Académique Documents
Professionnel Documents
Culture Documents
Pour l'auditeur:
L'audit est le processus permettant la vérification de
l'information et déterminer la précision et la fiabilité des
assertions du rapport
– La vérification est le processus de collecte d'évidence
suffisante permettant à l'auditeur de confirmer l'exactitude
de ses constatations, in extenso de sa prise de position
● Les évidences d'audit sont toutes les informations qu'un
auditeur utilise pour démontrer ses constats
Code d'éthique professionnel
L'audit Définition
Diligence et professionnalisme
Quelques exemples:
Audit financier
Audit opérationnel
Audit de conformité (lois, règlements)
Autres audits spécifiques:
– Audit intégré (combinant les aspects financiers et opérationnels
– Audit administratifs (évaluation de l'efficacité opérationnelle /
productivité)
– Audit du système d'information
– Audit spécialisé (domaine spécifique, démarche standardisée,...)
– Audit de forensic (cas de fraude)
– ...
Contexte d'intervention
L'audit
ACTIONS
objectifs
Personnes et
organisation
Stratégie de
l'entreprise
PLAN
Pilotage d'un
projet
ACT DO
objectifs
objectifs
... CHECK
Processus et
Outils et PRINCIPE
fonctionnement technologie D'INDEPENDANCE
Contexte d'intervention
L'audit Contexte d'intervention
ACTIONS
objectifs
Stratégie de
l'entreprise
PLAN
objectifs
Pilotage d'un
projet
ACT DO
objectifs
... CHECK
PRINCIPE
D'INDEPENDANCE
Processus d'audit
Opérationnel
Conformité
Financier
Principe de planification des audits
L'audit Contexte d'intervention
contrôle
inhérent
impact
MENACES
RISQUE VULNERABILITE
détection
fréquence
efficacitéSYSTEME DE
CONTRÔLE INTERNE
détectif
design
CONTRÔLE
préventif correctif
Menace et vulnérabilité
L'audit Terminologie
Menace
– Tout acte, situation, événement, pouvant être à
l'origine de dégâts ou de dommages sur un bien
ou à une personne physique ou morale.
Vulnérabilité
– Une vulnérabilité est une faille dans une
procédure, un système, le design,
l'implémentation d'un contrôle qui peut être
exploitée pour abuser la sécurité ou empêcher
d'atteindre les objectifs de la société
– Inhérente à l’environnement de la société. Une
vulnérabilité peut concerné les bâtiments et les
locaux, les logiciels et applications, les
systèmes,…
Risque
L'audit Terminologie
MENACE VULNERABILITE
I VALEUR OPERATIONNELLE
M DE L'ACTIF
RISQUE P
A FREQUENCE DE
C SURVENANCE
T
Risque et contrôle
L'audit Terminologie
Risque
– Evènement qui est susceptible d’entraîner des dommages
et/ou des pertes pour l’entreprise concernée
Contrôle
– Les contrôles sont des politiques, des procédures, des
pratiques et des structures organisationnelles désignées
pour mettre à disposition une assurance raisonnable que les
objectifs business seront atteints et que les événements non
souhaités pourront être prévenus ou détectés et corrigés
Système de contrôle interne SCI
L'audit Terminologie
MENACE VULNERABILITE
IMPACT -
VALEUR OPERATIONNELLE
RISQUE
FREQUENCE DE
SURVENANCE
SYSTEME DE
CONTROLE
INTERNE
Construction du risque
L'audit
Fréquence
Menaces Vulnérabilités Impact de Risque inhérent
survenance
Processus
d’appréciation des risques Risque de détection
Risque final
Risque inhérent:
Préventif Détectif Correctif Risque de contrôle
– Situation de concurrence
d’appréciation des risques Risque de détection
Culture d'entreprise
Préventif Détectif Correctif Risque de contrôle
Activités / industries
Processus
d’appréciation des risques Risque de détection
Réorganisation, fusions,
acquisition, outsourcing Risque final
Indicateurs inefficaces
Processus
d’appréciation des risques Risque de détection
Planning d'audit inadéquat
Risque final
Résultats d'audit interprété de couverture d’audit (domaine, processus, technologie, temps)
manière incorrecte
Constats non pondérés de
manière correcte
...
L'approche audit
● Compréhension de l'environnement
● Identification des risques
● Identification des contrôles
● Appréciation des risques
● Communication des résultats
● Suivi des constatations
1. Compréhension de l'environnement
L'approche d'audit
Dimensions à considérer
Personnes et
organisation Identifié?
Défini?
+
Validé?
Documenté?
Implémenté?
Surveillé?
Processus et
Outils et
Revu?
fonctionnement technologie
Techniques et outils
L'approche d'audit 1. Compréhension de l'environnement
Pertinente Suffisante
– Alignée sur les objectifs de – Complète
l'audit – Adéquate
– En relation logique avec – Convaincante
les constatations et les
conclusions Conduirait un autre auditeur
aux mêmes conclusions
Reliable
– Valide (temps, domaine,
source indépendante, etc.)
– Factuelle
– Objective (interprétation)
2. Identification des risques
L'approche d'audit
Fréquence
Menaces Vulnérabilités Impact de Risque inhérent
survenance
Analyse de risques
Qualitative Qualitative
Analyse de risques
Opérationnel Audit
Gestion de projet
Cohérence des
Temps Qualité Coûts Temps Qualité Coûts risques identifiés
Cohérence de
Gestion Controle l'appréciation
des risques des risques des risques
Principe d'indépendance
Référentiels et outils
L'approche d'audit 2. Identification des risques
Normes d'audit
Cohérence de
(NAS, COBIT, COSO,...) l'identification et de
l'appréciation
Normes de sécurité
(ISO 27001, ITsec,...) des risques
4 domaines
– Planning & Organisation
– Acquisition & Implementation
– Delivery & Support
– Monitor & Evaluate
34 Macro-processus
Réf. COBIT: Control Objectives for Information and related Technology, ISACA
Processus PO 10 – Manage projects (1/3)
L'approche d'audit 2. Identification des risques COBIT
Processus
Objectifs business
Objectifs IT
Objectifs de contrôles
Métriques et indicateurs
Réf. COBIT: Control Objectives for Information and related Technology, ISACA
Processus PO 10 – Manage projects (2/3)
L'approche d'audit 2. Identification des risques COBIT
0 Non-existent
– Project management techniques are not used and the
organisation does not consider business impacts associated
with project mismanagement and development project
failures.
...
5 Optimised
– A proven, full life cycle project and programme methodology
is implemented, enforced and integrated into the culture of
the entire organisation. An ongoing initiative to identify and
institutionalise best project management practices has been
implemented. An ...
Réf. COBIT: Control Objectives for Information and related Technology, ISACA
Processus PO 10 – Manage projects (3/3)
L'approche d'audit 2. Identification des risques COBIT
Réf. Recommandations à l’égard des responsables de projet informatique, Contrôle Fédérale des Finances)
3. Identification des contrôles
L'approche d'audit
Contrôle préventif
RISQUE Contrôle détectif
Contrôle correctif
PREVENTIF
– Politiques, directives, standards
– Formation
– Sensibilisation
– Ségrégation des tâches
– Logiciel de contrôle d'accès
– ...
–
DETECTIF
– Contrôle de totaux, reconciliations
– Messages d'erreur
– Rapport
– Indicateurs de tableau de bord
– ...
CORRECTIF
– Plan de continuité
– Procédure de backup
– Procédure de « re-run »
– ...
processus processus
SYSTEME DE SYSTEME DE
CONTROLE CONTROLE
INTERNE INTERNE
OUTPUT OUTPUT
Niveau de contrôle
L'approche d'audit 3. Identification des contrôles
Risque Contrôles
Communication des résultats
L'approche d'audit
Comprendre
l'environnement
non
risques?
oui
non
controles?
oui
Tests de non
efficaces?
conformité
Plus de tests
oui
Tests de
Moins de tests
validation
Communiquer
Rapporter
Communication
Communiquer
– Constats et recommandations (importance et priorité)
– Problématiques émergentes
– Risques potentiels
– Aux personnes et niveau de management approprié
Critique:
– Recommandations pragmatiques
● Actions
● Délais
Suivi des constatations
L'approche d'audit
S'assurer de la mise en
oeuvre des recommandations
selon les délais convenus
PLAN
ACT DO
CHECK
Conclusion
Conclusion
Marc Barbezat
Email: marc.barbezat@b3b.ch
Site: http://www.b3b.ch/
Blog: http://blog.b3b.ch/
Références utiles