Cycle de Préparation au

C.I.S.A
Mustapha BOUSSEMHA

Préparation Examen CISA 2013

Réussir la certification CISA

1
PRESENTATIONS

Formateur ??

Participants ??

2
DEROULEMENT DU COURS
- Cinq (5) jours
- Nombre d’heures : 30 heures
- Matin : 9h – 12h
- Après midi : 14h-17h
- 2 pauses café par jour
- 1 pause déjeuner
- Cours + séries de Q/R
- Examen Blanc (50 Q)

3
 ISACA/CISA
La marque d’excellence pour un programme de
certification professionnel repose sur la valeur et la
reconnaissance qu’il confère à la personne qui
l’obtient.

Depuis 1978, le programme des Auditeurs certifiés

de systèmes d’information (Certified Information
Systems Auditor CISA), parrainé par ISACA, est la
norme mondialement acceptée de reconnaissance
parmi les professionnels de l’audit, du contrôle et de
la sécurité des systèmes d’information (SI).

4
 L’examen
• Le même jour partout dans le monde
• 200 Q
• 4 heures
• Un score de passage >= 150
• Les résultats officiels sont envoyés aux candidats
par courrier environ huit semaines après la date de
l’examen.

5
 REGISTRATION
• Registration: Juin 2013 / Décembre 2013

• Registration Opens: 10-12-2012/17-06-2013

• Early Registration: 15-02-2013/ 21-06-2013

• Final registration: 12 Avril 2013/25-10-2013

• Exam : 8 Juin 2013 / 14 Décembre 2013

6
Exam location

7
 Domaines du CISA
Domaine 1: Processus d’Audit des Systèmes
d’Information………….14% et 28 Questions d’examen

Domaine 2: – Gouvernance et Gestion des TI ………….14%

et 28 Questions d’examen

Domaine 3: Acquisition, Conception et Implantation des

Systèmes d’Information……………19% et 38 Questions
d’examen

Domaine 4: Exploitation, Entretien et Soutien des

Systèmes d’Information………23% et 46 Questions
d’examen

Domaine 5: Protection des Actifs

Informationnels……30% et 60 Questions d’examen
8
Domaines du CISA

9
 Domaine 1:
Processus d’Audit des
Systèmes d’Information

10
 SOMMAIRE DU DOMAINE1
Le processus d’audit des SI
Introduction

Normes d’audit des systèmes d’information

Analyse des risques

Contrôles

COBIT

Réalisation d’un audit

Q/R

11
PRESENTATION DU DOMAINE 1

« Le processus d’audit des S.I. »

OBJECTIF : s’assurer que le candidat au

CISA a les connaissances méthodologiques pour
mener un audit.

12
 DEFINITION
« L’Audit est une activité indépendante et objective qui
donne à une organisation :

une assurance sur le degré de maîtrise de ses
opérations,

lui apporte ses conseils pour les améliorer et

contribue à créer de la valeur ajoutée.

L’Audit aide l’organisation à atteindre ses objectifs en

évaluant, par une approche systématique et
méthodique, ses processus de :

management des risques,

de contrôle et

de gouvernement d’entreprise,
et en faisant des propositions pour renforcer leur
efficacité. »

13
 Audit, Conseil et Expertise

EXPERTISE AUDIT CONSEIL

Spécialiste d’un domaine Démarche de généraliste Connaissance d’un domaine

Analyse technique Analyse de processus Analyse de processus

Mesures de performances Collecte de faits Collecte de faits

Solution et optimisation Recommandations Axes d’amélioration

Obligation de résultats Obligation de moyens Obligation de moyens

14
 NORMES ISACA POUR L’AUDIT SI

• Charte d’audit • Irrégularités et actes illégaux

• Indépendance • Gouvernance des TI
• Ethique • Utilisation de l’évaluation
• Compétence professionnelle des risques
• Planification • Importance relative
• Performance (Supervision, • Utilisation du travail d’autres
Eléments probants, experts
Documentation) • Eléments probants
• Rapports • Contrôles de TI
• Activités de suivi • Commerce électronique

15
Les standards professionnels
Lois et règlements

Lois et règlements sectoriels : banques,

mutuelles, secteur alimentaire, secteur
pharmaceutique,…

Lois et règlements applicables aux Systèmes

d’Information.

16
 Les standards professionnels
Lois et règlements

La façon d’auditer :
• La D.G et le département IT ont-t-ils prévu la prise en
compte des lois dans leurs stratégies, plans, procédures?

• Revue des documents du département, de la fonction

ou de l’activité, qui permettent de répondre aux besoins
légaux et sectoriels.

• Déterminer l’adhésion aux procédures qui permettent

d’atteindre les objectifs.

17
 Le code d’éthique professionnelle
L’ISACA a établi ce code d’éthique professionnelle
afin de guider le comportement professionnel et
personnel des membres de l’Association et les
détenteurs du CISA.

18
 ANALYSE DU RISQUE

Partie intégrante de la planification de

l’audit, l’analyse du risque aide l’auditeur à
repérer les risques et les vulnérabilités
afin de lui permettre d’orienter ses travaux.

19
 Les standards professionnels:
Le risque
Décomposition d’un risque :
 Menace (ou vulnérabilité) sur un processus ou sur un actif,
 Impact sur ce processus ou cet actif,
 Probabilité que cela arrive.

Evaluation des risques :

 Les biens concernés
 Les menaces
 Les vulnérabilités

Les recommandations.

20
 CONTROLES INTERNES

Contrôle : les politiques,

l’organisation, les pratiques conçues
pour apporter une assurance raisonnable
que les objectifs de l’entreprise seront
atteints et que les évènements indésirables
seront prévenus ou détectés et corrigés.

Objectif de contrôle : le résultat à

atteindre par la mise en place du contrôle
dans une activité donnée.
21
 Contrôles
Classification

Contrôles préventifs

Contrôles détectifs

Contrôles correctifs

22
23
REALISATION D’UN AUDIT DE SI
1. Domaine et objectif de l’audit

2. Etendue des travaux

3. Enquête préliminaire

4. Recueil d’éléments probants

5. Evaluation

6. Communication avec la direction

7. Rapport d’audit

8. Suivi des recommandations

24
Synthèse du déroulement d’une mission d’audit

25
 1 - Définition de la mission :
Etablissement de la lettre de mission
 Partir des attentes du demandeur d’audit
 Ne pas hésiter à passer du temps à bien les
comprendre
 Ce n’est pas toujours clair dans leur tête, c’est
d’ailleurs pour cela qu’ils demandent un audit
 Si c’est nécessaire faire un pré-diagnostic
 Etablir une liste des questions
 Faire une lettre de mission
 Souvent il faut rédiger la lettre de mission

26
 2 - Planification de la mission :

 Il faut dès le départ annoncer la démarche suivie

 Pour l’auditeur externe rôle de la proposition
 Pour l’auditeur interne rôle du plan d’audit
 Il faut détailler le programme de travail
 Prévoir suffisamment à l’avance la
collecte des faits et les tests à organiser
(délais souvent longs)
 Savoir limiter le nombre des entretiens (C’est un
très gros consommateur de temps et de délais)
 Une mission d’audit insuffisamment préparée est
une mission à risque

27
 3 - La collecte des faits, la
réalisation des tests, …
 L’auditeur ne doit prendre en compte que les faits et il doit se
méfier des opinions
 On ne peut pas se contenter des « dires » des audités, il faut se
baser sur des faits
 On s’organise pour trouver les faits dont on a besoin :
 Les volumes
 Les tests, les jeux d’essais,
 Les mesures de performances (temps de réponses, TPM, …)
 Les incidents d’exploitation, les anomalies, les erreurs, les
bugs,
……..
Les faits, rien que les faits, tous les faits
 Importance de la collecte de faits significatifs et si on a du mal à
les obtenir nécessité d’effectuer des tests.

28
 4 - Entretiens avec les audités

 Au contraire, spontanément les audités se méfient

des faits et ils ont tendance à préférer les opinions
 Au cours des entretiens, ne pas se disperser, cibler
les questions
 Avoir une liste de thèmes
 Ne pas prendre parti dans les déclarations des
audités
 Evaluer avec prudence les « dires »
 La lettre d’audit vous donne un mandat. Vous
représentez le demandeur d’audit
 Le nombre d’entretiens est une variable importante
expliquant la durée de l’opération et la charge de
travail

29
 5 - Faut-il un rapport ?

• Il existe une curieuse mode consistant à ne pas

remettre de rapport d’audit
• De nombreux arguments :
 C‘est long à faire
 Les décideurs n’ont pas le temps de le lire
 Il ne sert à rien
 ….
• Il serait préférable de faire une présentation
PowerPoint
• C’est une grave erreur , Il faut les deux : le
rapport et la présentation
30
 6 - Le rapport d’audit : la conception, la
rédaction, la présentation
• Le rapport d’audit est un document de référence
• Importance de définir à qui il est destiné et comment il
sera diffusé
• C’est un long travail
• Commencer à le rédiger à partir de la moitié de la
mission. Sur une mission de deux mois dès la fin du 1er
mois
• Le corps doit, dans la mesure du possible, être traité dans
l’ordre des questions d’audit se trouvant dans la lettre
de mission
• Les recommandations doivent être classées en
mesures à court terme, à moyen terme et à long terme
• Faire une synthèse en 2 pages (plus souvent 4)
31
 Quelques conseils de rédaction du
rapport d’audit (1)

• Etre pédagogue, expliquer les termes et les concepts

utilisés

• Eviter les accumulations de faits ou de remarques sans

qu’apparaisse la structure d’ensemble

• Faire des synthèses et des récapitulations

• Ne pas porter de jugement de valeur

• L’auditeur base ses appréciations sur des référentiels

largement reconnus
32
 Quelques conseils de rédaction du
rapport d’audit (2)

• S’il n’y a pas de référence ou si la doctrine est

incertaine, il faut le signaler et dans ce cas
jouer un rôle de conseil

• Si on demande à l’auditeur
des jugements de personne, on
s’interdit de le faire par écrit

• Faite attention à la forme et au style

33
 L’établissement des recommandations
opérationnelles
• Les décideurs apprécient la qualité des audits
aux recommandations qui sont faites
• Il faut des mesures concrètes et faciles à mettre
en œuvre
• Il faut distinguer les recommandations :
• A court terme, qui peuvent être mises en place
sans délai et sans investissement
• A moyen terme, c’est-à-dire demandant des
études complémentaires
• A long terme, qui demandent des
investissements lourds ou la remise en cause
des politiques antérieures
34
 7 - Présentation et discussion
du rapport
• Il faut organiser des présentations du rapport
d’audit pour
 Le (ou les demandeurs) d’audit
 Le management de l’informatique
 Le service informatique (encadrement ou toute l’équipe)
• Dix à quinze slides pas plus (20 à 30 minutes)
• Communiquer sur l’essentiel
• Vendre les recommandations en mettant en avant
4 à 6 mesures « emblématiques »
• Ne pas «négocier» le contenu de la présentation
(ni du rapport, ni des recommandations)

35
 Bâtir un plan d’action
• La liste des recommandations ne fait pas un plan
d’action
• Un certain nombre d’opérations complémentaires
sont nécessaires :
 Sélectionner les mesures et les hiérarchiser
 Approfondir et compléter les actions
 Effectuer des analyses complémentaires
 Fixer les responsabilités
• Le plan d’action doit être validé par le
management (Comité de Direction, Comité de Pilotage,
Commission informatique, …)
• Souvent de spécifiques moyens doivent lui être
affectés
36
 Le suivi des recommandations et
du plan d’action
• Il est nécessaire de mettre en place un dispositif de
suivi des recommandations et du plan d’actions
• L’expérience montre que si on ne met pas en place un
suivi des recommandations, elles ne sont pas
appliquées, ou du moins on n’applique que celles qui
ne posent pas de problèmes et les autres sont laissées
à leur triste sort
• Il est donc nécessaire de mettre en place un
suivi des mesures choisies
• Faire un point périodique sur le degré de mise en
place des recommandations (tous les 3 ou tous les 6 mois)
• L’efficacité des audits informatiques se joue en partie
sur la mise en place d’un suivi
37
 Comment améliorer la qualité de
la démarche?

1. Un ordre de mission clair identifiant le demandeur

d’audit
2. Des points d’échange réguliers avec le demandeur
d’audit
3. Annoncer au départ la démarche qui sera suivie
4. Manifester son indépendance notamment lors des
entretiens
5. Refuser les tentatives d’élargissement de la mission
6. Bétonner par des faits, des analyses…
7. Se méfier des ragots, des bruits, des on-dits, …
8. Ne pas tirer sur tout ce qui bouge
9. Etre positif : dire ce qui marche, …
10. Faire des recommandations professionnelles 38
 Risque d’audit
Risque inhérent
Risque d’une erreur importante en l’absence de
contrôles compensatoires (du à la nature de l’activité)

Risque de contrôle
Les erreurs ne sont pas parvenues ou non détectées
à temps par le système de contrôle interne

Risque de détection
Risque pour l’auditeur de conclure à tort en l’absence
d’erreur, par exemple si les tests sont inadéquats

39
 Techniques de sondage

• Une vérification de toute une population n’est pas

toujours possible

• Echantillonnage statistique

Par attribut (tests de conformité)

Par variable (tests substantifs)

40
 Echantillonnage

Niveau de confiance (ex : 95%) =1 - risque

d’échantillonnage

Probabilité que l’échantillon représente la

population

La taille de l’échantillon est fonction du

niveau de confiance

41
 Techniques d’audit assistées par
ordinateur
• Générateurs de jeux d’essais et Systèmes experts
(CAAT)
• Utilitaires des progiciels (vérification des paramètres)
• Outils de capture (snapshot) : suivi de transactions
spécifiques ; snapshots à différents endroits
• Traçage débogage : (Tracing and tagging)
• Fichier d’audit (piste d’audit = Audit trial)
• Dispositif de test intégré (ITF) : créé un fichier de
de transactions (fictives) exécutées // live data
• Logiciels d’audit généralisés :(GAS, SCARF, SARF …)
Remarque : Les processus ne peuvent pas être interrompus et
on opère sur la machine de production
42
 Contrôle de l’auto évaluation
CSA (Control Self Assessment)

 Les contrôles sont autoévalués par un service en

présence des auditeurs qui interviennent pour
faciliter le processus.

 Utilisation de techniques telles que les

questionnaires, les groupes de travail audités-
auditeurs.

 Sensibilisation aux besoins de contrôle.

 Implication de la hiérarchie et de l’audit interne

43
 Les objectifs du CSA

 Amélioration du processus de contrôle (cela ne

remplace pas l’audit)

 Sensibilisation du management au contrôle et à

la surveillance

 Mobilisation de tout le monde sur les domaines à

haut risque

44
 REALISATION D’UN AUDIT SI
Eléments Probants (EP)
 Les éléments probants sont recueillis et
évalués par rapport aux objectifs à atteindre

 La fiabilité des EP doit être recherchée

 Les sources externes sont plus fiables que les

sources internes

 La qualification des personnes sources

d’information

 La nature des EP
45
 En résumé sur les Q/R de ce
domaine(1)

 La charte : L’indépendance de l’auditeur vis-à-vis du domaine

audité
 L’auditeur doit toujours, valider avec l’audité ce qu’il a
trouvé, les pistes d’audits, vérifier avant de rapporter,
tester avant de rapporter
 Il doit rapporter soit au comité directeur soit au Top
Management
 L’auditeur doit en premier lieu collecter les
informations sur le domaine à auditer
 La mission d’audit ne doit jamais sortir de son
périmètre

46
 En résumé sur les Q/R de ce
domaine(2)
 Les contrôles :
• Préventifs
• Détectifs
• Correctifs
 Les tests :
• Tests de conformité (Respect des procédures)
• Tests substantifs (vérification, de valeur, de
chiffres…)
 L’échantillonnage :
• Par attribut (conformité)
• Par variable (Substantif)
47
 En résumé sur les Q/R de ce
domaine(3)
 Les risques :
• Inhérents, de non détection, d’audit, d’erreur

 Le Control Self Assessment

 La planification (Court terme, long terme)
 Le comité de pilotage et ses différents attributions
 Différence entre politiques et procédures
 Les politiques:
 Ce sont des documents « Top Management »
 Elles représentent la philosophie et la vision du Top
Management et des « Process Owner »
 Les procédures :
 Ce sont des documents détaillés
 Elles sont dérivées de politiques mères
48
 En résumé sur les Q/R de ce
domaine(4)

 L’auditeur doit vérifier la conformité des pratiques

observées par rapport à la politique ou à la procédure
(l’observation est le meilleure moyen pour le faire)

 L’auditeur doit s’assurer que les politiques et

procédures ont été communiquées

 L’auditeur doit assurer son indépendance. Il ne doit

pas être influencé .

49
 En résumé sur les Q/R de ce
domaine(5)

 Les tâches qui incombent à chaque fonction DSI

 La séparation de tâches
 Mise en situation !
 Contrôles compensatoires
 La sous-traitance
 Le choix, l’évaluation
 Le risque
 La sécurité
 La criticité de ce qui est sous traité …

50