Vous êtes sur la page 1sur 26

Concepts et

principes fondamentaux
d’audit
Présenté par : Saber ISSA
Les normes ISO 19011/ISO 27007
Présentation

- ISO 19011: lignes directrices pour l'audit de systèmes de


management
- ISO 19011 est la norme pour l’audit des systèmes de management
qualité, environnement, de la sécurité alimentaire, de la santé et
sécurité au travail et même pour les SMSI.
- ISO 27007: Lignes directrices pour l'audit des SMSI.

- Il concerne le responsable du management du programme d'audit,


les auditeurs et les équipes d'audit.
- Il est applicable à tous les organismes qui doivent planifier et réaliser
des audits internes ou externes de systèmes de management ou
manager un programme d'audit.

2
Les normes ISO 19011/ISO 27007
Présentation

- Il contient:
 les principes de l'audit,
 le management d'un programme d'audit,
 la réalisation d'audits de systèmes de management,
 des lignes directrices sur l'évaluation de la compétence des
personnes impliquées dans le processus d'audit.

3
Qu’est ce qu’un audit ?
ISO 19011
processus systématique, indépendant et documenté permettant
d’obtenir des preuves d’audit et de les évaluer de manière objective
pour déterminer dans quelle mesure les critères d’audit sont
satisfaits.

4
Critères d’audit
ISO 19011
Ensemble de politiques, procédures ou exigences utilisées comme
référence vis-à-vis de laquelle les preuves d’audit sont comparées.

Exemples:

ISO 27001 PCI DSS ISO 9001


preuves d’audit
ISO 19011
Enregistrements, énoncés de faits ou autres informations
pertinents qui se rapportent aux critères d’audit et qui sont
vérifiables.
Les acteurs
ISO 19011

Client Organisme ou personne demandant un audit

Audité Organisme qui est audité

Auditeur Personne qui réalise l’audit

Personne apportant à l’équipe d’audit des


Expert technique
connaissances ou une expertise spécifiques

Un ou plusieurs auditeurs réalisant un audit, assistés, si


Equipe d’audit
nécessaire, par des experts techniques

738
Types d’audit

Réalisé par l’organisme lui-même


Audit interne ou
L’indépendance doit être montrée par l’absence de
audit de 1ère partie
responsabilité face à l’activité à auditer
Réalisé par une partie ayant un intérêt à l ’égard de
Audit externe de
l’organisme audité
second partie
Exemple: le client audite l’organisme qui audite le fournisseur

Audit externe de Réalisé par un organisme d’audit externe et indépendant


tierce partie Exemple: organisme certificateur ISO 27001

8 38
Audit combiné et audit conjoint
Audit combiné: lorsque deux ou plusieurs systèmes de management de
différentes disciplines font l’objet d’un audit commun

Audit combiné

ISO 27001 ISO 20000 ISO 9001 ISO 14001

Audit conjoint: lorsque deux ou plusieurs organismes d’audit coopèrent


pour auditer un seul audité, on parle d’audit conjoint.
9
Principes de l'audit

Présentation Conscience
Déontologie
impartiale professionnelle

Approche fondée
Confidentialité Indépendance
sur la preuve

1039
Principes de l'audit

Déontologie

 réaliser leurs tâches avec honnêteté, diligence et responsabilité;


 observer et respecter toutes les exigences légales applicables;
 démontrer leur compétence technique dans l’accomplissement de
leurs tâches;
 réaliser leurs tâches en toute impartialité, c’est-à-dire qu’ils restent
justes et sans parti pris dans toutes leurs actions;
 être sensibilisés à toutes les influences que peuvent exercer d’autres
parties intéressées sur leur jugement lorsqu’ils réalisent un audit.

1139
Principes de l'audit

Présentation impartiale

 Les constatations, conclusions et rapports d’audit reflètent de


manière honnête et précise les activités d’audit.
 consigner les obstacles importants rencontrés pendant l’audit et les
questions non résolues ou les avis divergents entre l’équipe d’audit et
l’audité.
 La communication doit être honnête, précise, objective, opportune,
claire et complète.

1239
Principes de l'audit

Conscience professionnelle

 Agir en accord avec l’importance des tâches qu’ils réalisent et la


confiance que leur ont accordée le client de l’audit et les autres
parties intéressées.
 Avoir la capacité à prendre des décisions avisées dans toutes les
situations d’audit.

1339
Principes de l'audit

Confidentialité

 utiliser avec précaution les informations acquises au cours de leurs


missions.
 respecter les règles de confidentialité.
 traiter correctement les informations sensibles ou confidentielles.

1439
Principes de l'audit

Indépendance

 Il convient que l’auditeur soit indépendant de l’activité auditée et n’ait


ni parti pris ni conflit d’intérêt dans toute la mesure du possible.
 Pour les audits internes, il convient que l’auditeur soit indépendant
des responsables opérationnels de la fonction auditée.
 Il convient que l’auditeur conserve un état d’esprit objectif tout au
long du processus d’audit pour s’assurer que les constatations et
conclusions sont uniquement fondées sur les preuves d’audit.

1539
Principes de l'audit

Approche fondée sur la preuve

Il convient que les preuves d’audit soient vérifiables. Elles s’appuient


généralement sur des échantillons des informations disponibles, dans la
mesure où un audit est réalisé avec une durée et des ressources
délimitées. Il convient d’utiliser l’échantillonnage de manière
appropriée, dans la mesure où cette utilisation est étroitement liée à la
confiance qui peut être accordée aux conclusions d’audit.

1639
Services de conseil et audit
ISO 17021
 Un auditeur ne peut pas contribuer à l’élaboration, à la mise en œuvre
ou à l’entretien d’un système de management pour l’organisme audité.
 Période minimum de 2 ans entre service de conseil et audit.
 La formation est permise.

17
Types de preuves d’audit
Preuve physique

Physique mathématique Confirmative

technique Analytique Documentaire

Orale

18
Types de preuves d’audit
Preuve physique

Est toute preuve obtenue via l’observation directe ou par l’inspection


directe d’éléments tangibles.
Exemples:
─ La présence de dispositifs de protection d’incendie.

19
Types de preuves d’audit
Preuve mathématique

Consiste à valider l’exactitude mathématique de certains documents ou


enregistrements.
Ce sont les calculs mathématiques effectués par l’auditeur.
Exemples:
─ Calcul de nombre d’heures de formation suivies par les employés en
relation avec le SMSI et valider si cela respecte les objectifs.
─ Calcul du temps moyen de résolution d’incidents à partir d’un
échantillon prélevé par l’auditeur.
─ Le rapprochement des factures d’achats de licences avec l’inventaire
des logiciels.
20
Types de preuves d’audit
Preuve confirmative

Preuve provenant d’entités ayant une relation externe avec l’audité.


Exemples:
─ Résultats d’un test d’intrusion effectué par un organisme externe;
─ Un avis juridique d’un bureau d’avocat qui confirme les différentes
législations auxquelles l’organisme doit se conformer.

21
Types de preuves d’audit
Preuve technique

Consiste à valider le fonctionnement d’un système d’information. C’est le


résultat d’analyse de tests techniques ou d’observations réalisés sur un
système d’information.
Exemples:
─ Observation de la configuration du firewall pour s’assurer de la
sécurité d’accès à un service réseau conformément à la politique en
vigueur;
─ Analyse du résultat de test d’intrusion sur un réseau.

22
Types de preuves d’audit
Preuve analytique

Il s’agit des résultats de l’analyse des relations et des comparaisons entre


différentes données.
Toutes les preuves recueillies par des méthodes statistiques sont
analytiques.
Exemples:
─ Analyse des logs des accès au réseau pour détecter des anomalies.
─ Résultat d’analyse de la procédure de retrait des droits d’accès à un
échantillon d’utilisateurs ayant quitté l’organisme.

23
Types de preuves d’audit
Preuve documentaire

C’est la vérification de tout enregistrement ou document.


Exemples:
─ Politiques et procédures;
─ Rapports;
─ Factures d’achats de licences;
─ PVs de réunions.

24
Types de preuves d’audit
Preuve orale

C’est la preuve récoltée lors des échanges entre l’auditeur et le personnel


de l’audité
Exemples:
─ Notes d’entretiens réalisés avec le RSI expliquant ses relations avec des
groupes d’experts.
─ Notes d’entretiens réalisés avec le personnel de l’audité expliquant
leurs rôles et leurs responsabilités en sécurité de l’information

25
Preuve orale

Preuve
documentaire

Preuve
analytique
Fiabilité de la preuve dans l’audit

Preuve
technique

Preuve
confirmative

Preuve Preuve
mathématique physique
Fiabilité
Types de preuves d’audit

26

Vous aimerez peut-être aussi