Académique Documents
Professionnel Documents
Culture Documents
11/05/07
9:58
Page 4
Dossier : Audit
Jos Bouaniche
CISA, CIA, CISSP
Utilitaires standards
Logiciels de gestion
des changements
Laudit continu,
essai de dfinition
La Revue / Mai 07
(04)
11/05/07
9:58
Page 5
SNAPSHOT
Consiste prendre des images tout au long du "chemin de traitement" (processing path) suivi par une transaction. On enregistre les volutions de donnes
slectionnes, pour une rvision ultrieure pratique par l'auditeur.
AUDIT HOOKS
Cette technique consiste introduire des entits fictives dans les fichiers
de production. L'auditeur peut demander au systme de travailler soit avec
les programmes de production, soit avec les programmes de test, afin que
les programmes mettent jour les entits fictives.
Le systme dclenche une simulation d'excution d'instructions de l'application, afin de s'assurer de la fiabilit de la transaction. Le dclenchement est
fait sur certains critres prdtermins (montant ou autre). Sinon le simulateur
attend jusqu' la prochaine transaction qui prsentera les critres voulus.
3. Continuous auditing is "a process or methodology that enables independant auditors to provide written assurance on a subject matter using
a series of auditors' reports issued simutaneously
with, or a short period after, the occurence of
events underlying the subject matter". C'est cette
mme dfinition que l'on retrouve dans un travail
de recherche de 1999 du CICA (Canadian Institute
of Chartered Accountants) selon Sean Chen in
Continuous auditing : risks, challenges and
opportunities The international journal of management and technology, Volume 1, Number 1,
2003.
11/05/07
9:58
Page 6
Risque inhrent
(inherent risk)
Risque de contrle
(control risk)
Risque de non
Risque quun auditeur utilise une procdure de test
dtection (detection inadquate et conclue quil ny a pas derreur alors
risk)
quen ralit il y en a.
Par exemple, le risque de non dtection de failles
de scurit dans un systme d'information doit tre
considr comme lev car lexhaustivit en ce
domaine peut difficilement tre atteinte.
l'oppos, le risque de non dtection li l'absence
de plan de secours informatique est gnralement
bas car la documentation de ces plans existe ou
n'existe pas, ce qui peut tre trs facilement vrifi.
S3
Professional ethic
& standards
Audit materiality
>
>
S12
<>
S14
Risque daudit
(overall audit risk)
Audit Evidence
Ainsi :
lusage doutils informatiques
passe pralablement par la comprhension des thories sous-jacentes
leur usage ;
lutilisation de tout outil pendant
Notes :
11/05/07
9:58
Page 7
quil suffit de citer la source des donnes dans le rapport afin de satisfaire
aux normes pour ce qui est de
lexactitude et de lexhaustivit.
Bien sr, il aura d'abord fallu s'interroger sur les donnes obtenir,
en travaillant sur la qualit de la
preuve11.
Notes :
11
. Voir par exemple getting the most from duplicate-payment audits de Richard Lanza in
www.itaudit.org, volume 5, March 1, 2002, et, pour approfondir, evidence-gathering techniques June
1994 Office of the Auditor General of Canada.
La Revue / Mai 07
(07)
11/05/07
9:58
Page 8
elles (quel est leur sens), couvrentelles nos besoins daudit, sont-elles
fiables et utilisables ?
Enfin, plus le logiciel est complexe,
plus il faudra de temps de formation
et dexprience avant de pouvoir en
tirer un ventuel bnfice. Pour ce
faire, le service daudit doit tre sr
de pouvoir utiliser ses logiciels
daudit sur la plupart des missions
afin de pouvoir dvelopper lexprience des auditeurs pour leur utilisation judicieuse.
Privilgier l'existant et les logiciels
libres. Dans le numro d'aot 2004
d'Internal Auditor, l'article13 consacr
lenqute annuelle sur les outils
daudit prconise d'abord de voir
si les logiciels en place dans
les services oprationnels ou de
contrle de gestion (par exemple)
ne peuvent pas tre rutiliss par
l'audit (IDEA, SQL14, SAS et les outils
bureautiques comme ACCESS ou
EXCEL en sont des exemples).
Cet article souligne aussi la qualit
professionnelle des logiciels libres
et prconise aux auditeurs en
qute dun outil de regarder vers
les logiciels libres AVANT denvisager une solution commerciale.
Par exemple, il propose de balayer
Internet pour voir si des logiciels
libres ou gratuits ne sont pas disponibles pour remplir les fonctions
attendues, plutt que de se prcipiter
sur des offres commerciales. Ceci
est particulirement vrai pour tout
ce qui concerne les audits informatiques et notamment de scurit15.
Notes :
12
14
15
11/05/07
9:58
En conclusion :
de nombreuses solutions
soffrent lauditeur
Page 9
Notes :
16
20
21. Voir lutilisation d'EXCEL pour optimiser les tests de contrle guids
par les risques dans optimizing controls to test as part of a risk based
audit strategy par Mukul Paarek in ISACA Control Journal volume 2, 2006.
18. Data mining and the auditor's responsability par Bob Denker in
23. Voir Assessing Data Authenticity with Benford's Law par Bassam
Hasan, in ISACA Control Journal volume 6, 2002, ou encore la suite d'articles
de Mark J. Negrini Digital Analysis: a computer-assisted data analysis
technology for internal auditors parus sur le site www.ITaudit.org.
ISACA InfoBytes.
19. Managing data integrity and accuracy effectively : the case for data
nuously monitor exceptions qui prsente la technique danalyse de rgression, ainsi que son application sur EXCEL.
analysis software par Rich Lobb in ISACA Control Journal volume 5, 2001, ou
encore general audit software: effective and efficient tool for today's IT audits
par Tommy Singleton in ISACA Control Journal volume 2, 2006.
La Revue / Mai 07
(09)