Audit Guides

Les guides d’audit TI
de l’ISACA
ISACA Chapitre Québec

4 décembre 2013
Présentateur
Javier Bentancur, CISA, MBA
javier.bentancur@isaca-quebec.ca
http://ca.linkedin.com/in/javierbentancur
4 déc 2013 ISACA Québec - www.isaca-quebec.ca 2

L’association ISACA
1969 : «EDP Auditors Association»

1984 : APVCSI à Québec
1998 : ITGI
2013 :
o + de 110.000 membres dans 180 pays
o + de 200 délégations dans 80 pays

Objectifs
Expliquer les guides d’audit TI d’ISACA et leur

contexte d’utilisation.
Présenter des exemples des guides.
Introduire le nouveau guide basé sur Cobit5.

Les guides d’audit TI de l’ISACA
Normes d’audit TI et d’assurance (ITAF v2)

o Normes et directives
Outils et techniques
o Concepts de base d’audit TI
o Livres blanc (« White papers »)
o Références techniques
o Programmes d’audit TI
o Famille de produits Cobit 5
Cobit 5 pour l’assurance (audit TI)
o Guide professionnel basé sur Cobit 5

Les normes d’audit TI et
d’assurance (ITAF v2)
Les normes
Les directives
Les normes
Définition :
o Lignes directrices qui encadrent les professionnels
de l’audit TI et de l’assurance.
Obligation de les respecter et de les appliquer
à tout intervention professionnelle.
Concernent l’éthique, l’indépendance,
l’objectivité, la diligence, la connaissance, la
capacité et les compétences du professionnel.
Valides depuis 1-nov-2013.
Structure des normes
Générales • Principes directeurs de la

(série 1000) profession d’audit
Performance • Conduite de la mission

(série 1200)
Rapport • Types de rapports, moyens de

communication et informations
(série 1400) communiquées

Liste des normes
Générales
o 1001 : Charte d’audit
o 1002 : Indépendance de l’organisation
o 1003 : Indépendance professionnelle
o 1004 : Attentes raisonnables
o 1005 : Conscience professionnelle
o 1006 : Compétence
o 1007 : Affirmations
o 1008 : Critères

Liste des normes
Performance
o 1201 : Planification de la mission
o 1202 : Évaluation du risque dans la planification
o 1203 : Exécution et supervision
o 1204 : Matérialité
o 1205 : Éléments probants
o 1206 : Utilisation du travail d’autres experts
o 1207 : Irrégularités et actes illégaux

Liste des normes
Rapports
o 1401 : Rapports
o 1402 : Activités de suivi

Les directives
Définition :
o Instructions sur l’application des normes.
Le professionnel s’y réfère lors de leurs mises en
œuvre, et fait appel à son jugement
professionnel.
Il doit être en mesure de justifier tout écart vis-
à-vis celles-ci.
Présentement en révision.

Structure des directives
Générales (série 2000)

o 2001 à 2008
Performance (série 2200)
o 2201 à 2207
o 2208 : Échantillonnage d’audit
Rapport (série 2400)
o 2401 à 2402

Exemple : La charte d’audit
• 1001.1 : Définit l’objectif, la

responsabilité, l’autorité et
Norme 1001
l’imputabilité de la fonction d’audit.
• 1001.2 : Indique que la charte d’audit

doit être approuvée par le niveau
approprié de l’organisation.

• Suggère un mandat pour la fonction d’audit.

• Décrit le contenue de la charte d’audit :
Directive 2001
• L’objectif, la responsabilité, l’autorité et la

réédition de comptes, etc.
• Suggère de considérer un processus
d’assurance qualité pour la mettre à jour.
• Décrit le contenu de la lettre du mandat.
• La responsabilité, l’autorité et la réédition
de comptes, etc.

Lien des directives avec Cobit
Norme Directive Cobit 4
1001 : Charte d’audit 2001 ME 4.7 – Assurance indépendante.

ME 2.5 – Assurance de contrôle
interne.
1206 : Utilisation du travail 2206 ME 2.5 – Assurance de contrôle

d’autres experts interne.

Conclusion et questions
Référence universelle.
En constante évolution.
Commentaires de la
communauté.

Outils et techniques d’audit TI
Concepts de base d’audit TI

Objectif :
o Mettre à la disposition des professionnels,
éducateurs et le public les principes concernant
l’audit TI.
o Permettre l’avancement du domain de l’audit TI par
des opinions.

Caractéristiques :
o Publiés depuis 2002 .
o Une colonne du magazine «ISACA Journal».
o Organisés selon les principes du modèle Curricula
d’ISACA pour les professionels de l’audit et
l’assurance TI.

Classification :
o Processus d’audit.
o Développement, acquisition, implementation et
maintenance d’applications d’affaires.
o Évaluation des processus d’affaires et gestion de
risques.
o Récupération aux désastres et continuité d’affaires.
o Gestion, planification et organisation des SI.
o Protection des actifs informationnels.
o Pratiques techniques d’infrastructures et des
opérations.

Exemple
Processus d’audit TI
• Fonction d’audit TI (6).

• Évidence d’audit (3).
• Suivi du rapport (1).
• Concepts à l’égard du contrôle interne (7).
• Concepts fondamentaux d’audit (11).
• Gestion de l’audit (2).

Exemple
• Comment auditer une organisation de

Concepts à l’égard du
services (rapport SOC).

contrôle interne
• Comprendre le nouveau rapport SOC.

• Le cycle de vie du développement des
contrôles.
• Comment utiliser COSO (parties 1 et 2).
• Audit des contrôles généraux et
d’applications.
• Audit de sécurité.

Exemple
Transformation des données pour

«CAAT»
• Introduction.
• Méthodologie «ETL» pour CAAT et
forage de données.
• Exemples.
• Outils de transformation de données.
• Conclusion.

Format papier et
numérique.
Lecture rapide.
Sujets d’actualité.

Livres blanc (White papers)

Livres blanc ou « White papers »
Objectif :
o Mettre à disposition l’information relevante et à jour
concernant des aspects pouvant impacter les
opérations des organisations.
Caractéristiques:
o Flux RSS.
o Commentaires (feedback).
o Autres ouvrages liés.
o Format numérique.

Livres blanc 2013
Sécurité en tant que service (SAAS).

Données masives et protection de la vie privée.
Gouvernance du cloud: informations indispensables
aux conseils d’administration.
Données masives : Impacts et avantages .
Résultat de l’étude sur la sensibilisation aux menaces
avancées persistentes.

Exemple : Gouvernance du cloud
Objectif :
o Décrire brièvement le cloud et présenter les
questions qui permettront aux dirigeants d’évaluer
les avantages d’intégrer le cloud dans la stratégie de
leurs organisations.
Sujets :
o La valeur du cloud.
o La gouvernance du cloud.
o Les informations indispensables au conseil
d’administration (les questions).
1
Les équipes de management ont-
elles élaboré un plan concernant
le cloud computing ? Ont-elles
évalué la valeur générée et les
coûts d’opportunité ?

2
Dans quelle mesure les plans
relatifs au cloud computing
servent-ils la mission de
l’entreprise ?

3
Les équipes dirigeantes ont-elles
procédé à une évaluation
systématique de la préparation de
l’organisation ?

4
elles pris en compte les
investissements existants qui
pourraient être perdus dans leur
planification de mise en oeuvre du
cloud computing ?

5
elles élaboré des stratégies
permettant de mesurer le retour
sur investissement de l’adoption
du cloud computing et de l’évaluer
par rapport aux risques ?

Livres blanc 2012
Business Continuity Management: Emerging Trends

Cloud Computing Market Maturity Study Results
Security Considerations for Cloud Computing
Calculating Cloud ROI: From the Customer Perspective
Virtualization Desktop Infrastructure (VDI)
Incident Management and Response
Guiding Principles for Cloud Computing Adoption and
Use

Livres blanc 2011
Mobile Payments: Risk, Security and Assurance Issues.

Web Application Security: Business and Risk
Considerations.
Geolocation: Risk, Issues and Strategies.
Data Analytics—A Practical Approach.
Leveraging XBRL for Value in Organizations.
Sustainability.
Electronic Discovery.

À venir (2014)
Programmes d’audit (Cobit5)

Contrôle et audit du cloud
Génération de la valeur à partir des données massives
(2013)
Scénarios de risques (Cobit5 pour les risques)
Utilisation de Cobit 5 pour SOX
SAP ERP v4: aspects de sécurité, audit et contrôle

Groupe de recherche.
Sujets d’actualité.
Conseils pratiques.

Références techniques
Références techniques
Objectif :
o Faciliter aux professionnels de la sécurité, de l’audit
et du contrôle des TI (et non TI) l’évaluation des
produits installés.
Caractéristiques
o Livre format papier, payant.
o Téléchargement gratuit: sommaire, programme
d’audit et questionnaire de contrôle interne.
o Communauté de pratique.

PeopleSoft d’Oracle, v3, 2012
296 pages.
Sommaire (52
pages).

Suite Oracle e-Business, v3, 2010
407 pages.
Sommaire (38 pages).

SAP®ERP, v3, 2009
470 pages.
Sommaire (12
pages).

Base de données Oracle, v3, 2009
219 pages.
Sommaire (28 pages).

Exemple : Base de données Oracle
Architecture d’oracle DBMS.

Planification de l’audit.
Aspects de sécurité :
o Système d’exploitation, privilèges, contrôle d’accès,
relations de confiance, réseau.
Contrôles généraux.
Programme d’audit.
Questionnaire du contrôle interne.

Technologies spécifiques et
complexes.
Référence pour l’auditeur TI.

Programmes d’audit TI
Programmes d’audit TI et d’assurance
Objectif :
o Mettre à la disposition des professionnels de
l’assurance et de l’audit TI des exemples de
programmes d’audit avec une vocation éducative.
Caractéristiques :
o Modèle basé sur Cobit.
o Liens avec COSO, ITAF, Cobit.

Programmes d’audit TI et d’assurance
Gestion de crises, de changements, de continuité

d’affaires, de risques, etc.
Cloud, biométrie, VOIP, Medias sociaux, etc.
Lotus Notes, Sharepoint, Base de données MS-SQL,
MS File share, serveur de services web Apache, etc.
VPN, PKI, IPv6, Mobile computing, Active directory,
z/OS, VMWare, UNIX/Linux, etc.

Exemple : Virtualisation avec VMware
Planification
o la portée.
o l’audit de l’application.
Programme d’audit
o Gouvernance de l’environnement virtuel.
o Préparation sur le champ.
o Environnement virtuel.
o Respect des normes de l’organisation.
Évaluation de la maturité.
Architecture de virtualisation.
Indicateurs de performance.

4 Environnement virtuel
o 4.1 Hypervisor
• .1 Hardening guide.
• .2 Mot de passe «Root».
• .3 Lockdown mode.
• .4 Protection du shell ESXi.
• .5 Piste d’audit.
• .6 Mises à jour de l’hypervisor.
• .7 Séparation de fonctions.
• .8 Mot de passe de la base de données.

4.1.6 Mis à jour de l’hypervisor

Lien avec plusieurs

référentiels.
Technologies et sujets
variés.
Mise à jour vers Cobit 5.

Famille de produits Cobit5

Évolution de Cobit
1996 : Cobit V1 - pour l’audit TI

1998 : Cobit V2
2000 : Cobit V3
2005 : Cobit V4
o 2007 : Cobit 4.1, Val IT, Risk IT,…
2012 : Famille de produits Cobit 5

o 2013 : Cobit 5, pour l’assurance

Famille de produits Cobit 5

Famille de produits Cobit 5
Programme d’évaluation
o Process Assessment Programme.
o Self-Assessment Guide.
o Process Assessment Model.
o Assessor Guide.

Cobit 5 pour l’assurance
318 pages.
Format papier et numérique.
Volume payant.
Téléchargement :
o Présentation et brochure.

Objectifs :
o Orienter sur comment utiliser Cobit 5 pour la
fonction d’audit et d’assurance.
o Proposer une démarche d’audit basée sur les
facilitateurs de Cobit 5.
o Présenter des exemples de programmes
d’assurance (d’audit).

Table de matières :
o Section 1 : Concepts de base sur l’assurance et application
des principes de Cobit 5.
o Section 2A : Utilisation des facilitateurs de Cobit 5 pour la
gestion de la fonction d’audit ou d’assurance.
o Section 2B : Réalisation des mandats d’audit en utilisant
les facilitateurs de Cobit 5.
o Section 3 : Relation avec autres référentiels.
o Annexe B : Guide détaillé sur les facilitateurs pour la
fonction d’audit.
o Annexe C : Description détaillée des processus clés pour
l’audit.
o Annexe D : Exemples de programmes d’audit.

Les perspectives du guide

L’étendue du guide

Perspective : La fonction d’audit

Les composantes de l’audit

Les principes appliqués à l’audit TI
1 – Les parties prenantes

2 – L’entreprise de mur à mur
3 – Un cadre de référence intégré
4 – Démarche globale
5 – Distinction entre gouvernance et gestion
Exemple : 1-Les parties prenantes
Interne
o Comité d’audit.
o Groupes d’audit, risque et conformité.
o Direction exécutive et d’affaires.
Externe
o Actionnaires.
o Auditeurs externes.
o Entités de réglementation.
o Partenaires d’affaires et clients.

Exemple : 1-Les parties prenantes
Types d’engagements d’assurance

Exemple: 1-Les parties prenantes
Caractéristiques des types d’engagements
Exemple: Indépendance
o Pas requise ou non garantie (établir les responsabilités).
o Optimiser la fonction.
o Doit être établie, vérifiée et conservée.

Les facilitateurs et la fonction d’audit
Les facilitateurs de Cobit 5

Les facilitateurs et la fonction d’audit
1 - Principes, normes et cadre de références.

2 - Les processus.
3 – Les structures organisationnelles.
4 – Culture, éthique et comportement.
5 – Informations.
6 – Services, infrastructure et applications.
7 – Personnel, aptitudes et compétences.

Modèle générique des facilitateurs

1 - Principes, normes et cadres de réf.
Objectif :
o Identifier les principes, normes et cadres de référence
nécessaires pour construire et maintenir une fonction
d’audit TI efficace et efficiente.
Les normes d’audit TI

Les bonnes pratiques
o Le code d’éthique professionnelle.

2 - Les processus
Les processus clés pour la fonction d’audit

Exemple : Le processus EDM01
Les livrables du processus

Les indicateurs pour mesurer la performance du

processus

Les activités du processus

3 – Les structures organisationnelles
Les structures pour la fonction d’audit

o Comité d’audit et/ou de direction.
o Direction d’audit.
o Direction de conformité (interne, externe).
o Audit externe.
Les bonnes pratiques
o Composition.
o Mandat, principes d’opération, niveaux d’autorité et de
contrôle.
o Rôles et responsabilités (lien des rôles avec les processus
organisationnels).
o Intrants et extrants.

4 – Culture, éthique et comportement
Catégories
o Globales à l’organisation (5)
o Professionnelle (8)
o Gestion (10)

5 – Informations
Éléments d’information (18)

6 - Services, infrastructure et applications
Services
o Rapport et communication.
o Assurance qualité.
o Suivi du temps.
o Engagement des ressources.
o Accès à l’information.
o Suivi des lois, réglementations, etc.
o Risques émergents.
o Évaluation de la performance.

6 – Services, infrastructure et applications
Applications de support
o Registre des risques.
o Outils techniques (CAATs).
o Bibliothèque de pratiques d’audit.
o Gestion documentaire.
o Outils de planification.
o Suivi d’incidents.
o Outils d’analyse et d’échantillonnage.
o Workflow.
7 – Personnel, aptitudes et compétences
Rôles et compétences
o Description
o Expérience
o Éducation
o Qualifications
o Connaissance
o Compétences techniques
o Comportement

Questions

Perspective : Le processus d’audit

Le processus d’audit
Évaluation de la fonction d’audit TI

o Processus MEA01, MEA02, MEA03.
Évaluation des facilitateurs

o Démarche d’audit basé sur Cobit5.

Démarche d’audit basé sur Cobit5

Démarche d’audit basé sur Cobit5
Comprendre les
A-Déterminer Communication
facilitateurs et les
l’étendu des résultats
évaluer
• A1 ( 2) • B1 (2) • C1 (2)
• A2 (5) • B2 (5) • C2 (3)
• A3 (7) • B3 (7)
• B4 (5)
• B5 (5)
• B6 (5)
• B7 (5)
B8 (5)

Exemple : Flux de travail A-2.4
A-2.4 Traduire les priorités en objectifs d’audit

Exemple: Flux de travail A-3
A-3 Déterminer les facilitateurs

Exemple : Flux de travail B-7.5
B-7.5 Évaluation des services (f6)

Lien avec d’autres guides
ITAF
o Normes d’audit d’ISACA ITAF
IPPF IPPF
o Normes d’audit d’IIA SSAE-

16
SSAE-16
o Normes des rapports SOC

Exemple : Lien avec IPPF
IPPF :
o Cadre conceptuel de l’IIA qui organise les exigences
professionnelles des auditeurs.
o Composition: La définition d’audit interne, le code
d’éthique et les normes d’audit interne de l’IIA.

Exemple : Lien avec IPPF
Tableau comparatif

Questions

Programme d’audit - BYOD
Adaptation du processus
générique
o Structuré dans 3 phases
o Aligné avec Cobit5
Procédés et directives

Programme d’audit – BYOD
A-2.4 Traduire les priorités en objectifs d’audit

Programme d’audit – BYOD
A-3 Déterminer les facilitateurs

Exemple : Programme d’audit – BYOD
B-2.1 Évaluation des principes (f1) : Engagement

Exemple : Programme d’audit – BYOD
B-7.5 Évaluation des service (f6) : MDM

Adaptation de Cobit 5 pour

la fonction d’audit.
Approche structuré pour la
réalisation des mandats.
Exemples de programmes
d’audit actuels.

Merci
javier.bentancur@isaca-quebec.ca

Langue

Audit Guides

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Audit Guides

Transféré par

Droits d'auteur :

Formats disponibles

Les guides d’audit TI

ISACA Chapitre Québec

Javier Bentancur, CISA, MBA

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 2

1969 : «EDP Auditors Association»

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 3

Expliquer les guides d’audit TI d’ISACA et leur

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 4

Normes d’audit TI et d’assurance (ITAF v2)

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 5

Générales • Principes directeurs de la

Performance • Conduite de la mission

Rapport • Types de rapports, moyens de

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 8

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 9

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 10

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 11

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 12

Générales (série 2000)

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 13

• 1001.1 : Définit l’objectif, la

l’imputabilité de la fonction d’audit.

• 1001.2 : Indique que la charte d’audit

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 14

• Suggère un mandat pour la fonction d’audit.

• L’objectif, la responsabilité, l’autorité et la

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 15

Lien des directives avec Cobit

Norme Directive Cobit 4

1001 : Charte d’audit 2001 ME 4.7 – Assurance indépendante.

1206 : Utilisation du travail 2206 ME 2.5 – Assurance de contrôle

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 16

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 17

Concepts de base d’audit TI

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 19

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 20

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 21

• Fonction d’audit TI (6).

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 22

• Comment auditer une organisation de

services (rapport SOC).

• Comprendre le nouveau rapport SOC.

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 23

Transformation des données pour

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 24

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 25

Livres blanc (White papers)

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 27

Sécurité en tant que service (SAAS).

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 28

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 30

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 31

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 32

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 33

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 34

Business Continuity Management: Emerging Trends

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 35

Mobile Payments: Risk, Security and Assurance Issues.

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 36

Programmes d’audit (Cobit5)

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 37

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 38

4 déc 2013 ISACA Québec - www.isaca-quebec.ca 40