‘TRAVAUX DIRIGES AUDIT IT- INPHB Classes: ING INFO, ING TLR Choisissez la meilleure réponse selon les propositions. 1) Un auditeur des S| détermine la taille de I'échantillon appropriée pour tester I'efficacité du processus de gestion des changements. Aucun écart n'a été constaté au cours des deux derniéres années, lors des missions d'audit précédentes et parla Direction. L'auditeur peut adopter * Corrélation de confiance est la probabilité que le contréle ne fonctionne pas. A. coefficient de confiance plus élevé résultant en une taille d'échantillon plus petite. B. un coefficient de confiance plus faible résultant en une taille d’échantillon plus grande. C. un coefficient de confiance plus faible résultant en une taille d'échantillon petite. D. un coefficient de confiance plus élevé résultant en une taille d'échantillon plus grande. 2) La collecte de preuves pour évaluer l'intégrité des transactions individuelles, des données ou d'autres informations est typique a laquelle des situationssuivantes ? A. test de fondidétails B. test de conformité C. test de détection D. test de contréle 3) Llobjectif des tests de conformité est de garantir que : A. les contrdles sont mis en ceuvre tel que prescrit B. la documentation est compléte C. 'accés aux utilisateurs est fourni comme spécifié D. des procédures de validation des données sont fournies 4) Les auditeurs des SI sont TRES susceptibles de réduire la procédure de test de fond/détails s'ils concluent aprés le test de conformité que : A. un test de fond serait trop couteux B. l'environnement de contréle est médiocre C.le risque inhérent est faible D. les risques de contréle sont dans les limites acceptables 5) Lorsqu'un auditeur SI effectue un test pour s'assurer que seuls les utilisateurs actifs ont accés & l'application, l'auditeur SI effectue un :A. test de conformité B. test de fond C. échantillon statistique D. échantillonnage par jugement 6) La principale différence entre les tests de conformité et les tests de fond réside dans le fait que les tests de conformité : A. testent les détails, tandis que les tests de fond testent les contréles B. testent les contrdles, tandis que les tests de fond testent les détails C. testent les états financiers, tandis que les tests de fond vérifient les éléments de la balance générale D. testent les exigences internes, tandis que les tests de fond testent la maturité des procédures réglementaires 7) Lequel des éléments suivants est un test de fond ? A. verification de la conformité a la politique de pare-feu B. revue du respect de la politique de gestion du changement C. utilisation d'un échantillon statistique pour inventorier le stock D. revue des rapports d'historique des mots de passe 8) Le test pour déterminer si les 50 derniéres demandes de nouveaux utilisateurs ont été correctement traitées est un exemple de A. échantillonnage de découverte B. test de fond C. tests de conformité D. échantillonnage stop-or-go 9) En ce qui concerne la corrélation de confiance, on peut dire que : A. une petite taille d'échantillon donnera une corrélation de confiance élevée B. si un auditeur sait que les contrdles internes sont efficients, le coefficient de confiance peut étre abaissé C. une petite corrélation de confiance se traduira par une taille d'échantillon élevée D. si un auditeur sait que les contréles internes sont efficients, le coefficient de confiance peut étre augmenté 10) Un auditeur SI effectue un audit d'un processus de sauvegarde de serveur gérée 4 distance. L'auditeur SI examine les journaux pendant un jour et trouve un cas ol la journalisation sur un serveur a échouée et que le redémarrage de la sauvegarde ne peut pas étre confirmé. Que doit faire l'auditeur ? A. émettre une constatation d'audit B. rechercher une explication auprés de la direction du SIC. examiner les classifications des données conservées sur le serveur D. élargir I'échantillon de journaux examinés 11) Lequel des éléments suivants est le PLUS critique lors de la création de données pour tester la logique dans une nouvelle application ? A. une quantité suffisante de données pour chaque cas de test B. des données représentant les conditions attendues du traitement réel C. la réalisation du test dans les délais D. un échantillon aléatoire de données réelles 12) Llobjectif premier de la charte d'audit est de régir A. la fonction St B. les travaux du Commissaire aux Comptes C. la fonction d'audit interne D. la comptabilité 13) L'autorité, I'étendue et la responsabilité de la fonction d'audit du systeme d'information sont : A. définis par la charte d'audit approuvée par la Direction Générale et le Comité d’Audit B. definis par le responsable informatique de l'organisation, en tant qu'expert en la matiere C. définis par les différentes divisions fonctionnelles, en fonction de la criticité D. produits par la division de l'audit interne de I'organisation 14) La charte d'audit devrait inclure : A. la planification annuelle des ressources d'audit B. l'ensemble des activités de I’audit interne C. les directives de rédaction des rapports d'audit D. le calendrier annuel des audits 15) La cartographie des risques est utilisée pour élaborer : A. les plans de la stratégie commerciale de ‘organisation B. la charte d'audit C.le plan de contréle D. les decisions relatives a l'externalisation des activités16) Dans une approche d'audit basée sur les risques, un auditeur des SI, en plus du risque, serait principalement influencé par : A. la charte d'audit B. les intéréts personnels du Directeur Général C. lastructure organisationnelle D. les contrats d'externalisation 17) Un auditeur SI examine un organigramme PREMIEREMENT pour : A. obtenir des informations sur le flux des données B. évaluer le nombre d'employés dans chaque département C. comprendre les responsabilités et I'autorité des individus D. évaluer le nombre d'ordinateurs portables / de bureau dans chaque département 18) Le document utilisé par la Direction Générale pour déléguer des pouvoirs a la fonction d'audit des SI externe est : A. le calendrier d'audit B. la charte d'audit C. le registre des risques D. la lettre de la mission d’audit 19) L'objectif principal d'une charte d'audit est de: A. décrire la procédure d'audit interne B. définir les besoins en ressources du service d'audit interne C. prescrire le code de déontologie utilisé par I'auditeur D. prescrire l'autorité et les responsabilités du service d'audit interne 20) La charte d'audit doit étre approuvée par le plus haut niveau de direction et doit : A. étre réguliérement mise a jour pour s‘adapter a la nature changeante de la technologie et dela profession d'audit interne B. inclure le calendrier d'audit ainsi que 'allocation des ressources C. inclure un plan d'action en cas de perturbation des services commerciaux D. décrire I'autorité, I'étendue et les responsabilités de la fonction d'audit 21) Une charte d'audit doit énoncer les objectifs et la délégation de pouvoirs de la direction en matiére d'audit des SI et DOIT étre : A. approuvée par la Direction Générale B. approuvée par le chef de la vérification C. approuvée par le service informatique D. approuvée par le comité de pilotage informatique 22) Dans audit d'une application de vente, quelle approche fournirait la MEILLEURE preuve que les bons de commande sont valides ?AA. tester si un personnel inapproprié peut modifier les paramétres de sécurité de "application B. verifier que les noms des clients inscrits sur les bons de commandes sont présents dans la base des clients de I'entreprise C. comparer les rapports de réception avec les détails des bons de commande D. revoir la documentation de l'application 23) La mesure dans laquelle les données seront collectées lors d'un audit SI doit étre déterminée sur la base : A. disponibilité des informations critiques et requises B. familiarité de l'auditeur avec les audités C. la capacité de l'audité a trouver des preuves pertinentes D. le but et la portée de l'audit en cours 24) Un Auditeur des SI effectue la revue des contrdles d'une application et trouve une faiblesse qui pourrait avoir un impact significatif sur "application. Toutefois, une revue plus approfondie est nécessaire pour son identification, dans cette situation lauditeur devrait: A. ignorer ces faiblesses parce qu’elles ne pourraient étre identifi¢es avec le programme de travail defini au préalable B. effectuer une revue approfondie et reporter les faiblesses découvertes C. inclure dans le rapport d’audit que le périmatre de la mission est limitée 8 une revue des contrdles de l'application D. effectuer la revue des contrdles applicatifs et recommander une revue plus approfondie de l'application 25) Un élément clé d'une analyse des risques est: A. la planification de l'audit B. le contréle C. la vulnérabilité D. le passif 26) Un auditeur Si découvre des preuves de fraude perpétrée avec I'identifiant d'un responsable. Le responsable avait écrit le mot de passe, attribué par I'administrateur systéme, dans le tiroir de son bureau. L'auditeur des S! doit conclure que : A. assistant du directeur a commis la fraude 8. l'auteur de la fraude ne peut étre établi au-dela de tout doute C. la fraude doit avoir été perpétrée par le responsable D. I'administrateur du systeme a commis la fraude 27) Lors d'un audit de sécurité des processus informatiques, un auditeur des SI a constaté qu'll n'y avait pas de procédures de sécurité documentées. L'auditeur SI doit :A. créer le document de procédures de sécurité B. mettre fin a l'audit C. effectuer des tests de conformité D. identifier et évaluer les pratiques existantes 28) Lors de I'élaboration d'une stratégie d'audit basée sur les risques, un auditeur des SI doit effectuer une évaluation des risques pour s'assurer que A. les contréles nécessaires pour atténuer les risques sont en place B. les vulnérabilités et les menaces sont identifi¢es C.les risques d'audit sont pris en compte D. une analyse des écarts est appropriée 29) Lequel des éléments suivants serait normalement la preuve la PLUS fiable pour un auditeur ? A. une lettre de confirmation recue d'un tiers vérifiant le solde d'un compte bancaire B. I'assurance de la hiérarchie qu'une application fonctionne comme prévu C. les données sur les tendances obtenues a partir de sources du World Wide Web (Internet) D. I'analyse des ratios élaborés par l'auditeur des SI a partir des rapports fournis par la hiérarchie 30) Lors d'une revue des contréles sur le processus de définition des niveaux de service informatique (SLA), un auditeur des SI interrogera le plus probablement : A. le programmeur de syst@mes B. le personnel juridique C. le manager business D. le programmeur d'application 31) Dans le cadre d'une analyse des risques, un auditeur SI a identifié des menaces et des impacts potentiels, alors ’auditeur SI doit : A. identifier et évaluer le processus d'évaluation des risques utilisé par Ventreprise B. identifier les actifs informationnels et les systémes sous-jacents C. divulguer les menaces et les impacts a la Direction Générale D. identifier et évaluer les contréles existants 32) La Direction Générale a demandé qu'un auditeur interne des S! aide le Département Logistique a mettre en ceuvre les contréles nécessaires. L'auditeur SI doit : A. refuser la mission car ce n'est pas le réle de l'auditeur SI B. informer la direction de son incapacité 4 mener des audits futurs auprés du Département Logistique C. effectuer la mission et les audits futurs auprés du Département Logistique avec le soin professionnel requisD. obtenir l'approbation de la Direction Logistique pour effectuer la mise en ceuvre et le suivi 33) Laquelle des raisons suivantes est la plus probable pour laquelle les systémes de messagerie électronique sont devenus une source utile de preuves pour les litiges ? ‘A. plusieurs cycles de fichiers de sauvegarde restent disponibles B. les contrOles d'acces établissent la responsabilité des activités de courrier électronique C. la classification des données régit les informations 4 communiquer par email. D. au sein de l'entreprise, une politique claire d'utilisation du courrier électronique garantit que les preuves sont disponibles 34) Lequel des éléments suivants est un avantage d'une approche de planification de audit basée sur les risques d’audit : A. la planification peut étre effectuée des mois a l'avance B. les budgets sont plus susceptibles d'étre respectés par les auditeurs SI C. le personnel sera exposé a une variété de technologies D. les ressources sont allouges aux domaines les plus risqués 35) Lors de la planification d'un audit, une évaluation des risques doit étre effectuée pour fournir : A. assurance raisonnable que l'audit portera sur des éléments importants B, l'assurance definitive que les éléments significatifs seront couverts pendant les travaux d'audit C. l'assurance raisonnable que tous les éléments seront couverts par l'audit D. une assurance suffisante que tous les éléments seront couverts pendant les travaux d'audit 36) Les décisions et actions d'un auditeur SI sont le PLUS susceptibles d'influer sur lequel des risques suivants ? A. inhérent B. détection C. contréle D. opérationnel 37) Les diagrammes de flux de données sont utilisés par les auditeurs des SI pour ‘A. ordonner les données de maniére hiérarchique B. mettre en évidence les définitions de données de haut niveau C. résumer graphiquement les chemins et le stockage des données D. décrivez les détails étape par étape le parcours des données38) La revue des plans stratégiques 8 long terme de la direction aide l'auditeur des SI: A. acquérir une compréhension des buts et objectifs de organisation B. tester les contrdles internes de l'entreprise C. évaluer le recours de l'organisation aux systémes d'information D. déterminer le nombre de ressources d'audit nécessaires 39) Le risque qu'un auditeur des SI utilise une procédure de test inadéquate et conclue & absence d'erreurs significatives alors qu'en fait elles le sont est un exemple de : A. risque inhérent B. risque de contréle C. risque de detection D. risque d'audit 40) Un auditeur des SI a évalué les contréles d'intégrité des données d'une application financiére. Laquelle des constatations suivantes serait la PLUS significative ? A. le propriétaire de l'application n’était pas au courant de plusieurs changements appliqués & l'application par le service informatique B. les données de application ne sont pas sauvegardées qu'une fois par semaine C. la documentation de développement de l'application est incomplete D. kes installations de traitement de l'information ne sont pas protégées par des systémes de détection d'incendie appropriés 41) Le risque global pour une menace particuliére peut étre exprimé comme suit : A. le produit de la probabilité et de I'ampleur de I'impact si une menace réussit 4 exploiter une vulnérabilité B. I'ampleur de l'impact si une source de menace exploitait avec succes la vulnérabilité C. la probabilité qu'une source de menace donnée exploite une vulnérabilité donnée D. le jugement collectif de 'équipe d'évaluation des risques 43) Laquelle des étapes suivantes un auditeur des SI effectuerait-il normalement EN PREMIER lors d'un examen de sécurité d'un Data Center ? A. évaluer les résultats des tests d'accés physique B. déterminez les risques/menaces sur le site du Data Center C. examiner les procédures de continuité des activités D. tester le bon fonctionnement des issus de secourss.