Audit

Kanzari
Noureddine
2022
 2

Agenda

1 Préparation de l’Étape 2 de l’audit

3
4
5
 6

- L’objet de l’étape2 est d’évaluer la mise en œuvre et l’efficacité du système de

management
- L’étape2 doit se dérouler sur le site du client
- Elle doit comprendre au minimum l’audit des éléments suivants:
° les preuves relatives à la conformité à toutes les exigences de la norme
° la surveillance, le mesurage, le compte rendu et la revue des performances par
rapport aux objectifs
° satisfaction des exigences légales, réglementaires et contractuelles
° les audits internes et la revue de direction
° les responsabilités de la direction vis-à-vis des politiques
7
 8

- la planification de l’audit traite:

° les objectifs de l’audit
° le champ de l’audit (fonctions, processus à auditer)
° les critères d’audit
° les lieux, les dates, l’horaire et la durée prévus des activités d’audit
° les méthodes d’audit (ex: échantillonnage)
° les rôles et responsabilités des membres de l’équipe d’audit ainsi que des
guides
° l’affectation des ressources appropriées, liés aux activités à auditer

Le plan d'audit devrait être examiné et confirmé par l'organisme de certification et

l'audité avant le début de l'étape 2 de l'audit

Le plan d’audit doit être communiqué et les dates de l’audit doivent être
convenues à l’avance avec le client
9
10
 11

description des étapes de planification de l'audit :

1.avoir connaissance de la mission, des objectifs et des processus de l'audité

2. L'auditeur devrait identifier les objectifs de l'audit et les fonctions ou départements de
l'audité à inclure dans le périmètre d'audit
3.L'auditeur devrait effectuer une appréciation des risques afin de comprendre les
risques auxquels l'audité est confronté
4.Développer la stratégie d'audit
12
 13

1. Conditions particulières de la mission d'audit : Objectifs, périmètre, critères, lieu, etc.

de l'audit

2. Compétences requises de l'équipe d'audit : Expertise requise pour mener l'audit,

capacité des membres de l'équipe d'audit à communiquer avec l'audité
(compréhension de la langue, connaissance des caractéristiques sociales et
culturelles particulières, etc.)

3. Considérations propres à chaque membre de l'équipe d'audit : Pas de conflits

d'intérêts, disponibilité de l'auditeur, expérience professionnelle, expertise
spécifique, etc
14
 15

- Le responsable de l'équipe d'audit devrait évaluer les compétences professionnelles

de l'expert avant de le sélectionner (Certification professionnelle, Expérience
professionnelle dans son domaine de compétence, Objectivité)
- Les constatations de l'audit ou les commentaires formulés par l'expert technique ne
doivent être communiqués à l'audité que par l'intermédiaire du responsable de
l'équipe d'audit ou d'autres membres de l'équipe d'audit
- Dans les cas où les constatations ou les commentaires de l'expert nécessitent des
éclaircissements supplémentaires, l'auditeur peut permettre à l'expert technique de
clarifier directement la question auprès de l'audité, toujours sous la supervision de
l'auditeur
16
17
18
19
 20

confirmation des éléments suivants:

° les objectifs, le champ et les critères de l’audit
° le plan d’audit, la date et l’heure de la réunion de clôture, les réunions
intermédiaires entre l’équipe d’audit et la direction de l’audité, ainsi que toute
modification nécessaire
° les circuits de communication formels entre l’équipe d’audit et l’audité
° la langue à pratiquer pendant l’audit
° la disponibilité des ressources et de la logistique nécessaires à l’équipe
d’audit
° les questions relatives à la confidentialité et à la sécurité des informations
 21

° les conditions dans lesquelles il peut être mis fin à l’audit

° les réclamations ou les recours
° les dispositions pertinentes en matière d’accès, de santé et de sécurité
22
23
 24

- le travail de l'auditeur consiste principalement à recueillir des informations, à effectuer des

tests d'audit, évaluer les preuves d'audit
- La réalisation de tests est l'une des étapes les plus cruciales qui comprennent:
° Entretiens
° Revue de l’information documentée
° Visite du site
° Revue des procédures
25
26
27
 28

- Demander des précisions : des réponses générales ou peu claires peuvent ne pas
permettre à l'auditeur d'obtenir des connaissances approfondies sur la manière dont un
processus ou une pratique est mené. afin d'obtenir des réponses précises, les auditeurs
doivent préparer des questions spécifiques

- Veiller à ce que la personne interrogée n'omette aucune information importante : en

expliquant clairement le contexte et le but de la question, et en prenant d'autres
mesures qui peuvent contribuer à éviter les malentendus
 29

- Demander des précisions : En général, les hypothèses peuvent être utiles aux auditeurs,
sauf si elles sont incorrectes et peuvent conduire à des malentendus

- Faire attention à la signification des mots : Les auditeurs doivent toujours prêter
attention à la terminologie utilisée. Certains termes peuvent être source de malentendu et
de confusion. Les auditeurs devraient s'assurer que les termes qu'ils utilisent sont
parfaitement compris par la personne interrogée
30
31
 32

- organiser des entretiens avec des personnes effectuant des activités comprises dans le
champ de l’audit
- mener les entretiens sur le lieu et pendant les heures de travail
- mettre la personne à l’aise avant et pendant l’entretien
- expliquer les raisons de l’entretien et de toute prise de notes
- les entretiens peuvent débuter en demandant aux personnes de décrire leur travail
- se concentrer sur le type de questions à utiliser pour trouver des preuves objectives
- résumer et passer en revue les résultats de l’entretien avec la personne interrogée
- remercier les personnes interrogées pour leur participation
33
34
 35

2.Échantillonnage systématique (ou échantillonnage par intervalles)

° utilisant un intervalle défini entre chaque élément
° simple à utiliser et plus rapide
° utilisée à partir d'un tableau d'échantillonnage prédéfini
 36

3.Échantillonnage stratifié (par niveau)

° subdiviser la population en groupes homogènes (niveaux), puis à extraire un échantillon de chaque
niveau
° subdiviser la population en groupes homogènes (niveaux), puis à extraire un échantillon de chaque
niveau
° utiliser si la population contient des sous-ensembles de caractéristiques diverses
° Lors de l'utilisation de l'échantillonnage stratifié, la population est divisée en groupes homogènes,
appelés strates (niveaux) qui s'excluent mutuellement. Ensuite, des échantillons indépendants sont
sélectionnés dans chaque strate
° Un organisme compte 170 serveurs, dont 60 sont classés comme critiques et 10 comme très
critiques. L'auditeur divise la population de serveurs en trois sous-ensembles : très critique, critique et
non critique. Ensuite, sur la base d'un tableau d'échantillonnage, l'auditeur sélectionne un échantillon
contenant 2 serveurs considérés comme très critiques, 15 critiques et 25 non critiques
 37

4.Échantillonnage par sélection en bloc

° sélection d'un échantillon à partir d'un sous-ensemble de la population
° Cette méthode assume que le bloc sélectionné est représentatif de la population entière
° Il est préférable d'utiliser cette méthode lorsque l'identification de l'ensemble des éléments de
la population est difficile à déterminer
° Un organisme de 1700 employés utilise un code de couleur pour identifier les types de câblage
utilisés. Voyant qu'il est presque impossible de calculer exactement la population de câbles, l'auditeur
décide arbitrairement de sélectionner un échantillon de câbles dans une salle de serveurs
 38

5.Échantillonnage fondé sur le jugement

° basée sur le jugement de l'auditeur (expérience et connaissances) pour identifier directement les
unités qui représentent adéquatement la population
° Sur la base de l'expérience, un auditeur observe que les membres de la direction sont ceux qui
activent les fonctions de sécurité sur leurs smartphones. Par conséquent, l'auditeur peut être amené à
sélectionner ces personnes
39
 40

Exemple:
1. Vérifier les enregistrements de formation des nouveaux employés pour s'assurer que les formations
couvrent la politique de sécurité de l'information, et analyser les réponses fournies par les employés
lors des entretiens pour s'assurer qu'ils ont bien compris la politique de sécurité de l'information

2. Comprendre les connaissances des employés actuels concernant la politique de sécurité de

l'information et son contenu général

3. Déterminer que la politique a été mise à la disposition de toutes les parties concernées en
examinant les journaux de communication externe
41
 42

Agenda

4 Plans d’échantillonnage d’audit

43
44
45