CISA

Le Processus d’audit des

SI
 Objectifs
A la fin de cette leçon ,vous serez capable de :
 Définir les risques d’audit: risque inhérent, risque d’échec des
contrôles, risque de non détection, risque global.
 Distinguer les tests de conformité et les test de corroboration.
 Définir les types de contrôle: Préventif, de détection, de
correction
 Décrire les types d’échantillonnage: statistique et
discrétionnaire.
 Décrire les types d’audit: financier, opérationnel, SI, intégré,
Investigation légale
 Décrire TAAO, Auto évaluation des contrôles, Audit continu.
 Décrire les étapes d’un audit typique, Approche d’audit
fondée sur le risque.
Définitions (L’audit & les Auditeurs)
 Audit : Evaluation d’un système, d’un
processus, d’un projet ou d’un produit
d’une organisation.
 Auditeur : Personne qualifiée, compétente
et indépendante fournissant avec
objectivité un service d’audit dans le but
de rendre un rapport.
 Deux types d’auditeur
 Interne:
Employé d’une organisation ayant
pour rôle d’analyser et d’évaluer le
système de contrôle interne.

 Externe : Auditeur provenant d’une firme

d’audit indépendante de l’organisation
auditée.
 Qualifications de l’auditeur :

 Indépendance professionnelle
 Indépendance organisationnelle
 Adhésion à un code professionnel
d’éthique
 Détient les compétences et aptitudes
nécessaires pour l’exécution de l’audit
 Maintient ses connaissances techniques à
jour (CPE)
 Définition : Audit SI / IT

 Analyse partielle ou exhaustive du

fonctionnement d'un centre de traitement et de
son environnement
 Débouche sur un diagnostic précisant
 l'adéquation des ressources matérielles et humaines aux
besoins de l'entreprise
 l'adéquation des résultats obtenus en regard des moyens
engagés
 l'adéquation des moyens en regard de la législation
 Charte d’audit
 Le rôle de la fonction d’audit des SI est établi par la
Charte d’Audit. L’audit SI peut faire partie de l’audit
interne en tant que groupe indépendant ou intégré à
l’audit financier et opérationnel.
 La charte d’audit doit énoncer clairement:
 Les objectifs et les responsabilités de la direction pour la
fonction d’audit des SI.
 La délégation de pouvoir de la direction à la fonction d’audit.
 L’autorité, la portée et les responsabilités globales de la fonction
d’audit.
 L’organisation de la fonction d’audit
 Planning d’audit
 Court terme : Généralement dans un an.
 Long terme : Plus d’un an (5, 10, 15, …)

Analyser les enjeux à court et long termes:

• Les changement dans l’environnement affectant
le niveau de risque;
• L’évolution des technologies et des processus
administratifs;
• L’amélioration des méthodes d’évaluation;
• Nouvelles réglementations applicables.
 Planning d’audit (Exemple)
Domaine à Période Date dernier Responsabilité
auditer audit
Procédures et Q1 Jamais Auditeur Interne
politique
d’enregistrement
Plan de Q2 2005 DSI, Consultant
continuité Sécurité
FERPA : Q3 Jamais Auditeur Interne
Interview du
personnel
IT : Test de Q4 2006 DSI, Consultant
pénétration Sécurité
 Etapes de planification d’un
audit.
 1- Acquérir la compréhension de la mission.
 2- Réaliser une analyse des risques
 3- Etablir la portée et les objectifs d’audit
 4- concevoir l’approche ou la stratégie d’audit
 5- Affecter les ressources aux tâches d’audit;
 6- Prévoir la logistique du mandat
Acquérir la compréhension de la
mission
 Lire les documents de référence tels que les publications
de l’industrie, les rapports annuels et les rapports
d’analyse financières;
 Etudier les rapports d’audit antérieurs ou les rapports
concernant les TI;
 Consulter les plans stratégiques à long termes relatifs au
TI et aux activités de l’organisation;
 Discuter avec les responsables clés pour comprendre
les enjeux commerciaux;
 Déterminer les règles spécifiques applicables aux TI;
 Déterminer les fonctions des TI ou des activités qui y
sont liées et qui ont été imparties;
 Visiter les installations importantes de l’organisation.
 Analyse des risques (Déf.)
 Risque : La possibilité qu’une menace données
exploite la vulnérabilité d’un actif ou d’un groupe
d’actifs et cause ainsi un préjudice à
l’organisation (ISO/IEC PDTR 13335-1).
 Analyse de Risque : Technique d’identification et
d’évaluation des facteurs susceptible de
compromettre un processus ou un objectif.
 L’AR = Evaluation -> Atténuation -> Ré
évaluation.
AR Evaluer les contre-mesures
 Analyse coût / bénéfices : Choisir les
méthodes de gestion des risques
adéquates en se basant sur :
 Le coût de la mesure de contrôle en
comparaison au degré de réduction du
risque;
 La propension de la haute direction au
risque
 Les méthodes de réduction du risque
privilégiées
Analyse des Risques (Objectifs)
 Permet de repérer les risques et les menaces
pour un environnement SI et les contrôles
internes.
 Aide à évaluer les mesures de contrôle lors de
la planification de l’audit.
 Aide à déterminer les objectifs de l’audit;
 Aide à prendre les décisions en rapport avec
l’audit fondé sur le risque.
 Permet d’implémenter les meilleures mesures
de contrôle interne
 Contrôle Interne
 Structures organisationnelles, politiques,
procédures et pratiques implémentées pour
réduire les risques.
 Donne à la direction une assurance raisonnable
que les objectifs seront atteints et que le risque
sera évité ou détecté et corrigé.
 Permettent non seulement d’atteindre les
objectifs de l’organisation, mais traitent
également les évènements indésirables par la
prévention, la détection et la correction.
 Classifiés préventifs, détection et correction.
 Contrôle Interne (COSO)
processus intégré mis en œuvre par les responsables et
le personnel d’une organisation et destiné à traiter les
risques et à fournir une assurance raisonnable quant à la
réalisation, dans le cadre de la mission de l’organisation,
des objectifs de l’entreprise.
• réalisation et optimisation des opérations
(optimisation des ressources de l'entreprise, fiabilité
des informations financières)
• respect des obligations de rendre compte;
• conformité aux lois et réglementations en vigueur;
• protection des ressources contre les pertes, les
mauvais usages et les dommages.
 Contrôle préventif
 Détecte les problèmes avant qu’ils ne surviennent
 Surveille les activités et les entrées
 Tenter de prédire les problèmes potentiels avant qu’ils
ne surviennent et effectuer les ajustements.
 Prévenir les erreurs, les omissions ou les actes
malveillants
 Contrôle de détection
 Détecte et rapporte toute occurrence d’erreur, omission
ou acte malveillant.
 Contrôle de Correction
 Minimiser l’impact d’une menace
 Remédier aux problèmes découverts par les contrôles
de détection
 Identifier les causes des problèmes
 Corriger les erreurs causées par un problème
 Modifier les systèmes de traitement pour minimiser les
occurrences futures des problèmes
 Contrôle internes (Objectifs)
 La sauvegarde des actifs informationnels
 L’intégrité de l’environnement des SI
 L’identification et l’authentification approprié de
l’utilisateur d’une ressource SI
 L’efficacité et l’efficience des opération liés au SI
 La disponibilité des services SI
 L’amélioration de la protection des données et des
systèmes
 L’assurance de l’intégrité et de la fiabilité des systèmes
par l’implémentation des procédures de gestion du
changement efficaces.
 Classification des Audits

 Financier : Evaluation de l’exactitude des états

financiers d’une organisation.
 Opérationnel : Evaluation de la structure de
contrôle interne d’un processus ou d’un domaine
donné.
 Intégré : Combine les étapes des audits
financiers et opérationnels.
 Administratif : Evaluation des enjeux liés à
l’efficacité de la productivité opérationnelle au
sein d’une organisation.
 Classification des Audits (Suite)

 SI : Evaluation des preuves afin de déterminer si

les SI et les ressources liées protègent
adéquatement les actifs informationnel d’une
organisation.
 Spécialisés : Audit SI de conformité lié à un
service externe ou un standard.
 Investigation légale : Audit spécialisé dans la
découverte, la divulgation et le suivi des fraudes
et des crimes.
 Etapes d’un Audit Typique
 1- Sujet d’audit
 2- Objectif de l’audit
 3- Portée de l’audit
 4- Planification avant Audit
 5- Procédures d’audit et de collecte de données
 6- Procédures d’évaluation des tests ou des
résultats d’examen
 7- Procédures de communication avec la direction
 8- Préparation du rapport d’audit
 Risque d’audit
 Se définit comme le risque que les
renseignements puissent contenir une erreur
importante qui pourrait ne pas être détectée lors
de la vérification.
 Risque inhérent

 Risque d’échec des contrôles

 Risque de non détection

 Risque global
Démarche d’audit axé sur le risque
 1- Recueillir les renseignements et planifier
 2- Comprendre les contrôles internes
 3- Effectuer les tests de conformité
 4- Effectuer les test de corroboration
 5- Conclure l’audit
 Test de conformité # Test de
corroboration
 Les test de conformité consistent à recueillir des preuves
dans le but de tester la conformité d’une organisation
avec les procédures de contrôle.
 Les tests de conformité détermine si les contrôles sont
appliqués d’une façon qui respecte les procédures et les
politiques de la direction.
 L’objectifs est de fournir à l’auditeur des SI l’assurance
raisonnable que le contrôle particulier sur lequel il
entend se fier fonctionne comme il l’avait observé lors de
l’évaluation préliminaire.
 Test de conformité vs Test de
corroboration
 Les tests de corroboration consistent à recueillir
les preuves pour évaluer l’intégrité des
transactions individuelles, de données ou
d’autres renseignements.
 Les tests de corroboration fournissent des
preuves de la validité et de l’intégrité des soldes
dans les états financiers et des transactions à
l’appui de ces soldes.
 Preuve
 Renseignements utilisé par l’auditeur pour
déterminer si l’entité ou les données vérifiés
respectent les critères ou les objectifs établis.

 La preuve peut comprendre les observations de

l’auditeur, les notes prises lors des entretiens,
du matériel tiré de la correspondance, de la
documentation interne ou des contrats avec les
partenaires externes, ou les résultats des
procédés de vérification.
Critères de fiabilité de la preuve
 Indépendance du fournisseur de la preuve
 Titre et qualité du fournisseur de la preuve
 Objectivité de la preuve
 Echéancier de la preuve
Techniques de collecte de preuves
 Observations (Organisation, Personnel,
Procédé)
 Revue des politiques, procédures et standards
 Documentation SI
 Entretien avec le personnel compétents
 Utilisation d’autres auditeurs ou experts
 Echantillonnage (statistiques / discrétionnaires)
 Techniques d’audit assistées par ordinateur
 Echantillonnage
 Statistique : Utilisation d’une méthode objective
pour déterminer la taille de l’échantillon et les
critères de sélection.
 Discrétionnaire : Utilisation du jugement
(appréciation) de l’auditeur pour déterminer la
méthode d’échantillonnage, la taille de
l’échantillon et les critères de sélection.
 TAAO
 Les TAAO sont des outils important pour recueillir et
analyser les renseignements des systèmes possédant
des environnements matériels et logiciels, des structures
de données, des structures d’enregistrement ou des
fonctions de traitement qui sont différentes.
 Ils fournissent un moyen d’accéder aux données et de
les analyser au regard d’un objectif d’audit prédéterminé,
et de faire rapport des constatations de l’audit en mettant
l’accent sur la fiabilité des enregistrements produits et
gérés par le système.
 La fiabilité de la source d’information utilisée permet de
rassurer quant aux constatations énoncées.
 Avantage des TAAO
 Réduit le niveau du risque d’audit
 Accroit l’indépendance des audités
 Rapide disponibilité de l’information
 Opportunité de quantifié les faiblesses d’un
système de CI
 Réduction des coûts liés au temps
TAAO (documents à conserver)
 Rapport en ligne qui détaillent les questions à
haut risque à examiner
 Listages de programmes commentés
 Organigrammes
 Rapports échantillons
 Disposition d’enregistrement et les descriptions
de fichiers
 Définition des champs
 Instruction d’utilisation
 Description des documents sources applicables
 Auto évaluation des contrôles
 Technique de gestion qui informe les
actionnaires, clients et autres parties quant à la
fiabilité du système de contrôle interne de
l’organisation.
 Méthodologie utilisée pour réviser les objectifs
clés de l’entreprise, les risques liés à l’atteinte
des objectifs de l’entreprise et les CI conçus
pour gérer ces risques.
 Ensemble d’outils dont le degré de
sophistication va du simple questionnaire aux
ateliers dirigés.
 Avantages de l’AEC
 Détection précoces des risques
 Amélioration de l’efficacité des CI
 Création de la cohésion des équipes grâce à la
participation des employés
 Développement, chez les employés et les propriétaires
des contrôles, d’un sentiment d’appartenance
relativement à ces contrôles et diminution des leur
résistance face aux changement
 Réduction des coûts du contrôle
 Garantie donnée aux actionnaires et aux clients quant à
la fiabilité.
 …..
 Inconvénients de l’AEC
 Peut être perçue comme le remplacement d’une
fonction d’audit.
 Peut être perçue comme une charge de travail.
 En cas de l’échec des améliorations suggérées,
peut nuire au moral des employés.
 Le manque de motivation peut nuire à la
détection des contrôles insuffisants.
 Audit continu
 Méthode qui permet aux auditeurs indépendants
de donner par écrit une assurance à propos d’un
sujet à l’aide d’un ensemble de rapports d’audits
produits en même temps ou peu après
l’évènement relatif au sujet.
 Le but est de fournir une plate-forme plus
sécuritaires pour éviter les fraudes et un
processus en temps réel qui garantit un niveau
élevé de contrôle financier
 Communication des résultats d’audit

 Discuter des conclusions et des recommandations avec

la direction lors de l’entrevue finale.
 La présentation peut être un résumé ou une présentation
visuelle.
 Discuter avec le personnel de gestion de l’organisation
afin d’arriver à un accord au sujet des conclusions et
d’élaborer un plan d’actions correctives.
 Le rapport d’audit n’a pas de format précis
 Doit suggérer dés échéanciers pour la mise en œuvre
des recommandations acceptées.
 Question type examen
 Une distinction qui peut être faite entre un
test de conformité et un test de valeur est :

 A. Les tests de conformités portent sur les détails

alors que les tests de valeurs portent sur les
procédures.
 B. Les tests de conformité portent sur les contrôles
alors que les tests de valeur portent sur les détails
 C. Les tests de conformités portent sur les plans alors
que les tests de valeur portent sur les procédures
 D. Les tests de conformité portent sur les exigences
réglementaires alors que les tests de valeur portent
sur les tests de validation.
 Question type examen
 Une distinction importante qu’un auditeur
informatique doit faire en évaluant et en classant les
contrôles en contrôles de types préventif, de
détection, correctif est :

 A. L’endroit où l’on applique les contrôles sur les

données en circulation dans le système.
 B. Seuls les contrôles de prévention et de détection
présentent un intérêt.
 C. Les contrôles correctifs ne sont que des contrôles
compensatoires.
 D. Une classification permet à un auditeur
informatique de déterminer les contrôles manquants.
 Question type examen
 Le bénéfice principal pour une organisation qui
utilise des techniques d’auto évaluation des
contrôles résulte de ce qu’elle :

 A. Peut identifier les zones à risques élevés qui

pourrait nécessiter ultérieurement une revue détaillée.
 B. Permet aux auditeurs informatiques d’évaluer les
risques de façon indépendante.
 C. Peut être utilisée pour remplacer les audits
traditionnels.
 D. Permet à la direction d’abandonner sa
responsabilité en ce qui concerne les contrôles.
 Question type examen
 Lequeldes éléments suivants constitue
une autorisation d’entreprendre un audit
des SI?
 A. La délimitation de l’audit, y compris ses
buts et objectifs.
 B. Une requête d’effectuer un audit de la part
de la direction.
 C. La charte d’audit approuvée.
 D. L’échéancier d’audit approuvé.
 Question type examen
 Dans l’exécution d’un audit en fonction du
risque, quelle évaluation des risques est
d’abord complétée par l’auditeur des SI?

 A. L’évaluation des risques de non-détection

 B. L’évaluation des risques d’échec des
contrôles
 C. L’évaluation des risques inhérents
 D. L’évaluation des risques de fraude
 Question type examen
 Dans l’élaboration d’un programme d’audit
axé sur le risque, sur lequel des éléments
suivants un auditeur des SI porterait-il
probablement le PLUS son attention ?
 A. Les processus d’entreprise

 B. Les applications essentielles des TI

 C. Les contrôles opérationnels

 D. Les stratégies d’entreprise

 Question type examen
 Lequel des types de risques d’audit
suivants présume une absence de
contrôle compensatoire dans le domaine
examiné ?
 A. Risque d’échec des contrôles

 B. Risque de non détection

 C. Risque inhérent

 D. Risque d’échantillonnage
 Question type examen
 Un auditeur des SI effectuant un examen des contrôles
d’une application découvre une faiblesse dans les
logiciels systèmes qui pourrait avoir une incidence
importante sur l’application. L’auditeur des SI doit :
 A. ne pas tenir compte de ces faiblesses, puisque
l’examen des logiciels systèmes dépasse la portée de cet
examen.
 B. mener un examen détaillé des logiciels systèmes et
faire état des faiblesses de contrôle.
 C. inclure dans le rapport une déclaration que la
vérification se limitait à l’examen des contrôles de
l’application.
 D. examiner les contrôles des logiciels systèmes, ceux-ci
étant pertinents, et recommander un examen détaillé des
logiciels systèmes.
 Question type examen
 Parmi les raisons suivantes, laquelle est la
PLUS importante raison de revoir le processus
de planification d’audit à des intervalles
périodiques ?
 A. Pouvoir planifier le déploiement des
ressources d’audit disponibles.
 B. Pouvoir tenir compte des changements à
l’environnement de risque.
 C. Pouvoir alimenter la documentation de la
charte d’audit.
 D. Pouvoir cerner les normes d’audit des SI
applicables.
 Question type examen
 Lequel des éléments suivants est le PLUS
efficace pour mettre en œuvre un système
d’autoévaluation des contrôles au sein des
entités ?
 A. Revues informelles avec les pairs
 B. Ateliers dirigés
 C. Diagrammes descriptifs du flot de
traitement
 D. Diagrammes de flot de données
 Question type examen
 La
PREMIERE étape de planification d’un
audit est de :
 A. définir les livrables de l’audit
 B. Finaliser la portée et les objectifs de l’audit
 C. acquérir une compréhension des objectifs
de l’entreprise
 D. concevoir l’approche pour l’audit ou la
stratégie d’audit.
 Question type examen
 L’approche que doit utiliser un auditeur
des SI pour planifier la couverture de
l’audit des SI doit se baser sur :
 A. le risque
 B. l’importance relative
 C. le scepticisme professionnel
 D. le caractère suffisant des éléments
probants de l’audit
 Question type examen
 Une entreprise effectue une copie de
sauvegarde quotidienne des données critiques
et des logiciels, et entrepose cette copie dans
une installation externe. La copie de sauvegarde
est utilisée pour restaurer les fichiers en cas
d’interruption. Il s’agit de :
 A. Un contrôle préventif

 B. Un contrôle de gestion

 C. Un contrôle correctif

 D. Un contrôle de détection
 Question type examen
The PRIMARY purpose of generalized audit
software (GAS) is to:
1. Find fraudulent transactions
2. Determine sample mean compared to
population mean
3. Extract data for a Substantive Test
4. Organize an audit report
 Question type examen
A Compensating Control is defined as
1. Two strong controls address the same
fault
2. A fault is addressed by a weak control
and strong control in another area
3. A control addresses a specific problem
4. A control that fixes the problem after it is
detected
 Question type examen
An IS auditor should plan their audit
approach based upon:
1. Materiality
2. Management recommendations
3. ISACA recommendations
4. Risk
 Question type examen
A Hash Total is maintained on each batch
file to ensure no transactions are lost.
This is an example of a
1. Preventive Control
2. Detective Control
3. Compensating Control
4. Corrective Control
 Question type examen
The FIRST step that an auditor should take
is:
1. Prepare the Audit Objectives and Scope
2. Learn about the organization
3. Study ISACA audit recommendations for
the functional area
4. Perform a risk assessment
 Question type examen
An audit that considers how financial
information is generated from both a
business process and IS handling side is
known as:
1. Financial audit
2. Operational audit
3. Administrative audit
4. Integrated audit
 Question type examen
An auditor over-tests (tests a greater
percent than actually exist) samples that
are expected to be most risky
1. Variable Sampling
2. Attribute Sampling
3. Statistical Sampling
4. Non-statistical Sampling
 Question type examen
The possibility that a router does not catch
spoofed IP addresses is known as a
1. Inherent risk
2. Control risk
3. Detection risk
4. External risk
 Question type examen
Testing a firewall to ensure that it only
permits web traffic into the DMZ is known
as
1. Compliance Test
2. Substantive Test
3. Detection Test
4. Preventive Test
 Question type examen
An inherent risk for a school would be:
1. Students trying to hack into the system to
change grades
2. A firewall does not catch spoofed IP
addresses
3. An audit does not find fraud which
actually exists
4. People do not change their passwords
regularly
 Remerciements
 Pour IBT ( Institute of Business and
Technologies)
 BP: 15441 Douala - Cameroun
 Par Arsène Edmond NGATO, CISA,
CISM, PMP, OCP 10g/11g
 Téléphone- 99183886
 Email- arsenengato@yahoo.fr
 Sources : Manuel de préparation CISA 2012,
Divers articles téléchargés sur Internet.