2. 2. ObjectifsA la fin de cette leon ,vous serez capable de : Dfinir les risques daudit: risque inhrent, risque dchec des contrles, risque de non dtection, risque global. Distinguer les tests de conformit et les test de corroboration. Dfinir les types de contrle: Prventif, de dtection, de correction Dcrire les types dchantillonnage: statistique et discrtionnaire. Dcrire les types daudit: financier, oprationnel, SI, intgr, Investigation lgale Dcrire TAAO, Auto valuation des contrles, Audit continu. Dcrire les tapes dun audit typique, Approche daudit fonde sur le risque. 3. 3. Dfinitions (Laudit & les Auditeurs) Audit : Evaluation dun systme, dun processus, dun projet ou dun produit dune organisation. Auditeur : Personne qualifie, comptente et indpendante fournissant avec objectivit un service daudit dans le but de rendre un rapport. 4. 4. Deux types dauditeur Interne: Employ dune organisation ayant pour rle danalyser et dvaluer le systme de contrle interne. Externe : Auditeur provenant dune firme daudit indpendante de lorganisation audite. 5. 5. Qualifications de lauditeur : Indpendance professionnelle Indpendance organisationnelle Adhsion un code professionnel dthique Dtient les comptences et aptitudes ncessaires pour lexcution de laudit Maintient ses connaissances techniques jour (CPE) 6. 6. Dfinition : Audit SI / IT Analyse partielle ou exhaustive du fonctionnement dun centre de traitement et de son environnement Dbouche sur un diagnostic prcisant ladquation des ressources matrielles et humaines aux besoins de lentreprise ladquation des rsultats obtenus en regard des moyens engags ladquation des moyens en regard de la lgislation 7. 7. Charte daudit Le rle de la fonction daudit des SI est tabli par la Charte dAudit. Laudit SI peut faire partie de laudit interne en tant que groupe indpendant ou intgr laudit financier et oprationnel. La charte daudit doit noncer clairement: Les objectifs et les responsabilits de la direction pour la fonction daudit des SI. La dlgation de pouvoir de la direction la fonction daudit. Lautorit, la porte et les responsabilits globales de la fonction daudit. Lorganisation de la fonction daudit 8. 8. Planning daudit Court terme : Gnralement dans un an. Long terme : Plus dun an (5, 10, 15, )Analyser les enjeux court et long termes: Les changement dans lenvironnement affectant le niveau de risque; Lvolution des technologies et des processus administratifs; Lamlioration des mthodes dvaluation; Nouvelles rglementations applicables. 9. 9. Planning daudit (Exemple) Domaine Priode Date dernier Responsabilit auditer audit Procdures et Q1 Jamais Auditeur Interne politiquedenregistrement Plan de Q2 2005 DSI, Consultant continuit Scurit FERPA : Q3 Jamais Auditeur Interne Interview du personnel IT : Test de Q4 2006 DSI, Consultant pntration Scurit 10. 10. Etapes de planification dun audit. 1- Acqurir la comprhension de la mission. 2- Raliser une analyse des risques 3- Etablir la porte et les objectifs daudit 4- concevoir lapproche ou la stratgie daudit 5- Affecter les ressources aux tches daudit; 6- Prvoir la logistique du mandat 11. 11. Acqurir la comprhension de la mission Lire les documents de rfrence tels que les publications de lindustrie, les rapports annuels et les rapports danalyse financires; Etudier les rapports daudit antrieurs ou les rapports concernant les TI; Consulter les plans stratgiques long termes relatifs au TI et aux activits de lorganisation; Discuter avec les responsables cls pour comprendre les enjeux commerciaux; Dterminer les rgles spcifiques applicables aux TI; Dterminer les fonctions des TI ou des activits qui y sont lies et qui ont t imparties; Visiter les installations importantes de lorganisation. 12. 12. Analyse des risques (Df.) Risque : La possibilit quune menace donnes exploite la vulnrabilit dun actif ou dun groupe dactifs et cause ainsi un prjudice lorganisation (ISO/IEC PDTR 13335-1). Analyse de Risque : Technique didentification et dvaluation des facteurs susceptible de compromettre un processus ou un objectif. LAR = Evaluation -> Attnuation -> R valuation. 13. 13. AR Evaluer les contre-mesures Analyse cot / bnfices : Choisir les mthodes de gestion des risques adquates en se basant sur : Le cot de la mesure de contrle en comparaison au degr de rduction du risque; La propension de la haute direction au risque Les mthodes de rduction du risque privilgies 14. 14. Analyse des Risques (Objectifs) Permet de reprer les risques et les menaces pour un environnement SI et les contrles internes. Aide valuer les mesures de contrle lors de la planification de laudit. Aide dterminer les objectifs de laudit; Aide prendre les dcisions en rapport avec laudit fond sur le risque. Permet dimplmenter les meilleures mesures de contrle interne 15. 15. Contrle Interne Structures organisationnelles, politiques, procdures et pratiques implmentes pour rduire les risques. Donne la direction une assurance raisonnable que les objectifs seront atteints et que le risque sera vit ou dtect et corrig. Permettent non seulement datteindre les objectifs de lorganisation, mais traitent galement les vnements indsirables par la prvention, la dtection et la correction. Classifis prventifs, dtection et correction. 16. 16. Contrle Interne (COSO)processus intgr mis en uvre par les responsables etle personnel dune organisation et destin traiter lesrisques et fournir une assurance raisonnable quant laralisation, dans le cadre de la mission de lorganisation,des objectifs de lentreprise. ralisation et optimisation des oprations (optimisation des ressources de lentreprise, fiabilit des informations financires) respect des obligations de rendre compte; conformit aux lois et rglementations en vigueur; protection des ressources contre les pertes, les mauvais usages et les dommages. 17. 17. Contrle prventif Dtecte les problmes avant quils ne surviennent Surveille les activits et les entres Tenter de prdire les problmes potentiels avant quils ne surviennent et effectuer les ajustements. Prvenir les erreurs, les omissions ou les actes malveillants 18. 18. Contrle de dtection Dtecte et rapporte toute occurrence derreur, omission ou acte malveillant. 19. 19. Contrle de Correction Minimiser limpact dune menace Remdier aux problmes dcouverts par les contrles de dtection Identifier les causes des problmes Corriger les erreurs causes par un problme Modifier les systmes de traitement pour minimiser les occurrences futures des problmes 20. 20. Contrle internes (Objectifs) La sauvegarde des actifs informationnels Lintgrit de lenvironnement des SI Lidentification et lauthentification appropri de lutilisateur dune ressource SI Lefficacit et lefficience des opration lis au SI La disponibilit des services SI Lamlioration de la protection des donnes et des systmes Lassurance de lintgrit et de la fiabilit des systmes par limplmentation des procdures de gestion du changement efficaces. 21. 21. Classification des Audits Financier : Evaluation de lexactitude des tats financiers dune organisation. Oprationnel : Evaluation de la structure de contrle interne dun processus ou dun domaine donn. Intgr : Combine les tapes des audits financiers et oprationnels. Administratif : Evaluation des enjeux lis lefficacit de la productivit oprationnelle au sein dune organisation. 22. 22. Classification des Audits (Suite) SI : Evaluation des preuves afin de dterminer si les SI et les ressources lies protgent adquatement les actifs informationnel dune organisation. Spcialiss : Audit SI de conformit li un service externe ou un standard. Investigation lgale : Audit spcialis dans la dcouverte, la divulgation et le suivi des fraudes et des crimes. 23. 23. Etapes dun Audit Typique 1- Sujet daudit 2- Objectif de laudit 3- Porte de laudit 4- Planification avant Audit 5- Procdures daudit et de collecte de donnes 6- Procdures dvaluation des tests ou des rsultats dexamen 7- Procdures de communication avec la direction 8- Prparation du rapport daudit 24. 24. Risque daudit Se dfinit comme le risque que les renseignements puissent contenir une erreur importante qui pourrait ne pas tre dtecte lors de la vrification. Risque inhrent Risque dchec des contrles Risque de non dtection Risque global 25. 25. Dmarche daudit ax sur le risque 1- Recueillir les renseignements et planifier 2- Comprendre les contrles internes 3- Effectuer les tests de conformit 4- Effectuer les test de corroboration 5- Conclure laudit 26. 26. Test de conformit # Test de corroboration Les test de conformit consistent recueillir des preuves dans le but de tester la conformit dune organisation avec les procdures de contrle. Les tests de conformit dtermine si les contrles sont appliqus dune faon qui respecte les procdures et les politiques de la direction. Lobjectifs est de fournir lauditeur des SI lassurance raisonnable que le contrle particulier sur lequel il entend se fier fonctionne comme il lavait observ lors de lvaluation prliminaire. 27. 27. Test de conformit vs Test de corroboration Les tests de corroboration consistent recueillir les preuves pour valuer lintgrit des transactions individuelles, de donnes ou dautres renseignements. Les tests de corroboration fournissent des preuves de la validit et de lintgrit des soldes dans les tats financiers et des transactions lappui de ces soldes. 28. 28. Preuve Renseignements utilis par lauditeur pour dterminer si lentit ou les donnes vrifis respectent les critres ou les objectifs tablis. La preuve peut comprendre les observations de lauditeur, les notes prises lors des entretiens, du matriel tir de la correspondance, de la documentation interne ou des contrats avec les partenaires externes, ou les rsultats des procds de vrification. 29. 29. Critres de fiabilit de la preuve Indpendance du fournisseur de la preuve Titre et qualit du fournisseur de la preuve Objectivit de la preuve Echancier de la preuve 30. 30. Techniques de collecte de preuves Observations (Organisation, Personnel, Procd) Revue des politiques, procdures et standards Documentation SI Entretien avec le personnel comptents Utilisation dautres auditeurs ou experts Echantillonnage (statistiques / discrtionnaires) Techniques daudit assistes par ordinateur 31. 31. Echantillonnage Statistique : Utilisation dune mthode objective pour dterminer la taille de lchantillon et les critres de slection. Discrtionnaire : Utilisation du jugement (apprciation) de lauditeur pour dterminer la mthode dchantillonnage, la taille de lchantillon et les critres de slection. 32. 32. TAAO Les TAAO sont des outils important pour recueillir et analyser les renseignements des systmes possdant des environnements matriels et logiciels, des structures de donnes, des structures denregistrement ou des fonctions de traitement qui sont diffrentes. Ils fournissent un moyen daccder aux donnes et de les analyser au regard dun objectif daudit prdtermin, et de faire rapport des constatations de laudit en mettant laccent sur la fiabilit des enregistrements produits et grs par le systme. La fiabilit de la source dinformation utilise permet de rassurer quant aux constatations nonces. 33. 33. Avantage des TAAO Rduit le niveau du risque daudit Accroit lindpendance des audits Rapide disponibilit de linformation Opportunit de quantifi les faiblesses dun systme de CI Rduction des cots lis au temps 34. 34. TAAO (documents conserver) Rapport en ligne qui dtaillent les questions haut risque examiner Listages de programmes comments Organigrammes Rapports chantillons Disposition denregistrement et les descriptions de fichiers Dfinition des champs Instruction dutilisation Description des documents sources applicables 35. 35. Auto valuation des contrles Technique de gestion qui informe les actionnaires, clients et autres parties quant la fiabilit du systme de contrle interne de lorganisation. Mthodologie utilise pour rviser les objectifs cls de lentreprise, les risques lis latteinte des objectifs de lentreprise et les CI conus pour grer ces risques. Ensemble doutils dont le degr de sophistication va du simple questionnaire aux ateliers dirigs. 36. 36. Avantages de lAEC Dtection prcoces des risques Amlioration de lefficacit des CI Cration de la cohsion des quipes grce la participation des employs Dveloppement, chez les employs et les propritaires des contrles, dun sentiment dappartenance relativement ces contrles et diminution des leur rsistance face aux changement Rduction des cots du contrle Garantie donne aux actionnaires et aux clients quant la fiabilit. .. 37. 37. Inconvnients de lAEC Peut tre perue comme le remplacement dune fonction daudit. Peut tre perue comme une charge de travail. En cas de lchec des amliorations suggres, peut nuire au moral des employs. Le manque de motivation peut nuire la dtection des contrles insuffisants. 38. 38. Audit continu Mthode qui permet aux auditeurs indpendants de donner par crit une assurance propos dun sujet laide dun ensemble de rapports daudits produits en mme temps ou peu aprs lvnement relatif au sujet. Le but est de fournir une plate-forme plus scuritaires pour viter les fraudes et un processus en temps rel qui garantit un niveau lev de contrle financier 39. 39. Communication des rsultats daudit Discuter des conclusions et des recommandations avec la direction lors de lentrevue finale. La prsentation peut tre un rsum ou une prsentation visuelle. Discuter avec le personnel de gestion de lorganisation afin darriver un accord au sujet des conclusions et dlaborer un plan dactions correctives. Le rapport daudit na pas de format prcis Doit suggrer ds chanciers pour la mise en uvre des recommandations acceptes. 40. 40. Question type examen Une distinction qui peut tre faite entre un test de conformit et un test de valeur est : A. Les tests de conformits portent sur les dtails alors que les tests de valeurs portent sur les procdures. B. Les tests de conformit portent sur les contrles alors que les tests de valeur portent sur les dtails C. Les tests de conformits portent sur les plans alors que les tests de valeur portent sur les procdures D. Les tests de conformit portent sur les exigences rglementaires alors que les tests de valeur portent sur les tests de validation. 41. 41. Question type examen Une distinction importante quun auditeur informatique doit faire en valuant et en classant les contrles en contrles de types prventif, de dtection, correctif est : A. Lendroit o lon applique les contrles sur les donnes en circulation dans le systme. B. Seuls les contrles de prvention et de dtection prsentent un intrt. C. Les contrles correctifs ne sont que des contrles compensatoires. D. Une classification permet un auditeur informatique de dterminer les contrles manquants. 42. 42. Question type examen Le bnfice principal pour une organisation qui utilise des techniques dauto valuation des contrles rsulte de ce quelle : A. Peut identifier les zones risques levs qui pourrait ncessiter ultrieurement une revue dtaille. B. Permet aux auditeurs informatiques dvaluer les risques de faon indpendante. C. Peut tre utilise pour remplacer les audits traditionnels. D. Permet la direction dabandonner sa responsabilit en ce qui concerne les contrles. 43. 43. Question type examen Lequeldes lments suivants constitue une autorisation dentreprendre un audit des SI? A. La dlimitation de laudit, y compris ses buts et objectifs. B. Une requte deffectuer un audit de la part de la direction. C. La charte daudit approuve. D. Lchancier daudit approuv. 44. 44. Question type examen Dans lexcution dun audit en fonction du risque, quelle valuation des risques est dabord complte par lauditeur des SI? A. Lvaluation des risques de non-dtection B. Lvaluation des risques dchec des contrles C. Lvaluation des risques inhrents D. Lvaluation des risques de fraude 45. 45. Question type examen Dans llaboration dun programme daudit ax sur le risque, sur lequel des lments suivants un auditeur des SI porterait-il probablement le PLUS son attention ? A. Les processus dentreprise B. Les applications essentielles des TI C. Les contrles oprationnels D. Les stratgies dentreprise 46. 46. Question type examen Lequel des types de risques daudit suivants prsume une absence de contrle compensatoire dans le domaine examin ? A. Risque dchec des contrles B. Risque de non dtection C. Risque inhrent D. Risque dchantillonnage 47. 47. Question type examen Un auditeur des SI effectuant un examen des contrles dune application dcouvre une faiblesse dans les logiciels systmes qui pourrait avoir une incidence importante sur lapplication. Lauditeur des SI doit : A. ne pas tenir compte de ces faiblesses, puisque lexamen des logiciels systmes dpasse la porte de cet examen. B. mener un examen dtaill des logiciels systmes et faire tat des faiblesses de contrle. C. inclure dans le rapport une dclaration que la vrification se limitait lexamen des contrles de lapplication. D. examiner les contrles des logiciels systmes, ceux-ci tant pertinents, et recommander un examen dtaill des logiciels systmes. 48. 48. Question type examen Parmi les raisons suivantes, laquelle est la PLUS importante raison de revoir le processus de planification daudit des intervalles priodiques ? A. Pouvoir planifier le dploiement des ressources daudit disponibles. B. Pouvoir tenir compte des changements lenvironnement de risque. C. Pouvoir alimenter la documentation de la charte daudit. D. Pouvoir cerner les normes daudit des SI applicables. 49. 49. Question type examen Lequel des lments suivants est le PLUS efficace pour mettre en uvre un systme dautovaluation des contrles au sein des entits ? A. Revues informelles avec les pairs B. Ateliers dirigs C. Diagrammes descriptifs du flot de traitement D. Diagrammes de flot de donnes 50. 50. Question type examen La PREMIERE tape de planification dun audit est de : A. dfinir les livrables de laudit B. Finaliser la porte et les objectifs de laudit C. acqurir une comprhension des objectifs de lentreprise D. concevoir lapproche pour laudit ou la stratgie daudit. 51. 51. Question type examen Lapproche que doit utiliser un auditeur des SI pour planifier la couverture de laudit des SI doit se baser sur : A. le risque B. limportance relative C. le scepticisme professionnel D. le caractre suffisant des lments probants de laudit 52. 52. Question type examen Une entreprise effectue une copie de sauvegarde quotidienne des donnes critiques et des logiciels, et entrepose cette copie dans une installation externe. La copie de sauvegarde est utilise pour restaurer les fichiers en cas dinterruption. Il sagit de : A. Un contrle prventif B. Un contrle de gestion C. Un contrle correctif D. Un contrle de dtection 53. 53. Question type examenThe PRIMARY purpose of generalized audit software (GAS) is to:1. Find fraudulent transactions2. Determine sample mean compared to population mean3. Extract data for a Substantive Test4. Organize an audit report 54. 54. Question type examenA Compensating Control is defined as1. Two strong controls address the same fault2. A fault is addressed by a weak control and strong control in another area3. A control addresses a specific problem4. A control that fixes the problem after it is detected 55. 55. Question type examenAn IS auditor should plan their audit approach based upon:1. Materiality2. Management recommendations3. ISACA recommendations4. Risk 56. 56. Question type examenA Hash Total is maintained on each batch file to ensure no transactions are lost. This is an example of a1. Preventive Control2. Detective Control3. Compensating Control4. Corrective Control 57. 57. Question type examenThe FIRST step that an auditor should take is:1. Prepare the Audit Objectives and Scope2. Learn about the organization3. Study ISACA audit recommendations for the functional area4. Perform a risk assessment 58. 58. Question type examenAn audit that considers how financial information is generated from both a business process and IS handling side is known as:1. Financial audit2. Operational audit3. Administrative audit4. Integrated audit 59. 59. Question type examenAn auditor over-tests (tests a greater percent than actually exist) samples that are expected to be most risky1. Variable Sampling2. Attribute Sampling3. Statistical Sampling4. Non-statistical Sampling 60. 60. Question type examenThe possibility that a router does not catch spoofed IP addresses is known as a1. Inherent risk2. Control risk3. Detection risk4. External risk 61. 61. Question type examenTesting a firewall to ensure that it only permits web traffic into the DMZ is known as1. Compliance Test2. Substantive Test3. Detection Test4. Preventive Test 62. 62. Question type examenAn inherent risk for a school would be:1. Students trying to hack into the system to change grades2. A firewall does not catch spoofed IP addresses3. An audit does not find fraud which actually exists4. People do not change their passwords regularly 63. 63. Remerciements Pour IBT ( Institute of Business and Technologies) BP: 15441 Douala - Cameroun Par Arsne Edmond NGATO, CISA, CISM, PMP, OCP 10g/11g Tlphone- 99183886 Email- arsenengato@yahoo.fr Sources : Manuel de prparation CISA 2012, Divers articles tlchargs sur Internet.