optimisation des opérations

(optimisation des ressources de l'entreprise, fiabilité des informations financières)

• respect des obligations de rendre compte;• conformité aux lois et réglementations en vigueur;• protection des ressources contre les pertes, les

mauvais usages et les dommages.

Contrôle préventif Détecte les problèmes avant qu’ils ne surviennent Surveille les activités et les entrées Tenter de prédire les problèmes potentiels avant qu’ils

ne surviennent et effectuer les ajustements. Prévenir les erreurs, les omissions ou les actes

malveillants

Contrôle de détection Détecte et rapporte toute occurrence d’erreur, omission

ou acte malveillant.

Contrôle de Correction Minimiser l’impact d’une menace Remédier aux problèmes découverts par les contrôles

de détection Identifier les causes des problèmes Corriger les erreurs causées par un problème Modifier les systèmes de traitement pour minimiser les

occurrences futures des problèmes

Contrôle internes (Objectifs) La sauvegarde des actifs informationnels L’intégrité de l’environnement des SI L’identification et l’authentification approprié de

l’utilisateur d’une ressource SI L’efficacité et l’efficience des opération liés au SI La disponibilité des services SI L’amélioration de la protection des données et des

systèmes L’assurance de l’intégrité et de la fiabilité des systèmes

par l’implémentation des procédures de gestion du changement efficaces.

Classification des Audits

Financier : Evaluation de l’exactitude des états financiers d’une organisation.

Opérationnel : Evaluation de la structure de contrôle interne d’un processus ou d’un domaine donné.

Intégré : Combine les étapes des audits financiers et opérationnels.

Administratif : Evaluation des enjeux liés à l’efficacité de la productivité opérationnelle au sein d’une organisation.

Classification des Audits (Suite)

SI : Evaluation des preuves afin de déterminer si les SI et les ressources liées protègent adéquatement les actifs informationnel d’une organisation.

Spécialisés : Audit SI de conformité lié à un service externe ou un standard.

Investigation légale : Audit spécialisé dans la découverte, la divulgation et le suivi des fraudes et des crimes.

Etapes d’un Audit Typique

1- Sujet d’audit 2- Objectif de l’audit 3- Portée de l’audit 4- Planification avant Audit 5- Procédures d’audit et de collecte de données 6- Procédures d’évaluation des tests ou des

résultats d’examen 7- Procédures de communication avec la direction 8- Préparation du rapport d’audit

Risque d’audit

Se définit comme le risque que les renseignements puissent contenir une erreur importante qui pourrait ne pas être détectée lors de la vérification. Risque inhérent Risque d’échec des contrôles Risque de non détection Risque global

Démarche d’audit axé sur le risque

1- Recueillir les renseignements et planifier 2- Comprendre les contrôles internes 3- Effectuer les tests de conformité 4- Effectuer les test de corroboration 5- Conclure l’audit

Test de conformité # Test de corroboration

Les test de conformité consistent à recueillir des preuves dans le but de tester la conformité d’une organisation avec les procédures de contrôle.

Les tests de conformité détermine si les contrôles sont appliqués d’une façon qui respecte les procédures et les politiques de la direction.

L’objectifs est de fournir à l’auditeur des SI l’assurance raisonnable que le contrôle particulier sur lequel il entend se fier fonctionne comme il l’avait observé lors de l’évaluation préliminaire.

Test de conformité vs Test de corroboration

Les tests de corroboration consistent à recueillir les preuves pour évaluer l’intégrité des transactions individuelles, de données ou d’autres renseignements.

Les tests de corroboration fournissent des preuves de la validité et de l’intégrité des soldes dans les états financiers et des transactions à l’appui de ces soldes.

Preuve

Renseignements utilisé par l’auditeur pour déterminer si l’entité ou les données vérifiés respectent les critères ou les objectifs établis.

La preuve peut comprendre les observations de l’auditeur, les notes prises lors des entretiens, du matériel tiré de la correspondance, de la documentation interne ou des contrats avec les partenaires externes, ou les résultats des procédés de vérification.

Critères de fiabilité de la preuve

Indépendance du fournisseur de la preuve Titre et qualité du fournisseur de la preuve Objectivité de la preuve Echéancier de la preuve

Techniques de collecte de preuves

Observations (Organisation, Personnel, Procédé)

Revue des politiques, procédures et standards Documentation SI Entretien avec le personnel compétents Utilisation d’autres auditeurs ou experts Echantillonnage (statistiques / discrétionnaires) Techniques d’audit assistées par ordinateur

Echantillonnage

Statistique : Utilisation d’une méthode objective pour déterminer la taille de l’échantillon et les critères de sélection.

Discrétionnaire : Utilisation du jugement (appréciation) de l’auditeur pour déterminer la méthode d’échantillonnage, la taille de l’échantillon et les critères de sélection.

TAAO

Les TAAO sont des outils important pour recueillir et analyser les renseignements des systèmes possédant des environnements matériels et logiciels, des structures de données, des structures d’enregistrement ou des fonctions de traitement qui sont différentes.

Ils fournissent un moyen d’accéder aux données et de les analyser au regard d’un objectif d’audit prédéterminé, et de faire rapport des constatations de l’audit en mettant l’accent sur la fiabilité des enregistrements produits et gérés par le système.

La fiabilité de la source d’information utilisée permet de rassurer quant aux constatations énoncées.

Avantage des TAAO

Réduit le niveau du risque d’audit Accroit l’indépendance des audités Rapide disponibilité de l’information Opportunité de quantifié les faiblesses d’un

système de CI Réduction des coûts liés au temps

TAAO (documents à conserver)

Rapport en ligne qui détaillent les questions à haut risque à examiner

Listages de programmes commentés Organigrammes Rapports échantillons Disposition d’enregistrement et les descriptions

de fichiers Définition des champs Instruction d’utilisation Description des documents sources applicables

Auto évaluation des contrôles

Technique de gestion qui informe les actionnaires, clients et autres parties quant à la fiabilité du système de contrôle interne de l’organisation.

Méthodologie utilisée pour réviser les objectifs clés de l’entreprise, les risques liés à l’atteinte des objectifs de l’entreprise et les CI conçus pour gérer ces risques.

Ensemble d’outils dont le degré de sophistication va du simple questionnaire aux ateliers dirigés.

Avantages de l’AEC

Détection précoces des risques Amélioration de l’efficacité des CI Création de la cohésion des équipes grâce à la

participation des employés Développement, chez les employés et les propriétaires

des contrôles, d’un sentiment d’appartenance relativement à ces contrôles et diminution des leur résistance face aux changement

Réduction des coûts du contrôle Garantie donnée aux actionnaires et aux clients quant à

la fiabilité. …..

Inconvénients de l’AEC

Peut être perçue comme le remplacement d’une fonction d’audit.

Peut être perçue comme une charge de travail. En cas de l’échec des améliorations suggérées,

peut nuire au moral des employés. Le manque de motivation peut nuire à la

détection des contrôles insuffisants.

Audit continu

Méthode qui permet aux auditeurs indépendants de donner par écrit une assurance à propos d’un sujet à l’aide d’un ensemble de rapports d’audits produits en même temps ou peu après l’évènement relatif au sujet.

Le but est de fournir une plate-forme plus sécuritaires pour éviter les fraudes et un processus en temps réel qui garantit un niveau élevé de contrôle financier

Communication des résultats d’audit

Discuter des conclusions et des recommandations avec la direction lors de l’entrevue finale.

La présentation peut être un résumé ou une présentation visuelle.

Discuter avec le personnel de gestion de l’organisation afin d’arriver à un accord au sujet des conclusions et d’élaborer un plan d’actions correctives.

Le rapport d’audit n’a pas de format précis Doit suggérer dés échéanciers pour la mise en œuvre

des recommandations acceptées.

Question type examen

Une distinction qui peut être faite entre un test de conformité et un test de valeur est :

A. Les tests de conformités portent sur les détails alors que les tests de valeurs portent sur les procédures.

B. Les tests de conformité portent sur les contrôles alors que les tests de valeur portent sur les détails

C. Les tests de conformités portent sur les plans alors que les tests de valeur portent sur les procédures

D. Les tests de conformité portent sur les exigences réglementaires alors que les tests de valeur portent sur les tests de validation.


Une distinction importante qu’un auditeur informatique doit faire en évaluant et en classant les contrôles en contrôles de types préventif, de détection, correctif est :

A. L’endroit où l’on applique les contrôles sur les données en circulation dans le système.

B. Seuls les contrôles de prévention et de détection présentent un intérêt.

C. Les contrôles correctifs ne sont que des contrôles compensatoires.

D. Une classification permet à un auditeur informatique de déterminer les contrôles manquants.


Le bénéfice principal pour une organisation qui utilise des techniques d’auto évaluation des contrôles résulte de ce qu’elle :

A. Peut identifier les zones à risques élevés qui pourrait nécessiter ultérieurement une revue détaillée.

B. Permet aux auditeurs informatiques d’évaluer les risques de façon indépendante.

C. Peut être utilisée pour remplacer les audits traditionnels.

D. Permet à la direction d’abandonner sa responsabilité en ce qui concerne les contrôles.


Lequel des éléments suivants constitue une autorisation d’entreprendre un audit des SI? A. La délimitation de l’audit, y compris ses

buts et objectifs. B. Une requête d’effectuer un audit de la part

de la direction. C. La charte d’audit approuvée. D. L’échéancier d’audit approuvé.


Dans l’exécution d’un audit en fonction du risque, quelle évaluation des risques est d’abord complétée par l’auditeur des SI?

A. L’évaluation des risques de non-détection B. L’évaluation des risques d’échec des

contrôles C. L’évaluation des risques inhérents D. L’évaluation des risques de fraude


Dans l’élaboration d’un programme d’audit axé sur le risque, sur lequel des éléments suivants un auditeur des SI porterait-il probablement le PLUS son attention ? A. Les processus d’entreprise B. Les applications essentielles des TI C. Les contrôles opérationnels D. Les stratégies d’entreprise


Lequel des types de risques d’audit suivants présume une absence de contrôle compensatoire dans le domaine examiné ? A. Risque d’échec des contrôles B. Risque de non détection C. Risque inhérent D. Risque d’échantillonnage

Question type examen Un auditeur des SI effectuant un examen des contrôles

d’une application découvre une faiblesse dans les logiciels systèmes qui pourrait avoir une incidence importante sur l’application. L’auditeur des SI doit : A. ne pas tenir compte de ces faiblesses, puisque

l’examen des logiciels systèmes dépasse la portée de cet examen.

B. mener un examen détaillé des logiciels systèmes et faire état des faiblesses de contrôle.

C. inclure dans le rapport une déclaration que la vérification se limitait à l’examen des contrôles de l’application.

D. examiner les contrôles des logiciels systèmes, ceux-ci étant pertinents, et recommander un examen détaillé des logiciels systèmes.


Parmi les raisons suivantes, laquelle est la PLUS importante raison de revoir le processus de planification d’audit à des intervalles périodiques ? A. Pouvoir planifier le déploiement des

ressources d’audit disponibles. B. Pouvoir tenir compte des changements à

l’environnement de risque. C. Pouvoir alimenter la documentation de la

charte d’audit. D. Pouvoir cerner les normes d’audit des SI

applicables.


Lequel des éléments suivants est le PLUS efficace pour mettre en œuvre un système d’autoévaluation des contrôles au sein des entités ? A. Revues informelles avec les pairs B. Ateliers dirigés C. Diagrammes descriptifs du flot de

traitement D. Diagrammes de flot de données


La PREMIERE étape de planification d’un audit est de : A. définir les livrables de l’audit B. Finaliser la portée et les objectifs de l’audit C. acquérir une compréhension des objectifs

de l’entreprise D. concevoir l’approche pour l’audit ou la

stratégie d’audit.


L’approche que doit utiliser un auditeur des SI pour planifier la couverture de l’audit des SI doit se baser sur : A. le risque B. l’importance relative C. le scepticisme professionnel D. le caractère suffisant des éléments

probants de l’audit


Une entreprise effectue une copie de sauvegarde quotidienne des données critiques et des logiciels, et entrepose cette copie dans une installation externe. La copie de sauvegarde est utilisée pour restaurer les fichiers en cas d’interruption. Il s’agit de : A. Un contrôle préventif B. Un contrôle de gestion C. Un contrôle correctif D. Un contrôle de détection


The PRIMARY purpose of generalized audit software (GAS) is to:

1. Find fraudulent transactions

2. Determine sample mean compared to population mean

3. Extract data for a Substantive Test

4. Organize an audit report


A Compensating Control is defined as

1. Two strong controls address the same fault

2. A fault is addressed by a weak control and strong control in another area

3. A control addresses a specific problem

4. A control that fixes the problem after it is detected


An IS auditor should plan their audit approach based upon:

1. Materiality

2. Management recommendations

3. ISACA recommendations

4. Risk


A Hash Total is maintained on each batch file to ensure no transactions are lost. This is an example of a

1. Preventive Control

2. Detective Control

3. Compensating Control

4. Corrective Control


The FIRST step that an auditor should take is:

1. Prepare the Audit Objectives and Scope

2. Learn about the organization

3. Study ISACA audit recommendations for the functional area

4. Perform a risk assessment


An audit that considers how financial information is generated from both a business process and IS handling side is known as:

1. Financial audit

2. Operational audit

3. Administrative audit

4. Integrated audit


An auditor over-tests (tests a greater percent than actually exist) samples that are expected to be most risky

1. Variable Sampling

2. Attribute Sampling

3. Statistical Sampling

4. Non-statistical Sampling


The possibility that a router does not catch spoofed IP addresses is known as a

1. Inherent risk

2. Control risk

3. Detection risk

4. External risk


Testing a firewall to ensure that it only permits web traffic into the DMZ is known as

1. Compliance Test

2. Substantive Test

3. Detection Test

4. Preventive Test


An inherent risk for a school would be:

1. Students trying to hack into the system to change grades

2. A firewall does not catch spoofed IP addresses

3. An audit does not find fraud which actually exists

4. People do not change their passwords regularly

Remerciements

Pour IBT ( Institute of Business and Technologies)

BP: 15441 Douala - Cameroun Par Arsène Edmond NGATO, CISA,

CISM, PMP, OCP 10g/11g Téléphone- 99183886 Email- [email protected] Sources : Manuel de préparation CISA 2012,

Divers articles téléchargés sur Internet.

mailto:[email protected]

Documents

Processus Audit SI