Académique Documents
Professionnel Documents
Culture Documents
C.I.S.A
Mustapha BOUSSEMHA
1
PRESENTATIONS
Formateur ??
Participants ??
2
DEROULEMENT DU COURS
- Cinq (5) jours
- Nombre d’heures : 30 heures
- Matin : 9h – 12h
- Après midi : 14h-17h
- 2 pauses café par jour
- 1 pause déjeuner
- Cours + séries de Q/R
- Examen Blanc (50 Q)
3
ISACA/CISA
La marque d’excellence pour un programme de
certification professionnel repose sur la valeur et la
reconnaissance qu’il confère à la personne qui
l’obtient.
4
L’examen
• Le même jour partout dans le monde
• 200 Q
• 4 heures
• Un score de passage >= 150
• Les résultats officiels sont envoyés aux candidats
par courrier environ huit semaines après la date de
l’examen.
5
REGISTRATION
• Registration: Juin 2013 / Décembre 2013
6
Exam location
7
Domaines du CISA
Domaine 1: Processus d’Audit des Systèmes
d’Information………….14% et 28 Questions d’examen
9
Domaine 1:
Processus d’Audit des
Systèmes d’Information
10
SOMMAIRE DU DOMAINE1
Le processus d’audit des SI
Introduction
Contrôles
COBIT
Q/R
11
PRESENTATION DU DOMAINE 1
12
DEFINITION
« L’Audit est une activité indépendante et objective qui
donne à une organisation :
une assurance sur le degré de maîtrise de ses
opérations,
lui apporte ses conseils pour les améliorer et
contribue à créer de la valeur ajoutée.
13
Audit, Conseil et Expertise
14
NORMES ISACA POUR L’AUDIT SI
15
Les standards professionnels
Lois et règlements
16
Les standards professionnels
Lois et règlements
La façon d’auditer :
• La D.G et le département IT ont-t-ils prévu la prise en
compte des lois dans leurs stratégies, plans, procédures?
17
Le code d’éthique professionnelle
L’ISACA a établi ce code d’éthique professionnelle
afin de guider le comportement professionnel et
personnel des membres de l’Association et les
détenteurs du CISA.
18
ANALYSE DU RISQUE
19
Les standards professionnels:
Le risque
Décomposition d’un risque :
Menace (ou vulnérabilité) sur un processus ou sur un actif,
Impact sur ce processus ou cet actif,
Probabilité que cela arrive.
Les recommandations.
20
CONTROLES INTERNES
Contrôles préventifs
Contrôles détectifs
Contrôles correctifs
22
23
REALISATION D’UN AUDIT DE SI
1. Domaine et objectif de l’audit
3. Enquête préliminaire
5. Evaluation
7. Rapport d’audit
25
1 - Définition de la mission :
Etablissement de la lettre de mission
Partir des attentes du demandeur d’audit
Ne pas hésiter à passer du temps à bien les
comprendre
Ce n’est pas toujours clair dans leur tête, c’est
d’ailleurs pour cela qu’ils demandent un audit
Si c’est nécessaire faire un pré-diagnostic
Etablir une liste des questions
Faire une lettre de mission
Souvent il faut rédiger la lettre de mission
26
2 - Planification de la mission :
27
3 - La collecte des faits, la
réalisation des tests, …
L’auditeur ne doit prendre en compte que les faits et il doit se
méfier des opinions
On ne peut pas se contenter des « dires » des audités, il faut se
baser sur des faits
On s’organise pour trouver les faits dont on a besoin :
Les volumes
Les tests, les jeux d’essais,
Les mesures de performances (temps de réponses, TPM, …)
Les incidents d’exploitation, les anomalies, les erreurs, les
bugs,
……..
Les faits, rien que les faits, tous les faits
Importance de la collecte de faits significatifs et si on a du mal à
les obtenir nécessité d’effectuer des tests.
28
4 - Entretiens avec les audités
29
5 - Faut-il un rapport ?
• Si on demande à l’auditeur
des jugements de personne, on
s’interdit de le faire par écrit
33
L’établissement des recommandations
opérationnelles
• Les décideurs apprécient la qualité des audits
aux recommandations qui sont faites
• Il faut des mesures concrètes et faciles à mettre
en œuvre
• Il faut distinguer les recommandations :
• A court terme, qui peuvent être mises en place
sans délai et sans investissement
• A moyen terme, c’est-à-dire demandant des
études complémentaires
• A long terme, qui demandent des
investissements lourds ou la remise en cause
des politiques antérieures
34
7 - Présentation et discussion
du rapport
• Il faut organiser des présentations du rapport
d’audit pour
Le (ou les demandeurs) d’audit
Le management de l’informatique
Le service informatique (encadrement ou toute l’équipe)
• Dix à quinze slides pas plus (20 à 30 minutes)
• Communiquer sur l’essentiel
• Vendre les recommandations en mettant en avant
4 à 6 mesures « emblématiques »
• Ne pas «négocier» le contenu de la présentation
(ni du rapport, ni des recommandations)
35
Bâtir un plan d’action
• La liste des recommandations ne fait pas un plan
d’action
• Un certain nombre d’opérations complémentaires
sont nécessaires :
Sélectionner les mesures et les hiérarchiser
Approfondir et compléter les actions
Effectuer des analyses complémentaires
Fixer les responsabilités
• Le plan d’action doit être validé par le
management (Comité de Direction, Comité de Pilotage,
Commission informatique, …)
• Souvent de spécifiques moyens doivent lui être
affectés
36
Le suivi des recommandations et
du plan d’action
• Il est nécessaire de mettre en place un dispositif de
suivi des recommandations et du plan d’actions
• L’expérience montre que si on ne met pas en place un
suivi des recommandations, elles ne sont pas
appliquées, ou du moins on n’applique que celles qui
ne posent pas de problèmes et les autres sont laissées
à leur triste sort
• Il est donc nécessaire de mettre en place un
suivi des mesures choisies
• Faire un point périodique sur le degré de mise en
place des recommandations (tous les 3 ou tous les 6 mois)
• L’efficacité des audits informatiques se joue en partie
sur la mise en place d’un suivi
37
Comment améliorer la qualité de
la démarche?
Risque de contrôle
Les erreurs ne sont pas parvenues ou non détectées
à temps par le système de contrôle interne
Risque de détection
Risque pour l’auditeur de conclure à tort en l’absence
d’erreur, par exemple si les tests sont inadéquats
39
Techniques de sondage
• Echantillonnage statistique
40
Echantillonnage
41
Techniques d’audit assistées par
ordinateur
• Générateurs de jeux d’essais et Systèmes experts
(CAAT)
• Utilitaires des progiciels (vérification des paramètres)
• Outils de capture (snapshot) : suivi de transactions
spécifiques ; snapshots à différents endroits
• Traçage débogage : (Tracing and tagging)
• Fichier d’audit (piste d’audit = Audit trial)
• Dispositif de test intégré (ITF) : créé un fichier de
de transactions (fictives) exécutées // live data
• Logiciels d’audit généralisés :(GAS, SCARF, SARF …)
Remarque : Les processus ne peuvent pas être interrompus et
on opère sur la machine de production
42
Contrôle de l’auto évaluation
CSA (Control Self Assessment)
44
REALISATION D’UN AUDIT SI
Eléments Probants (EP)
Les éléments probants sont recueillis et
évalués par rapport aux objectifs à atteindre
La nature des EP
45
En résumé sur les Q/R de ce
domaine(1)
46
En résumé sur les Q/R de ce
domaine(2)
Les contrôles :
• Préventifs
• Détectifs
• Correctifs
Les tests :
• Tests de conformité (Respect des procédures)
• Tests substantifs (vérification, de valeur, de
chiffres…)
L’échantillonnage :
• Par attribut (conformité)
• Par variable (Substantif)
47
En résumé sur les Q/R de ce
domaine(3)
Les risques :
• Inhérents, de non détection, d’audit, d’erreur
49
En résumé sur les Q/R de ce
domaine(5)
50