Académique Documents
Professionnel Documents
Culture Documents
2007 01 17 Audit - de - Projet
2007 01 17 Audit - de - Projet
Terminologie
Construction du risque
Personnes et
organisation
Processus et
fonctionnement
Outils et
technologie
objectifs
objectifs
objectifs
ACTIONS
PLAN PLAN
DO DO
CHECK CHECK
ACT ACT
PRINCIPE PRINCIPE
D'INDEPENDANCE D'INDEPENDANCE
Contexte d'intervention
L'audit Contexte d'intervention
Stratgie de
l'entreprise
Pilotage d'un
projet
...
objectifs
objectifs
objectifs
ACTIONS
PLAN PLAN
DO DO
CHECK CHECK
ACT ACT
PRINCIPE PRINCIPE
D'INDEPENDANCE D'INDEPENDANCE
F
i
n
a
n
c
i
e
r
C
o
n
f
o
r
m
i
t
O
p
r
a
t
i
o
n
n
e
l
Processus d'audit Processus d'audit
Focalisation sur les domaines
haut risque de la socit
Principe de planification des audits
r Planification long terme
Par exemple triennale
Li la planification stratgique de l'entreprise
Facteurs considrer
Changements de technologies
...
r Planification court terme
Annuelle
Li la planification des ressources
L'audit Contexte d'intervention
Terminologie
L'audit
SYSTEME DE
SYSTEME DE
CONTRLE INTERNE
CONTRLE INTERNE
RISQUE
RISQUE
VULNERABILITE
VULNERABILITE
CONTRLE
CONTRLE
MENACES
MENACES
prventif
dtectif
correctif
design
efficacit
inhrent
contrle
dtection
impact
frquence
Menace et vulnrabilit
r Menace
Tout acte, situation, vnement, pouvant tre
l'origine de dgts ou de dommages sur un bien
ou une personne physique ou morale.
r Vulnrabilit
Une vulnrabilit est une faille dans une
procdure, un systme, le design,
l'implmentation d'un contrle qui peut tre
exploite pour abuser la scurit ou empcher
d'atteindre les objectifs de la socit
Inhrente lenvironnement de la socit. Une
vulnrabilit peut concern les btiments et les
locaux, les logiciels et applications, les
systmes,
L'audit Terminologie
Risque
L'audit Terminologie
MENACE MENACE VULNERABILITE VULNERABILITE
RISQUE RISQUE
VALEUR OPERATIONNELLE VALEUR OPERATIONNELLE
DE L'ACTIF DE L'ACTIF
FREQUENCE DE FREQUENCE DE
SURVENANCE SURVENANCE
I I
M M
P P
A A
C C
T T
Risque et contrle
r Risque
Evnement qui est susceptible dentraner des dommages
et/ou des pertes pour lentreprise concerne
r Contrle
Les contrles sont des politiques, des procdures, des
pratiques et des structures organisationnelles dsignes
pour mettre disposition une assurance raisonnable que les
objectifs business seront atteints et que les vnements non
souhaits pourront tre prvenus ou dtects et corrigs
L'audit Terminologie
Systme de contrle interne SCI
r Systme de contrle interne
Ensemble des contrle (mthodes et procdures) utiliss
dans une socit
...
L'audit Terminologie
Risque
L'audit Terminologie
MENACE MENACE VULNERABILITE VULNERABILITE
RISQUE RISQUE
IMPACT - IMPACT -
VALEUR OPERATIONNELLE VALEUR OPERATIONNELLE
FREQUENCE DE FREQUENCE DE
SURVENANCE SURVENANCE
SYSTEME DE SYSTEME DE
CONTROLE CONTROLE
INTERNE INTERNE
Construction du risque
L'audit
couverture daudit (domaine, processus, technologie, temps)
Risque final
Risque de dtection
Processus
dapprciation des risques
Menaces Vulnrabilits Impact
Frquence
de
survenance
Risque inhrent
Risque de contrle Prventif Dtectif Correctif
Risques inhrents
r Risque inhrent:
Type de produits ou de services
Situation de concurrence
Industrie
Taille et tats financiers de la socits
Dveloppement technologique
Environnement informatique
...
L'audit Construction du risque
couverture daudit (domaine, processus, technologie, temps)
Risque final
Risque de dtection
Processus
dapprciation des risques
Menaces Vulnrabilits Impact
Frquence
de
survenance
Risque inhrent
Risque de contrle Prventif Dtectif Correctif
Risques de contrle
r Culture d'entreprise
r Activits / industries
r Rorganisation, fusions,
acquisition, outsourcing
r Staff, personnes et organisation
r Gestion des changements
r Manque de directives et de
documentations
r Sgrgation des tches
r ...
L'audit Construction du risque
couverture daudit (domaine, processus, technologie, temps)
Risque final
Risque de dtection
Processus
dapprciation des risques
Menaces Vulnrabilits Impact
Frquence
de
survenance
Risque inhrent
Risque de contrle Prventif Dtectif Correctif
Risques de dtection
r Erreur non dtecte
r Indicateurs inefficaces
r Planning d'audit inadquat
r Rsultats d'audit interprt de
manire incorrecte
r Constats non pondrs de
manire correcte
r ...
L'audit Construction du risque
couverture daudit (domaine, processus, technologie, temps)
Risque final
Risque de dtection
Processus
dapprciation des risques
Menaces Vulnrabilits Impact
Frquence
de
survenance
Risque inhrent
Risque de contrle Prventif Dtectif Correctif
L'approche audit
Comprhension de l'environnement
Personnes et
organisation
Processus et
fonctionnement
Outils et
technologie
+
Dimensions considrer
r Identifi?
r Dfini?
r Valid?
r Document?
r Implment?
r Surveill?
r Revu?
Qualit de l'information
et quantit d'information
Processus de documentation Processus de documentation
Techniques et outils
r Interviews
Direction
Personnes cls
Employs
r Revue de documentation (papier et lectronique)
Politiques, standards et procdures
Mode d'emploi
...
r Observation
Mode opratoire
Responsabilit, limites d'activits
...
L'approche d'audit 1. Comprhension de l'environnement
Quantit et qualit de l'information collecte
r Pertinente
Aligne sur les objectifs de
l'audit
En relation logique avec
les constatations et les
conclusions
r Reliable
Valide (temps, domaine,
source indpendante, etc.)
Factuelle
Objective (interprtation)
r Suffisante
Complte
Adquate
Convaincante
r Conduirait un autre auditeur
aux mmes conclusions
L'approche d'audit 1. Comprhension de l'environnement
2. Identification des risques
L'approche d'audit
Menaces Vulnrabilits Impact
Frquence
de
survenance
Risque inhrent
Analyse de risques
Qualitative Qualitative
Aide la planification de l'valuation des contrles
Confirme les objectifs d'audit
Analyse de risques
Gestion du rique vs contrle du risque
L'audit 2. Identification des risques
Principe d'indpendance Principe d'indpendance
Gestion
des risques
Temps Qualit Cots
Oprationnel
Gestion de projet
Controle
des risques
Temps Qualit Cots
Audit
Cohrence des
risques identifis
Cohrence de
l'apprciation
des risques
Rfrentiels et outils
L'approche d'audit 2. Identification des risques
Cohrence de Cohrence de
l'identification et de l'identification et de
l'apprciation l'apprciation
des risques des risques
Normes assurance qualit
(ISO, PRINCE2 , ITIL,...)
Normes de scurit
(ISO 27001, ITsec,...)
Normes d'audit
(NAS, COBIT, COSO,...)
Normes, rfrentiels mtier
Rfrentiels et outils: COBIT
L'approche d'audit 2. Identification des risques
Vue globale du rfrentiel
L'approche d'audit 2. Identification des risques COBIT
Rf. COBIT: Control Objectives for Information and related Technology, ISACA
r 4 domaines
Planning & Organisation
Acquisition & Implementation
Delivery & Support
Monitor & Evaluate
r 34 Macro-processus
PO-10 Manage Projet
Processus PO 10 Manage projects (1/3)
Rf. COBIT: Control Objectives for Information and related Technology, ISACA
L'approche d'audit 2. Identification des risques COBIT
Processus
Objectifs business
Objectifs IT
Objectifs de contrles
Mtriques et indicateurs
Processus PO 10 Manage projects (2/3)
r 0 Non-existent
Project management techniques are not used and the
organisation does not consider business impacts associated
with project mismanagement and development project
failures.
r ...
r 5 Optimised
A proven, full life cycle project and programme methodology
is implemented, enforced and integrated into the culture of
the entire organisation. An ongoing initiative to identify and
institutionalise best project management practices has been
implemented. An ...
Rf. COBIT: Control Objectives for Information and related Technology, ISACA
L'approche d'audit 2. Identification des risques COBIT
Processus PO 10 Manage projects (3/3)
Rf. Recommandations lgard des responsables de projet informatique, Contrle Fdrale des Finances)
L'approche d'audit 2. Identification des risques COBIT
3. Identification des contrles
L'approche d'audit
RISQUE
Contrle prventif
Contrle dtectif
Contrle correctif
Systme de contrle interne - SCI
Contrle prventif
r PREVENTIF
Politiques, directives, standards
Formation
Sensibilisation
Sgrgation des tches
Logiciel de contrle d'accs
...
dans le temps,
tape de la procdure,
...
Efficacit
r Habituellement, au minimum 2 contrles pour couvrir
adquatement un risque
L'approche d'audit 3. Identification des contrles
Apprciation des contrles
r Tests de conformit du
contrle
Dtermine si les contrles
internes sont appliqus
dans la manire dcrite
dans la documentations et
en accord avec les
intentions du
management
Teste le processus
L'approche d'audit 3. Identification des contrles
r Tests de validation du
contrle
Confirme l'intgrit du
rsultat sur la base du
fonctionnement rel du
contrle
Teste la valeur
Apprciation des contrles: Tests
processus processus
SYSTEME DE SYSTEME DE
CONTROLE CONTROLE
INTERNE INTERNE
INPUT
OUTPUT
processus processus
SYSTEME DE SYSTEME DE
CONTROLE CONTROLE
INTERNE INTERNE
INPUT
OUTPUT
TESTS DE CONFORMITE TESTS DE VALIDATION
L'approche d'audit 3. Identification des contrles
Niveau de contrle
Contrles Risque
L'approche d'audit 3. Identification des contrles
Communication des rsultats
L'approche d'audit
Comprendre
l'environnement
risques?
controles?
efficaces?
Tests de
conformit
Tests de
validation
Communiquer
Rapporter
non
oui
oui
non
non
oui
Plus de tests
Moins de tests
Communication
Rf. Normes d'Audit Suisse, dition 2004, Chambre fiduciaire suisse
Communication
r Communiquer
Constats et recommandations (importance et priories
r