Vous êtes sur la page 1sur 63
CISA Le Processus d’audit des SI
CISA
Le Processus d’audit des
SI
Objectifs A la fin de cette leçon ,vous serez capable de :  Définir les risques
Objectifs
A la fin de cette leçon ,vous serez capable de :
Définir les risques d’audit: risque inhérent, risque d’échec des
contrôles, risque de non détection, risque global.
Distinguer les tests de conformité et les test de corroboration.
Définir les types de contrôle: Préventif, de détection, de
correction
Décrire les types d’échantillonnage: statistique et
discrétionnaire.
Décrire les types d’audit: financier, opérationnel, SI, intégré,
Investigation légale
Décrire TAAO, Auto évaluation des contrôles, Audit continu.
Décrire les étapes d’un audit typique, Approche d’audit
fondée sur le risque.
Définitions (L’audit & les Auditeurs)
Définitions (L’audit & les Auditeurs)
 Audit : Evaluation d’un système, d’un processus, d’un projet ou d’un produit d’une organisation. 
Audit : Evaluation d’un système, d’un
processus, d’un projet ou d’un produit
d’une organisation.
Auditeur : Personne qualifiée, compétente
et indépendante fournissant avec
objectivité un service d’audit dans le but
de rendre un rapport.
Deux types d’auditeur  Interne: Employé d’une organisation ayant pour rôle d’analyser et d’évaluer le système
Deux types d’auditeur
Interne: Employé d’une organisation ayant
pour rôle d’analyser et d’évaluer le
système de contrôle interne.
Externe : Auditeur provenant d’une firme
d’audit indépendante de l’organisation
auditée.
Qualifications de l’auditeur :
Qualifications de l’auditeur :
 Indépendance professionnelle  Indépendance organisationnelle  Adhésion à un code professionnel d’éthique  Détient les
Indépendance professionnelle
Indépendance organisationnelle
Adhésion à un code professionnel
d’éthique
Détient les compétences et aptitudes
nécessaires pour l’exécution de l’audit
Maintient ses connaissances techniques à
jour (CPE)
Définition : Audit SI / IT
Définition : Audit SI / IT
 Analyse partielle ou exhaustive du fonctionnement d'un centre de traitement et de son environnement 
Analyse partielle ou exhaustive du
fonctionnement d'un centre de traitement et de
son environnement
Débouche sur un diagnostic précisant
l'adéquation des ressources matérielles et humaines aux
besoins de l'entreprise
l'adéquation des résultats obtenus en regard des moyens
engagés
l'adéquation des moyens en regard de la législation
Charte d’audit  Le rôle de la fonction d’audit des SI est établi par la Charte
Charte d’audit
Le rôle de la fonction d’audit des SI est établi par la
Charte d’Audit. L’audit SI peut faire partie de l’audit
interne en tant que groupe indépendant ou intégré à
l’audit financier et opérationnel.
La charte d’audit doit énoncer clairement:
Les objectifs et les responsabilités de la direction pour la
fonction d’audit des SI.
La délégation de pouvoir de la direction à la fonction d’audit.
L’autorité, la portée et les responsabilités globales de la fonction
d’audit.
L’organisation de la fonction d’audit
Planning d’audit  Court terme : Généralement dans un an.  Long terme : Plus d’un
Planning d’audit
Court terme : Généralement dans un an.
Long terme : Plus d’un an (5, 10, 15, …)
Analyser les enjeux à court et long termes:
• Les changement dans l’environnement affectant
le niveau de risque;
• L’évolution des technologies et des processus
administratifs;
• L’amélioration des méthodes d’évaluation;
• Nouvelles réglementations applicables.
Planning d’audit (Exemple) Domaine à auditer Période Date dernier audit Responsabilité Procédures et politique Q1 Jamais
Planning d’audit (Exemple)
Domaine à
auditer
Période
Date dernier
audit
Responsabilité
Procédures et
politique
Q1
Jamais
Auditeur Interne
d’enregistrement
Plan de
Q2
2005 DSI, Consultant
continuité
Sécurité
FERPA :
Q3
Jamais
Auditeur Interne
Interview du
personnel
IT : Test de
pénétration
Q4
2006
DSI, Consultant
Sécurité

Etapes de planification d’un

audit.  1- Acquérir la compréhension de la mission.  2- Réaliser une analyse des risques
audit.
1- Acquérir la compréhension de la mission.
2- Réaliser une analyse des risques
3- Etablir la portée et les objectifs d’audit
4- concevoir l’approche ou la stratégie d’audit
5- Affecter les ressources aux tâches d’audit;
6- Prévoir la logistique du mandat
Etapes de planification d’un audit.  1- Acquérir la compréhension de la mission.  2- Réaliser
Etapes de planification d’un audit.  1- Acquérir la compréhension de la mission.  2- Réaliser
Etapes de planification d’un audit.  1- Acquérir la compréhension de la mission.  2- Réaliser

Acquérir la compréhension de la

mission  Lire les documents de référence tels que les publications de l’industrie, les rapports annuels
mission
Lire les documents de référence tels que les publications
de l’industrie, les rapports annuels et les rapports
d’analyse financières;
Etudier les rapports d’audit antérieurs ou les rapports
concernant les TI;
Consulter les plans stratégiques à long termes relatifs au
TI et aux activités de l’organisation;
Discuter avec les responsables clés pour comprendre
les enjeux commerciaux;
Déterminer les règles spécifiques applicables aux TI;
Déterminer les fonctions des TI ou des activités qui y
sont liées et qui ont été imparties;
Visiter les installations importantes de l’organisation.
Acquérir la compréhension de la mission  Lire les documents de référence tels que les publications
Acquérir la compréhension de la mission  Lire les documents de référence tels que les publications
Acquérir la compréhension de la mission  Lire les documents de référence tels que les publications
Analyse des risques (Déf.)  Risque : La possibilité qu’une menace données exploite la vulnérabilité d’un
Analyse des risques (Déf.)
Risque : La possibilité qu’une menace données
exploite la vulnérabilité d’un actif ou d’un groupe
d’actifs et cause ainsi un préjudice à
l’organisation (ISO/IEC PDTR 13335-1).
Analyse de Risque : Technique d’identification et
d’évaluation des facteurs susceptible de
compromettre un processus ou un objectif.
L’AR = Evaluation -> Atténuation -> Ré
évaluation.
AR Evaluer les contre-mesures  Analyse coût / bénéfices : Choisir les méthodes de gestion des
AR Evaluer les contre-mesures
Analyse coût / bénéfices : Choisir les
méthodes de gestion des risques
adéquates en se basant sur :
Le coût de la mesure de contrôle en
comparaison au degré de réduction du
risque;
La propension de la haute direction au
risque
Les méthodes de réduction du risque
privilégiées
Analyse des Risques (Objectifs)  Permet de repérer les risques et les menaces pour un environnement
Analyse des Risques (Objectifs)
Permet de repérer les risques et les menaces
pour un environnement SI et les contrôles
internes.
Aide à évaluer les mesures de contrôle lors de
la planification de l’audit.
Aide à déterminer les objectifs de l’audit;
Aide à prendre les décisions en rapport avec
l’audit fondé sur le risque.
Permet d’implémenter les meilleures mesures
de contrôle interne
Contrôle Interne  Structures organisationnelles, politiques, procédures et pratiques implémentées pour réduire les risques.  Donne
Contrôle Interne
Structures organisationnelles, politiques,
procédures et pratiques implémentées pour
réduire les risques.
Donne à la direction une assurance raisonnable
que les objectifs seront atteints et que le risque
sera évité ou détecté et corrigé.
Permettent non seulement d’atteindre les
objectifs de l’organisation, mais traitent
également les évènements indésirables par la
prévention, la détection et la correction.
Classifiés préventifs, détection et correction.
Contrôle Interne (COSO) processus intégré mis en œuvre par les responsables et le personnel d’une organisation
Contrôle Interne (COSO)
processus intégré mis en œuvre par les responsables et
le personnel d’une organisation et destiné à traiter les
risques et à fournir une assurance raisonnable quant à la
réalisation, dans le cadre de la mission de l’organisation,
des objectifs de l’entreprise.
réalisation et optimisation des opérations
(optimisation des ressources de l'entreprise, fiabilité
des informations financières)
respect des obligations de rendre compte;
conformité aux lois et réglementations en vigueur;
protection des ressources contre les pertes, les
mauvais usages et les dommages.
Contrôle préventif  Détecte les problèmes avant qu’ils ne surviennent  Surveille les activités et les
Contrôle préventif
Détecte les problèmes avant qu’ils ne surviennent
Surveille les activités et les entrées
Tenter de prédire les problèmes potentiels avant qu’ils
ne surviennent et effectuer les ajustements.
Prévenir les erreurs, les omissions ou les actes
malveillants
Contrôle préventif  Détecte les problèmes avant qu’ils ne surviennent  Surveille les activités et les
Contrôle préventif  Détecte les problèmes avant qu’ils ne surviennent  Surveille les activités et les
Contrôle préventif  Détecte les problèmes avant qu’ils ne surviennent  Surveille les activités et les
Contrôle de détection  Détecte et rapporte toute occurrence d’erreur, omission ou acte malveillant.
Contrôle de détection
Détecte et rapporte toute occurrence d’erreur, omission
ou acte malveillant.
Contrôle de détection  Détecte et rapporte toute occurrence d’erreur, omission ou acte malveillant.
Contrôle de détection  Détecte et rapporte toute occurrence d’erreur, omission ou acte malveillant.
Contrôle de détection  Détecte et rapporte toute occurrence d’erreur, omission ou acte malveillant.
Contrôle de Correction  Minimiser l’impact d’une menace  Remédier aux problèmes découverts par les contrôles
Contrôle de Correction
Minimiser l’impact d’une menace
Remédier aux problèmes découverts par les contrôles
de détection
Identifier les causes des problèmes
Corriger les erreurs causées par un problème
Modifier les systèmes de traitement pour minimiser les
occurrences futures des problèmes
Contrôle de Correction  Minimiser l’impact d’une menace  Remédier aux problèmes découverts par les contrôles
Contrôle de Correction  Minimiser l’impact d’une menace  Remédier aux problèmes découverts par les contrôles
Contrôle de Correction  Minimiser l’impact d’une menace  Remédier aux problèmes découverts par les contrôles
Contrôle internes (Objectifs)  La sauvegarde des actifs informationnels  L’intégrité de l’environnement des SI 
Contrôle internes (Objectifs)
La sauvegarde des actifs informationnels
L’intégrité de l’environnement des SI
L’identification et l’authentification approprié de
l’utilisateur d’une ressource SI
L’efficacité et l’efficience des opération liés au SI
La disponibilité des services SI
L’amélioration de la protection des données et des
systèmes
L’assurance de l’intégrité et de la fiabilité des systèmes
par l’implémentation des procédures de gestion du
changement efficaces.
Classification des Audits
Classification des Audits
 Financier : Evaluation de l’exactitude des états financiers d’une organisation.  Opérationnel : Evaluation de
Financier : Evaluation de l’exactitude des états
financiers d’une organisation.
Opérationnel : Evaluation de la structure de
contrôle interne d’un processus ou d’un domaine
donné.
Intégré : Combine les étapes des audits
financiers et opérationnels.
Administratif : Evaluation des enjeux liés à
l’efficacité de la productivité opérationnelle au
sein d’une organisation.
Classification des Audits (Suite)
Classification des Audits (Suite)
 SI : Evaluation des preuves afin de déterminer si les SI et les ressources liées
SI : Evaluation des preuves afin de déterminer si
les SI et les ressources liées protègent
adéquatement les actifs informationnel d’une
organisation.
Spécialisés : Audit SI de conformité lié à un
service externe ou un standard.
Investigation légale : Audit spécialisé dans la
découverte, la divulgation et le suivi des fraudes
et des crimes.
Etapes d’un Audit Typique  1- Sujet d’audit  2- Objectif de l’audit  3- Portée
Etapes d’un Audit Typique
1- Sujet d’audit
2- Objectif de l’audit
3- Portée de l’audit
4- Planification avant Audit
5- Procédures d’audit et de collecte de données
6- Procédures d’évaluation des tests ou des
résultats d’examen
7- Procédures de communication avec la direction
8- Préparation du rapport d’audit
Risque d’audit  Se définit comme le risque que les renseignements puissent contenir une erreur importante
Risque d’audit
Se définit comme le risque que les
renseignements puissent contenir une erreur
importante qui pourrait ne pas être détectée lors
de la vérification.
Risque inhérent
Risque d’échec des contrôles
Risque de non détection
Risque global
Démarche d’audit axé sur le risque
Démarche d’audit axé sur le risque
 1- Recueillir les renseignements et planifier  2- Comprendre les contrôles internes  3- Effectuer
1- Recueillir les renseignements et planifier
2- Comprendre les contrôles internes
3- Effectuer les tests de conformité
4- Effectuer les test de corroboration
5- Conclure l’audit
Démarche d’audit axé sur le risque  1- Recueillir les renseignements et planifier  2- Comprendre
Démarche d’audit axé sur le risque  1- Recueillir les renseignements et planifier  2- Comprendre
Démarche d’audit axé sur le risque  1- Recueillir les renseignements et planifier  2- Comprendre

Test de conformité # Test de

corroboration  Les test de conformité consistent à recueillir des preuves dans le but de tester
corroboration
Les test de conformité consistent à recueillir des preuves
dans le but de tester la conformité d’une organisation
avec les procédures de contrôle.
Les tests de conformité détermine si les contrôles sont
appliqués d’une façon qui respecte les procédures et les
politiques de la direction.
L’objectifs est de fournir à l’auditeur des SI l’assurance
raisonnable que le contrôle particulier sur lequel il
entend se fier fonctionne comme il l’avait observé lors de
l’évaluation préliminaire.
Test de conformité # Test de corroboration  Les test de conformité consistent à recueillir des
Test de conformité # Test de corroboration  Les test de conformité consistent à recueillir des
Test de conformité # Test de corroboration  Les test de conformité consistent à recueillir des

Test de conformité vs Test de

corroboration  Les tests de corroboration consistent à recueillir les preuves pour évaluer l’intégrité des transactions
corroboration
Les tests de corroboration consistent à recueillir
les preuves pour évaluer l’intégrité des
transactions individuelles, de données ou
d’autres renseignements.
Les tests de corroboration fournissent des
preuves de la validité et de l’intégrité des soldes
dans les états financiers et des transactions à
l’appui de ces soldes.
Test de conformité vs Test de corroboration  Les tests de corroboration consistent à recueillir les
Test de conformité vs Test de corroboration  Les tests de corroboration consistent à recueillir les
Test de conformité vs Test de corroboration  Les tests de corroboration consistent à recueillir les
Preuve  Renseignements utilisé par l’auditeur pour déterminer si l’entité ou les données vérifiés respectent les
Preuve
Renseignements utilisé par l’auditeur pour
déterminer si l’entité ou les données vérifiés
respectent les critères ou les objectifs établis.
La preuve peut comprendre les observations de
l’auditeur, les notes prises lors des entretiens,
du matériel tiré de la correspondance, de la
documentation interne ou des contrats avec les
partenaires externes, ou les résultats des
procédés de vérification.
Critères de fiabilité de la preuve  Indépendance du fournisseur de la preuve  Titre et
Critères de fiabilité de la preuve
Indépendance du fournisseur de la preuve
Titre et qualité du fournisseur de la preuve
Objectivité de la preuve
Echéancier de la preuve
Critères de fiabilité de la preuve  Indépendance du fournisseur de la preuve  Titre et
Critères de fiabilité de la preuve  Indépendance du fournisseur de la preuve  Titre et
Critères de fiabilité de la preuve  Indépendance du fournisseur de la preuve  Titre et
Techniques de collecte de preuves
Techniques de collecte de preuves
 Observations (Organisation, Personnel, Procédé)  Revue des politiques, procédures et standards  Documentation SI 
Observations (Organisation, Personnel,
Procédé)
Revue des politiques, procédures et standards
Documentation SI
Entretien avec le personnel compétents
Utilisation d’autres auditeurs ou experts
Echantillonnage (statistiques / discrétionnaires)
Techniques d’audit assistées par ordinateur
Echantillonnage  Statistique : Utilisation d’une méthode objective pour déterminer la taille de l’échantillon et les
Echantillonnage
Statistique : Utilisation d’une méthode objective
pour déterminer la taille de l’échantillon et les
critères de sélection.
Discrétionnaire : Utilisation du jugement
(appréciation) de l’auditeur pour déterminer la
méthode d’échantillonnage, la taille de
l’échantillon et les critères de sélection.
Echantillonnage  Statistique : Utilisation d’une méthode objective pour déterminer la taille de l’échantillon et les
Echantillonnage  Statistique : Utilisation d’une méthode objective pour déterminer la taille de l’échantillon et les
TAAO  Les TAAO sont des outils important pour recueillir et analyser les renseignements des systèmes
TAAO
Les TAAO sont des outils important pour recueillir et
analyser les renseignements des systèmes possédant
des environnements matériels et logiciels, des structures
de données, des structures d’enregistrement ou des
fonctions de traitement qui sont différentes.
Ils fournissent un moyen d’accéder aux données et de
les analyser au regard d’un objectif d’audit prédéterminé,
et de faire rapport des constatations de l’audit en mettant
l’accent sur la fiabilité des enregistrements produits et
gérés par le système.
La fiabilité de la source d’information utilisée permet de
rassurer quant aux constatations énoncées.
Avantage des TAAO  Réduit le niveau du risque d’audit  Accroit l’indépendance des audités 
Avantage des TAAO
Réduit le niveau du risque d’audit
Accroit l’indépendance des audités
Rapide disponibilité de l’information
Opportunité de quantifié les faiblesses d’un
système de CI
Réduction des coûts liés au temps
Avantage des TAAO  Réduit le niveau du risque d’audit  Accroit l’indépendance des audités 
Avantage des TAAO  Réduit le niveau du risque d’audit  Accroit l’indépendance des audités 
Avantage des TAAO  Réduit le niveau du risque d’audit  Accroit l’indépendance des audités 
TAAO (documents à conserver)  Rapport en ligne qui détaillent les questions à haut risque à
TAAO (documents à conserver)
Rapport en ligne qui détaillent les questions à
haut risque à examiner
Listages de programmes commentés
Organigrammes
Rapports échantillons
Disposition d’enregistrement et les descriptions
de fichiers
Définition des champs
Instruction d’utilisation
Description des documents sources applicables
Auto évaluation des contrôles  Technique de gestion qui informe les actionnaires, clients et autres parties
Auto évaluation des contrôles
Technique de gestion qui informe les
actionnaires, clients et autres parties quant à la
fiabilité du système de contrôle interne de
l’organisation.
Méthodologie utilisée pour réviser les objectifs
clés de l’entreprise, les risques liés à l’atteinte
des objectifs de l’entreprise et les CI conçus
pour gérer ces risques.
Ensemble d’outils dont le degré de
sophistication va du simple questionnaire aux
ateliers dirigés.
Avantages de l’AEC  Détection précoces des risques  Amélioration de l’efficacité des CI  Création
Avantages de l’AEC
Détection précoces des risques
Amélioration de l’efficacité des CI
Création de la cohésion des équipes grâce à la
participation des employés
Développement, chez les employés et les propriétaires
des contrôles, d’un sentiment d’appartenance
relativement à ces contrôles et diminution des leur
résistance face aux changement
Réduction des coûts du contrôle
Garantie donnée aux actionnaires et aux clients quant à
la fiabilité.
… ..
Inconvénients de l’AEC  Peut être perçue comme le remplacement d’une fonction d’audit.  Peut être
Inconvénients de l’AEC
Peut être perçue comme le remplacement d’une
fonction d’audit.
Peut être perçue comme une charge de travail.
En cas de l’échec des améliorations suggérées,
peut nuire au moral des employés.
Le manque de motivation peut nuire à la
détection des contrôles insuffisants.
Inconvénients de l’AEC  Peut être perçue comme le remplacement d’une fonction d’audit.  Peut être
Inconvénients de l’AEC  Peut être perçue comme le remplacement d’une fonction d’audit.  Peut être
Audit continu  Méthode qui permet aux auditeurs indépendants de donner par écrit une assurance à
Audit continu
Méthode qui permet aux auditeurs indépendants
de donner par écrit une assurance à propos d’un
sujet à l’aide d’un ensemble de rapports d’audits
produits en même temps ou peu après
l’évènement relatif au sujet.
Le but est de fournir une plate-forme plus
sécuritaires pour éviter les fraudes et un
processus en temps réel qui garantit un niveau
élevé de contrôle financier
Communication des résultats d’audit
Communication des résultats d’audit
 Discuter des conclusions et des recommandations avec la direction lors de l’entrevue finale.  La
Discuter des conclusions et des recommandations avec
la direction lors de l’entrevue finale.
La présentation peut être un résumé ou une présentation
visuelle.
Discuter avec le personnel de gestion de l’organisation
afin d’arriver à un accord au sujet des conclusions et
d’élaborer un plan d’actions correctives.
Le rapport d’audit n’a pas de format précis
Doit suggérer dés échéanciers pour la mise en œuvre
des recommandations acceptées.
Question type examen  Une distinction qui peut être faite entre un test de conformité et
Question type examen
Une distinction qui peut être faite entre un
test de conformité et un test de valeur est :
A. Les tests de conformités portent sur les détails
alors que les tests de valeurs portent sur les
procédures.
B. Les tests de conformité portent sur les contrôles
alors que les tests de valeur portent sur les détails
C. Les tests de conformités portent sur les plans alors
que les tests de valeur portent sur les procédures
D. Les tests de conformité portent sur les exigences
réglementaires alors que les tests de valeur portent
Question type examen  Une distinction importante qu’un auditeur informatique doit faire en évaluant et en
Question type examen
Une distinction importante qu’un auditeur
informatique doit faire en évaluant et en classant les
contrôles en contrôles de types préventif, de
détection, correctif est :
A. L’endroit où l’on applique les contrôles sur les
données en circulation dans le système.
B. Seuls les contrôles de prévention et de détection
présentent un intérêt.
C. Les contrôles correctifs ne sont que des contrôles
compensatoires.
D. Une classification permet à un auditeur
Question type examen  Le bénéfice principal pour une organisation qui utilise des techniques d’auto évaluation
Question type examen
Le bénéfice principal pour une organisation qui
utilise des techniques d’auto évaluation des
contrôles résulte de ce qu’elle :


A. Peut identifier les zones à risques élevés qui pourrait nécessiter ultérieurement une revue détaillée.

B. Permet aux auditeurs informatiques d’évaluer les  risques de façon indépendante. C. Peut être utilisée
B. Permet aux auditeurs informatiques d’évaluer les
risques de façon indépendante.
C. Peut être utilisée pour remplacer les audits
traditionnels.
D. Permet à la direction d’abandonner sa
responsabilité en ce qui concerne les contrôles.
responsabilité en ce qui concerne les contrôles.
Question type examen  Le bénéfice principal pour une organisation qui utilise des techniques d’auto évaluation
Question type examen  Lequel des éléments suivants constitue une autorisation d’entreprendre un audit des SI?
Question type examen
 Lequel des éléments suivants constitue
une autorisation d’entreprendre un audit
des SI?
A. La délimitation de l’audit, y compris ses
buts et objectifs.
B. Une requête d’effectuer un audit de la part
de la direction.
C. La charte d’audit approuvée.
D. L’échéancier d’audit approuvé.
Question type examen  Dans l’exécution d’un audit en fonction du risque, quelle évaluation des risques
Question type examen
 Dans l’exécution d’un audit en fonction du
risque, quelle évaluation des risques est
d’abord complétée par l’auditeur des SI?
A. L’évaluation des risques de non-détection
B. L’évaluation des risques d’échec des
contrôles
C. L’évaluation des risques inhérents
D. L’évaluation des risques de fraude
Question type examen  Dans l’élaboration d’un programme d’audit axé sur le risque, sur lequel des
Question type examen
 Dans l’élaboration d’un programme d’audit
axé sur le risque, sur lequel des éléments
suivants un auditeur des SI porterait-il
probablement le PLUS son attention ?
A. Les processus d’entreprise
B. Les applications essentielles des TI
C. Les contrôles opérationnels
D. Les stratégies d’entreprise
Question type examen  Lequel des types de risques d’audit suivants présume une absence de contrôle
Question type examen
 Lequel des types de risques d’audit
suivants présume une absence de
contrôle compensatoire dans le domaine
examiné ?
A. Risque d’échec des contrôles
B. Risque de non détection
C. Risque inhérent
D. Risque d’échantillonnage
Question type examen  Un auditeur des SI effectuant un examen des contrôles d’une application découvre
Question type examen
Un auditeur des SI effectuant un examen des contrôles
d’une application découvre une faiblesse dans les
logiciels systèmes qui pourrait avoir une incidence
importante sur l’application. L’auditeur des SI doit :
A. ne pas tenir compte de ces faiblesses, puisque
l’examen des logiciels systèmes dépasse la portée de cet
examen.
B. mener un examen détaillé des logiciels systèmes et
faire état des faiblesses de contrôle.
C. inclure dans le rapport une déclaration que la
vérification se limitait à l’examen des contrôles de
l’application.
D. examiner les contrôles des logiciels systèmes, ceux-ci
étant pertinents, et recommander un examen détaillé des
Question type examen  Parmi les raisons suivantes, laquelle est la PLUS importante raison de revoir
Question type examen
Parmi les raisons suivantes, laquelle est la
PLUS importante raison de revoir le processus
de planification d’audit à des intervalles
périodiques ?
A. Pouvoir planifier le déploiement des
ressources d’audit disponibles.
B. Pouvoir tenir compte des changements à
l’environnement de risque.
C. Pouvoir alimenter la documentation de la
charte d’audit.
D. Pouvoir cerner les normes d’audit des SI
Question type examen  Lequel des éléments suivants est le PLUS efficace pour mettre en œuvre
Question type examen
 Lequel des éléments suivants est le PLUS
efficace pour mettre en œuvre un système
d’autoévaluation des contrôles au sein des
entités ?
A. Revues informelles avec les pairs
B. Ateliers dirigés
C. Diagrammes descriptifs du flot de
traitement
D. Diagrammes de flot de données
Question type examen  La PREMIERE étape de planification d’un audit est de : A. définir
Question type examen
 La PREMIERE étape de planification d’un
audit est de :
A. définir les livrables de l’audit
B. Finaliser la portée et les objectifs de l’audit
C. acquérir une compréhension des objectifs
de l’entreprise
D. concevoir l’approche pour l’audit ou la
stratégie d’audit.
Question type examen  L’approche que doit utiliser un auditeur des SI pour planifier la couverture
Question type examen
 L’approche que doit utiliser un auditeur
des SI pour planifier la couverture de
l’audit des SI doit se baser sur :
A. le risque
B. l’importance relative
C. le scepticisme professionnel
D. le caractère suffisant des éléments
probants de l’audit
Question type examen  Une entreprise effectue une copie de sauvegarde quotidienne des données critiques et
Question type examen
Une entreprise effectue une copie de
sauvegarde quotidienne des données critiques
et des logiciels, et entrepose cette copie dans
une installation externe. La copie de sauvegarde
est utilisée pour restaurer les fichiers en cas
d’interruption. Il s’agit de :
A. Un contrôle préventif
B. Un contrôle de gestion
C. Un contrôle correctif
D. Un contrôle de détection
Question type examen The PRIMARY purpose of generalized audit software (GAS) is to: 1. Find fraudulent
Question type examen
The PRIMARY purpose of generalized audit
software (GAS) is to:
1.
Find fraudulent transactions
2.
Determine sample mean compared to
population mean
3.
Extract data for a Substantive Test
4.
Organize an audit report
Question type examen A Compensating Control is defined as 1. Two strong controls address the same
Question type examen
A Compensating Control is defined as
1.
Two strong controls address the same
fault
2.
A fault is addressed by a weak control
and strong control in another area
3.
A control addresses a specific problem
4.
A control that fixes the problem after it is
detected
Question type examen An IS auditor should plan their audit approach based upon: 1. Materiality 2.
Question type examen
An IS auditor should plan their audit
approach based upon:
1.
Materiality
2.
Management recommendations
3.
ISACA recommendations
4.
Risk
Question type examen A Hash Total is maintained on each batch file to ensure no transactions
Question type examen
A Hash Total is maintained on each batch
file to ensure no transactions are lost.
This is an example of a
1.
Preventive Control
2.
Detective Control
3.
Compensating Control
4.
Corrective Control
Question type examen The FIRST step that an auditor should take is: 1. Prepare the Audit
Question type examen
The FIRST step that an auditor should take
is:
1.
Prepare the Audit Objectives and Scope
2.
Learn about the organization
3.
Study ISACA audit recommendations for
the functional area
4.
Perform a risk assessment
Question type examen An audit that considers how financial information is generated from both a business
Question type examen
An audit that considers how financial
information is generated from both a
business process and IS handling side is
known as:
1.
Financial audit
2.
Operational audit
3.
Administrative audit
4.
Integrated audit
Question type examen An auditor over-tests (tests a greater percent than actually exist) samples that are
Question type examen
An auditor over-tests (tests a greater
percent than actually exist) samples that
are expected to be most risky
1.
Variable Sampling
2.
Attribute Sampling
3.
Statistical Sampling
4.
Non-statistical Sampling
Question type examen The possibility that a router does not catch spoofed IP addresses is known
Question type examen
The possibility that a router does not catch
spoofed IP addresses is known as a
1.
Inherent risk
2.
Control risk
3.
Detection risk
4.
External risk
Question type examen Testing a firewall to ensure that it only permits web traffic into the
Question type examen
Testing a firewall to ensure that it only
permits web traffic into the DMZ is known
as
1.
Compliance Test
2.
Substantive Test
3.
Detection Test
4.
Preventive Test
Question type examen An inherent risk for a school would be: 1. Students trying to hack
Question type examen
An inherent risk for a school would be:
1.
Students trying to hack into the system to
change grades
2.
A firewall does not catch spoofed IP
addresses
3.
An audit does not find fraud which
actually exists
4.
People do not change their passwords
regularly
Remerciements  Pour IBT ( Institute of Business and Technologies)  BP: 15441 Douala - Cameroun
Remerciements
Pour IBT ( Institute of Business and
Technologies)
BP: 15441 Douala - Cameroun
Par Arsène Edmond NGATO, CISA,
CISM, PMP, OCP 10g/11g
Téléphone- 99183886
Email- arsenengato@yahoo.fr
Sources : Manuel de préparation CISA 2012,
Divers articles téléchargés sur Internet.