Processus Audit SI

1. 1. CISALe Processus daudit des SI

2. 2. ObjectifsA la fin de cette leon ,vous serez capable de : Dfinir les risques daudit:
risque inhrent, risque dchec des contrles, risque de non dtection, risque global.
Distinguer les tests de conformit et les test de corroboration. Dfinir les types de
contrle: Prventif, de dtection, de correction Dcrire les types dchantillonnage:
statistique et discrtionnaire. Dcrire les types daudit: financier, oprationnel, SI,
intgr, Investigation lgale Dcrire TAAO, Auto valuation des contrles, Audit
continu. Dcrire les tapes dun audit typique, Approche daudit fonde sur le risque.
3. 3. Dfinitions (Laudit & les Auditeurs) Audit : Evaluation dun systme, dun processus,
dun projet ou dun produit dune organisation. Auditeur : Personne qualifie,
comptente et indpendante fournissant avec objectivit un service daudit dans le but de
rendre un rapport.
4. 4. Deux types dauditeur Interne: Employ dune organisation ayant pour rle danalyser
et dvaluer le systme de contrle interne. Externe : Auditeur provenant dune firme
daudit indpendante de lorganisation audite.
5. 5. Qualifications de lauditeur : Indpendance professionnelle Indpendance
organisationnelle Adhsion un code professionnel dthique Dtient les
comptences et aptitudes ncessaires pour lexcution de laudit Maintient ses
connaissances techniques jour (CPE)
6. 6. Dfinition : Audit SI / IT Analyse partielle ou exhaustive du fonctionnement dun centre
de traitement et de son environnement Dbouche sur un diagnostic prcisant
ladquation des ressources matrielles et humaines aux besoins de lentreprise
ladquation des rsultats obtenus en regard des moyens engags ladquation des
moyens en regard de la lgislation
7. 7. Charte daudit Le rle de la fonction daudit des SI est tabli par la Charte dAudit.
Laudit SI peut faire partie de laudit interne en tant que groupe indpendant ou intgr
laudit financier et oprationnel. La charte daudit doit noncer clairement: Les
objectifs et les responsabilits de la direction pour la fonction daudit des SI. La
dlgation de pouvoir de la direction la fonction daudit. Lautorit, la porte et les
responsabilits globales de la fonction daudit. Lorganisation de la fonction daudit
8. 8. Planning daudit Court terme : Gnralement dans un an. Long terme : Plus dun an
(5, 10, 15, )Analyser les enjeux court et long termes: Les changement dans
lenvironnement affectant le niveau de risque; Lvolution des technologies et des
processus administratifs; Lamlioration des mthodes dvaluation; Nouvelles
rglementations applicables.
9. 9. Planning daudit (Exemple) Domaine Priode Date dernier Responsabilit auditer
audit Procdures et Q1 Jamais Auditeur Interne politiquedenregistrement Plan de Q2
2005 DSI, Consultant continuit Scurit FERPA : Q3 Jamais Auditeur Interne Interview
du personnel IT : Test de Q4 2006 DSI, Consultant pntration Scurit
10. 10. Etapes de planification dun audit. 1- Acqurir la comprhension de la mission. 2-
Raliser une analyse des risques 3- Etablir la porte et les objectifs daudit 4-
concevoir lapproche ou la stratgie daudit 5- Affecter les ressources aux tches
daudit; 6- Prvoir la logistique du mandat
11. 11. Acqurir la comprhension de la mission Lire les documents de rfrence tels que
les publications de lindustrie, les rapports annuels et les rapports danalyse financires;
Etudier les rapports daudit antrieurs ou les rapports concernant les TI; Consulter les
plans stratgiques long termes relatifs au TI et aux activits de lorganisation; Discuter
avec les responsables cls pour comprendre les enjeux commerciaux; Dterminer les
rgles spcifiques applicables aux TI; Dterminer les fonctions des TI ou des activits
qui y sont lies et qui ont t imparties; Visiter les installations importantes de
lorganisation.
12. 12. Analyse des risques (Df.) Risque : La possibilit quune menace donnes exploite
la vulnrabilit dun actif ou dun groupe dactifs et cause ainsi un prjudice
lorganisation (ISO/IEC PDTR 13335-1). Analyse de Risque : Technique didentification
et dvaluation des facteurs susceptible de compromettre un processus ou un objectif.
LAR = Evaluation -> Attnuation -> R valuation.
13. 13. AR Evaluer les contre-mesures Analyse cot / bnfices : Choisir les mthodes de
gestion des risques adquates en se basant sur : Le cot de la mesure de contrle en
comparaison au degr de rduction du risque; La propension de la haute direction au
risque Les mthodes de rduction du risque privilgies
14. 14. Analyse des Risques (Objectifs) Permet de reprer les risques et les menaces pour
un environnement SI et les contrles internes. Aide valuer les mesures de contrle
lors de la planification de laudit. Aide dterminer les objectifs de laudit; Aide
prendre les dcisions en rapport avec laudit fond sur le risque. Permet dimplmenter
les meilleures mesures de contrle interne
15. 15. Contrle Interne Structures organisationnelles, politiques, procdures et pratiques
implmentes pour rduire les risques. Donne la direction une assurance raisonnable
que les objectifs seront atteints et que le risque sera vit ou dtect et corrig.
Permettent non seulement datteindre les objectifs de lorganisation, mais traitent
galement les vnements indsirables par la prvention, la dtection et la correction.
Classifis prventifs, dtection et correction.
16. 16. Contrle Interne (COSO)processus intgr mis en uvre par les responsables etle
personnel dune organisation et destin traiter lesrisques et fournir une assurance
raisonnable quant laralisation, dans le cadre de la mission de lorganisation,des
objectifs de lentreprise. ralisation et optimisation des oprations (optimisation des
ressources de lentreprise, fiabilit des informations financires) respect des obligations
de rendre compte; conformit aux lois et rglementations en vigueur; protection des
ressources contre les pertes, les mauvais usages et les dommages.
17. 17. Contrle prventif Dtecte les problmes avant quils ne surviennent Surveille les
activits et les entres Tenter de prdire les problmes potentiels avant quils ne
surviennent et effectuer les ajustements. Prvenir les erreurs, les omissions ou les
actes malveillants
18. 18. Contrle de dtection Dtecte et rapporte toute occurrence derreur, omission ou
acte malveillant.
19. 19. Contrle de Correction Minimiser limpact dune menace Remdier aux problmes
dcouverts par les contrles de dtection Identifier les causes des problmes Corriger
les erreurs causes par un problme Modifier les systmes de traitement pour
minimiser les occurrences futures des problmes
20. 20. Contrle internes (Objectifs) La sauvegarde des actifs informationnels Lintgrit
de lenvironnement des SI Lidentification et lauthentification appropri de lutilisateur
dune ressource SI Lefficacit et lefficience des opration lis au SI La disponibilit
des services SI Lamlioration de la protection des donnes et des systmes
Lassurance de lintgrit et de la fiabilit des systmes par limplmentation des
procdures de gestion du changement efficaces.
21. 21. Classification des Audits Financier : Evaluation de lexactitude des tats financiers
dune organisation. Oprationnel : Evaluation de la structure de contrle interne dun
processus ou dun domaine donn. Intgr : Combine les tapes des audits financiers
et oprationnels. Administratif : Evaluation des enjeux lis lefficacit de la productivit
oprationnelle au sein dune organisation.
22. 22. Classification des Audits (Suite) SI : Evaluation des preuves afin de dterminer si les
SI et les ressources lies protgent adquatement les actifs informationnel dune
organisation. Spcialiss : Audit SI de conformit li un service externe ou un
standard. Investigation lgale : Audit spcialis dans la dcouverte, la divulgation et le
suivi des fraudes et des crimes.
23. 23. Etapes dun Audit Typique 1- Sujet daudit 2- Objectif de laudit 3- Porte de
laudit 4- Planification avant Audit 5- Procdures daudit et de collecte de donnes 6-
Procdures dvaluation des tests ou des rsultats dexamen 7- Procdures de
communication avec la direction 8- Prparation du rapport daudit
24. 24. Risque daudit Se dfinit comme le risque que les renseignements puissent contenir
une erreur importante qui pourrait ne pas tre dtecte lors de la vrification. Risque
inhrent Risque dchec des contrles Risque de non dtection Risque global
25. 25. Dmarche daudit ax sur le risque 1- Recueillir les renseignements et planifier 2-
Comprendre les contrles internes 3- Effectuer les tests de conformit 4- Effectuer les
test de corroboration 5- Conclure laudit
26. 26. Test de conformit # Test de corroboration Les test de conformit consistent
recueillir des preuves dans le but de tester la conformit dune organisation avec les
procdures de contrle. Les tests de conformit dtermine si les contrles sont
appliqus dune faon qui respecte les procdures et les politiques de la direction.
Lobjectifs est de fournir lauditeur des SI lassurance raisonnable que le contrle
particulier sur lequel il entend se fier fonctionne comme il lavait observ lors de
lvaluation prliminaire.
27. 27. Test de conformit vs Test de corroboration Les tests de corroboration consistent
recueillir les preuves pour valuer lintgrit des transactions individuelles, de donnes ou
dautres renseignements. Les tests de corroboration fournissent des preuves de la
validit et de lintgrit des soldes dans les tats financiers et des transactions lappui
de ces soldes.
28. 28. Preuve Renseignements utilis par lauditeur pour dterminer si lentit ou les
donnes vrifis respectent les critres ou les objectifs tablis. La preuve peut
comprendre les observations de lauditeur, les notes prises lors des entretiens, du
matriel tir de la correspondance, de la documentation interne ou des contrats avec les
partenaires externes, ou les rsultats des procds de vrification.
29. 29. Critres de fiabilit de la preuve Indpendance du fournisseur de la preuve Titre et
qualit du fournisseur de la preuve Objectivit de la preuve Echancier de la preuve
30. 30. Techniques de collecte de preuves Observations (Organisation, Personnel,
Procd) Revue des politiques, procdures et standards Documentation SI Entretien
avec le personnel comptents Utilisation dautres auditeurs ou experts
Echantillonnage (statistiques / discrtionnaires) Techniques daudit assistes par
ordinateur
31. 31. Echantillonnage Statistique : Utilisation dune mthode objective pour dterminer la
taille de lchantillon et les critres de slection. Discrtionnaire : Utilisation du jugement
(apprciation) de lauditeur pour dterminer la mthode dchantillonnage, la taille de
lchantillon et les critres de slection.
32. 32. TAAO Les TAAO sont des outils important pour recueillir et analyser les
renseignements des systmes possdant des environnements matriels et logiciels, des
structures de donnes, des structures denregistrement ou des fonctions de traitement qui
sont diffrentes. Ils fournissent un moyen daccder aux donnes et de les analyser au
regard dun objectif daudit prdtermin, et de faire rapport des constatations de laudit
en mettant laccent sur la fiabilit des enregistrements produits et grs par le systme.
La fiabilit de la source dinformation utilise permet de rassurer quant aux constatations
nonces.
33. 33. Avantage des TAAO Rduit le niveau du risque daudit Accroit lindpendance des
audits Rapide disponibilit de linformation Opportunit de quantifi les faiblesses
dun systme de CI Rduction des cots lis au temps
34. 34. TAAO (documents conserver) Rapport en ligne qui dtaillent les questions haut
risque examiner Listages de programmes comments Organigrammes Rapports
chantillons Disposition denregistrement et les descriptions de fichiers Dfinition des
champs Instruction dutilisation Description des documents sources applicables
35. 35. Auto valuation des contrles Technique de gestion qui informe les actionnaires,
clients et autres parties quant la fiabilit du systme de contrle interne de
lorganisation. Mthodologie utilise pour rviser les objectifs cls de lentreprise, les
risques lis latteinte des objectifs de lentreprise et les CI conus pour grer ces
risques. Ensemble doutils dont le degr de sophistication va du simple questionnaire
aux ateliers dirigs.
36. 36. Avantages de lAEC Dtection prcoces des risques Amlioration de lefficacit
des CI Cration de la cohsion des quipes grce la participation des employs
Dveloppement, chez les employs et les propritaires des contrles, dun sentiment
dappartenance relativement ces contrles et diminution des leur rsistance face aux
changement Rduction des cots du contrle Garantie donne aux actionnaires et aux
clients quant la fiabilit. ..
37. 37. Inconvnients de lAEC Peut tre perue comme le remplacement dune fonction
daudit. Peut tre perue comme une charge de travail. En cas de lchec des
amliorations suggres, peut nuire au moral des employs. Le manque de motivation
peut nuire la dtection des contrles insuffisants.
38. 38. Audit continu Mthode qui permet aux auditeurs indpendants de donner par crit
une assurance propos dun sujet laide dun ensemble de rapports daudits produits
en mme temps ou peu aprs lvnement relatif au sujet. Le but est de fournir une
plate-forme plus scuritaires pour viter les fraudes et un processus en temps rel qui
garantit un niveau lev de contrle financier
39. 39. Communication des rsultats daudit Discuter des conclusions et des
recommandations avec la direction lors de lentrevue finale. La prsentation peut tre un
rsum ou une prsentation visuelle. Discuter avec le personnel de gestion de
lorganisation afin darriver un accord au sujet des conclusions et dlaborer un plan
dactions correctives. Le rapport daudit na pas de format prcis Doit suggrer ds
chanciers pour la mise en uvre des recommandations acceptes.
40. 40. Question type examen Une distinction qui peut tre faite entre un test de conformit
et un test de valeur est : A. Les tests de conformits portent sur les dtails alors que les
tests de valeurs portent sur les procdures. B. Les tests de conformit portent sur les
contrles alors que les tests de valeur portent sur les dtails C. Les tests de conformits
portent sur les plans alors que les tests de valeur portent sur les procdures D. Les
tests de conformit portent sur les exigences rglementaires alors que les tests de valeur
portent sur les tests de validation.
41. 41. Question type examen Une distinction importante quun auditeur informatique doit
faire en valuant et en classant les contrles en contrles de types prventif, de
dtection, correctif est : A. Lendroit o lon applique les contrles sur les donnes en
circulation dans le systme. B. Seuls les contrles de prvention et de dtection
prsentent un intrt. C. Les contrles correctifs ne sont que des contrles
compensatoires. D. Une classification permet un auditeur informatique de dterminer
les contrles manquants.
42. 42. Question type examen Le bnfice principal pour une organisation qui utilise des
techniques dauto valuation des contrles rsulte de ce quelle : A. Peut identifier les
zones risques levs qui pourrait ncessiter ultrieurement une revue dtaille. B.
Permet aux auditeurs informatiques dvaluer les risques de faon indpendante. C.
Peut tre utilise pour remplacer les audits traditionnels. D. Permet la direction
dabandonner sa responsabilit en ce qui concerne les contrles.
43. 43. Question type examen Lequeldes lments suivants constitue une autorisation
dentreprendre un audit des SI? A. La dlimitation de laudit, y compris ses buts et
objectifs. B. Une requte deffectuer un audit de la part de la direction. C. La charte
daudit approuve. D. Lchancier daudit approuv.
44. 44. Question type examen Dans lexcution dun audit en fonction du risque, quelle
valuation des risques est dabord complte par lauditeur des SI? A. Lvaluation des
risques de non-dtection B. Lvaluation des risques dchec des contrles C.
Lvaluation des risques inhrents D. Lvaluation des risques de fraude
45. 45. Question type examen Dans llaboration dun programme daudit ax sur le risque,
sur lequel des lments suivants un auditeur des SI porterait-il probablement le PLUS
son attention ? A. Les processus dentreprise B. Les applications essentielles des TI
C. Les contrles oprationnels D. Les stratgies dentreprise
46. 46. Question type examen Lequel des types de risques daudit suivants prsume une
absence de contrle compensatoire dans le domaine examin ? A. Risque dchec des
contrles B. Risque de non dtection C. Risque inhrent D. Risque
dchantillonnage
47. 47. Question type examen Un auditeur des SI effectuant un examen des contrles dune
application dcouvre une faiblesse dans les logiciels systmes qui pourrait avoir une
incidence importante sur lapplication. Lauditeur des SI doit : A. ne pas tenir compte de
ces faiblesses, puisque lexamen des logiciels systmes dpasse la porte de cet
 examen. B. mener un examen dtaill des logiciels systmes et faire tat des faiblesses
de contrle. C. inclure dans le rapport une dclaration que la vrification se limitait
lexamen des contrles de lapplication. D. examiner les contrles des logiciels
systmes, ceux-ci tant pertinents, et recommander un examen dtaill des logiciels
systmes.
48. 48. Question type examen Parmi les raisons suivantes, laquelle est la PLUS importante
raison de revoir le processus de planification daudit des intervalles priodiques ? A.
Pouvoir planifier le dploiement des ressources daudit disponibles. B. Pouvoir tenir
compte des changements lenvironnement de risque. C. Pouvoir alimenter la
documentation de la charte daudit. D. Pouvoir cerner les normes daudit des SI
applicables.
49. 49. Question type examen Lequel des lments suivants est le PLUS efficace pour
mettre en uvre un systme dautovaluation des contrles au sein des entits ? A.
Revues informelles avec les pairs B. Ateliers dirigs C. Diagrammes descriptifs du flot
de traitement D. Diagrammes de flot de donnes
50. 50. Question type examen La PREMIERE tape de planification dun audit est de : A.
dfinir les livrables de laudit B. Finaliser la porte et les objectifs de laudit C. acqurir
une comprhension des objectifs de lentreprise D. concevoir lapproche pour laudit ou
la stratgie daudit.
51. 51. Question type examen Lapproche que doit utiliser un auditeur des SI pour planifier
la couverture de laudit des SI doit se baser sur : A. le risque B. limportance relative
C. le scepticisme professionnel D. le caractre suffisant des lments probants de
laudit
52. 52. Question type examen Une entreprise effectue une copie de sauvegarde
quotidienne des donnes critiques et des logiciels, et entrepose cette copie dans une
installation externe. La copie de sauvegarde est utilise pour restaurer les fichiers en cas
dinterruption. Il sagit de : A. Un contrle prventif B. Un contrle de gestion C. Un
contrle correctif D. Un contrle de dtection
53. 53. Question type examenThe PRIMARY purpose of generalized audit software (GAS) is
to:1. Find fraudulent transactions2. Determine sample mean compared to population
mean3. Extract data for a Substantive Test4. Organize an audit report
54. 54. Question type examenA Compensating Control is defined as1. Two strong controls
address the same fault2. A fault is addressed by a weak control and strong control in
another area3. A control addresses a specific problem4. A control that fixes the problem
after it is detected
55. 55. Question type examenAn IS auditor should plan their audit approach based upon:1.
Materiality2. Management recommendations3. ISACA recommendations4. Risk
56. 56. Question type examenA Hash Total is maintained on each batch file to ensure no
transactions are lost. This is an example of a1. Preventive Control2. Detective Control3.
Compensating Control4. Corrective Control
57. 57. Question type examenThe FIRST step that an auditor should take is:1. Prepare the
Audit Objectives and Scope2. Learn about the organization3. Study ISACA audit
recommendations for the functional area4. Perform a risk assessment
58. 58. Question type examenAn audit that considers how financial information is generated
from both a business process and IS handling side is known as:1. Financial audit2.
Operational audit3. Administrative audit4. Integrated audit
59. 59. Question type examenAn auditor over-tests (tests a greater percent than actually
exist) samples that are expected to be most risky1. Variable Sampling2. Attribute
Sampling3. Statistical Sampling4. Non-statistical Sampling
60. 60. Question type examenThe possibility that a router does not catch spoofed IP
addresses is known as a1. Inherent risk2. Control risk3. Detection risk4. External risk
61. 61. Question type examenTesting a firewall to ensure that it only permits web traffic into
the DMZ is known as1. Compliance Test2. Substantive Test3. Detection Test4. Preventive
Test
62. 62. Question type examenAn inherent risk for a school would be:1. Students trying to
hack into the system to change grades2. A firewall does not catch spoofed IP addresses3.
An audit does not find fraud which actually exists4. People do not change their passwords
regularly
63. 63. Remerciements Pour IBT ( Institute of Business and Technologies) BP: 15441
Douala - Cameroun Par Arsne Edmond NGATO, CISA, CISM, PMP, OCP 10g/11g
Tlphone- 99183886 Email- arsenengato@yahoo.fr Sources : Manuel de prparation
CISA 2012, Divers articles tlchargs sur Internet.