Norme daudit et dassurance des SI

1202 valuation du risque dans

la planification
Le caractre spcialis de laudit et de lassurance des systmes dinformation (SI) et les comptences requises
pour effectuer ces missions rendent ncessaire la mise en uvre de normes qui sappliquent spcifiquement ces
disciplines. Le dveloppement et la promulgation de normes daudit et dassurance des SI sont des pierres angulaires
de la contribution de lISACA la communaut des auditeurs.
Les normes daudit et dassurance des systmes dinformation (SI) dfinissent les obligations en matire daudit et de
rapports et informent :

Les professionnels de laudit et de lassurance des SI sur le niveau minimum de performances requis pour satisfaire
aux responsabilits stipules dans le Code dthique professionnelle de lISACA

Les dirigeants dentreprise et les autres parties intresses sur les attentes de la profession concernant le travail
des praticiens

Les titulaires de la certification CISA (Certified Information Systems Auditor Auditeur informatique certifi) sur les
exigences de leur charge. Toute incapacit mettre en uvre ces normes peut entraner une enqute sur la conduite
du titulaire de la certification CISA par le Conseil dadministration de lISACA ou tout autre Comit appropri et, en
dfinitive, des actions disciplinaires.
Les professionnels de laudit et de lassurance des SI doivent indiquer dans leur travail, si cela se justifie, que la mission a t excute
conformment aux normes daudit et dassurance SI de lISACA ou dautres normes professionnelles applicables.

La structure ITAF lintention des professionnels de laudit et de lassurance des SI fournit de nombreux
niveaux dassistance :

Normes, divises en trois catgories :

Normes gnrales (srie 1000) Ce sont les principes directeurs selon lesquels fonctionne la profession de laudit et
de lassurance des SI. Elles sappliquent la conduite de toutes les missions et traite de l'thique, de l'indpendance,
de l'objectivit et de l'obligation de diligence des professionnels de laudit et de lassurance des SI, ainsi que de leurs
connaissances, comptences et expertises. Les dclarations de normes (en caractres gras) sont obligatoires.
Normes de performance (srie 1200) Elles traitent de la conduite de la mission, notamment de la planification et
de la supervision, de la dfinition du primtre, du risque et de la matrialit, de la mobilisation des ressources, de
la gestion de la supervision et de la mission, des preuves en matire daudit et dassurance et de lexercice du
jugement professionnel et de la diligence ncessaire
Normes de reporting (srie 1400) Elles traitent des types de rapports, des moyens de communication et des
informations communiques

Directives, qui appuient les normes, galement divises en trois catgories :

Directives gnrales (srie 2000)
Directives relatives lexcution (srie 2200)
Directives relatives au reporting (srie 2400)

Outils et techniques, qui fournissent des informations supplmentaires lintention des professionnels de laudit et de
lassurance des SI, par exemple : livres blancs, programmes daudit et dassurance des SI, la famille de produits
COBIT 5
Un glossaire en ligne des termes utiliss dans lITAF est disponible la page www.isaca.org/glossary.
Exclusion de responsabilit : LISACA a conu ces directives comme le niveau minimum de performances requis pour
satisfaire aux responsabilits stipules dans son Code dthique professionnelle. LISACA ne saurait garantir que lutilisation
de ce produit constitue une assurance de rsultat. La prsente publication ne saurait tre considre comme incluant
lensemble des procdures et tests adapts ou comme excluant dautres procdures et tests susceptibles de conduire
raisonnablement des rsultats similaires. Pour dterminer si une procdure ou un test spcifique est appropri, les
professionnels du contrle doivent en tant que professionnels se faire leur propre opinion en fonction des cas particuliers
de contrle rencontrs dans leurs systmes ou environnement SI spcifique.
Le Comit ISACA de gestion des normes et carrires professionnelles (PSCMC, Professional Standards and Career
Management Committee) sengage consulter largement dans le cadre de la prparation des normes et directives. Avant
dditer ses documents, il publie des projets de documents lchelle internationale pour recueillir les avis du grand public.
Les avis peuvent aussi tre ports lattention du directeur du dveloppement des normes professionnelles par courriel
standards@isaca.org, fax (+1.847. 253.1443) ou par courrier postal (ISACA International Headquarters, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).
ISACA 2012-2013 Professional Standards and Career Management Committee
Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, tats-Unis
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, Royaume-Uni
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, tats-Unis
Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP British American Tobacco IT Services, Malaisie
Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, Nouvelle-Zlande
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japon
Ian Sanderson, CISA, CRISC, FCA NATO, Belgique
Timothy Smith, CISA, CISSP, CPA LPL Financial, tats-Unis
Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentine

Norme daudit et dassurance des SI 1202 - valuation du risque dans la planification

Dclarations
1202.1

La fonction daudit et dassurance des SI doit utiliser une approche dvaluation du

risque et une mthodologie lappui appropries pour laborer le plan gnral
daudit des SI et dfinir les priorits en vue dune allocation efficace des ressources
daudit des SI.

1202.2

Les professionnels de laudit et de lassurance des SI doivent identifier et valuer

les risques pertinents eu gard au domaine examin lors de la planification de
chaque mission.

1202.3

Les professionnels de laudit et de lassurance des SI doivent prendre en

considration le risque li lobjet, le risque daudit et lexposition connexe au
risque de lentreprise.

Principaux
aspects

Lors de la planification dactivits continues, la fonction daudit et dassurance des SI doit :

Effectuer et documenter, au moins une fois par an, une valuation du risque,
afin de faciliter llaboration du plan daudit des SI.
Inclure dans lvaluation du risque les plans et objectifs stratgiques de
lorganisation et le cadre et les initiatives de gestion du risque de lentreprise.
Pour chaque mission daudit et dassurance des SI, quantifier et justifier les
ressources daudit des SI ncessaires pour satisfaire aux exigences de la mission.
Utiliser des valuations du risque dans la slection des domaines et lments
prsentant un intrt pour laudit et les dcisions d'audit afin de concevoir et
dexcuter certaines missions daudit et dassurance des SI.
Solliciter lapprobation de lvaluation du risque auprs des parties prenantes
laudit et autres parties appropries.
tablir des priorits et programmer le travail daudit et dassurance des SI sur la
base des valuations du risque.
partir de lvaluation du risque, laborer un plan qui :
- Constitue un cadre pour les activits daudit et dassurance des SI
- Prenne en considration les exigences et activits extrieures l'audit et
l'assurance des SI
- Soit mis jour au moins une fois par an et approuv par les personnes en
charge de la gouvernance
- Traite des responsabilits dfinies par la Charte daudit
Lors de la planification dune mission donne, les professionnels de laudit et de
lassurance des SI doivent :
Identifier et valuer les risques pertinents pour le domaine examin.
Pour chaque mission, effectuer une valuation prliminaire du risque affrent au
domaine examin. Les objectifs de chaque mission doivent reflter les rsultats
de lvaluation prliminaire du risque.
Lors de ltude des domaines de risque et de la planification dune mission
donne, tudier les audits, revues et conclusions antrieurs, ainsi que les
ventuelles activits correctives. Prendre aussi en considration le processus
dvaluation globale du risque du conseil.
Tenter de rduire le Risque d'audit un niveau acceptable et de raliser les
objectifs daudit par une valuation approprie de lobjet SI et des contrles
correspondants, pendant la planification et l'excution de l'audit des SI.

2013 ISACA

Tous droits rservs.

Norme daudit et dassurance des SI 1202 - valuation du risque dans la planification

Terminologie

Lors de la planification dune procdure daudit SI donne, reconnatre que plus

le seuil de Matrialit est bas, les attentes de laudit sont prcises et le risque
daudit est grand.
Afin de rduire le risque de matrialit accrue, compenser soit en augmentant
les tests des contrles (pour rduire le risque de contrle), soit ou paralllement
en tendant les procdures de Test de corroboration (pour rduire le risque de
non-dtection) pour obtenir des assurances supplmentaires.

Terme

Dfinition

Charte daudit

Un document approuv par les personnes charges de la

gouvernance qui dfinit lobjectif, les pouvoirs et responsabilits
de lactivit daudit interne
La charte doit :
tablir la position de la fonction daudit interne au sein de
lentreprise
Autoriser laccs aux documents, biens personnels et
physiques pertinents pour lexcution des missions daudit et
dassurance des SI
Dfinir la porte des activits de la fonction daudit
Le risque de parvenir une conclusion inexacte sur la base des
rsultats de laudit. Les trois composantes du risque daudit sont :
risque de contrle
risque de non-dtection
risque inhrent
Risque li au domaine examin :
Risque commercial (capacit des clients payer, solvabilit,
facteurs de march, etc.)
Risque contractuel (responsabilit, prix, type, pnalits, etc.)
Risque pays (politique, environnemental, de scurit, etc.)
Risque li au projet (ressources, ensemble de comptences,
mthodologie, stabilit du produit, etc.)
Risque li la technologie (solution, architecture, rseau
dinfrastructure matrielle et logicielle, circuits de diffusion, etc.)

Risque d'audit

Risque li
lobjet de
laudit

Risque de
contrle

Risque
de nondtection

2013 ISACA

Voir risque inhrent.

Le risque dexistence dune erreur significative qui ne serait pas
empche ou dtecte en temps opportun par le systme de
contrle interne.
(Voir risque inhrent.)
Le risque que les procdures de corroboration du professionnel
de laudit ou de lassurance des SI ne dtectent pas une erreur
susceptible dtre importante, seule ou combine dautres
erreurs. Voir risque daudit.

Tous droits rservs.

Norme daudit et dassurance des SI 1202 - valuation du risque dans la planification

Risque
inhrent

Matrialit

valuation du
risque

Le niveau de risque ou lexposition au risque sans tenir compte

des actions entreprises ou susceptibles dtre entreprises par
la direction (ex. mise en uvre de contrles). Voir risque de
non-contrle.
Un concept daudit concernant limportance dun lment
dinformation eu gard son impact ou son effet sur le
fonctionnement de lentit audite. Une expression de la
matrialit dun lment particulier dans le contexte de
lentreprise dans son ensemble
Un processus utilis pour identifier et valuer le risque et ses
effets potentiels
Des valuations du risque sont utilises pour identifier les
lments ou domaines qui prsentent les risques les plus
importants, la plus grande vulnrabilit ou lexposition au risque
la plus marque pour lentreprise, afin de les inclure dans le plan
daudit annuel des SI.

Test de
corroboration

Lien vers les

directives

Date de
prise deffet

2013 ISACA

Des valuations du risque sont galement utilises pour grer

la livraison du projet et le risque davantages du projet.
Obtention dlments probants pour laudit sur lintgrit,
lexactitude ou lexistence dactivits ou transactions pendant
la priode daudit

Type

Titre

Directive

2202 valuation du risque dans la planification

La prsente norme ISACA sappliquera toutes les missions daudit et dassurance

des SI dbutant compter du 1er novembre 2013.

Tous droits rservs.