CISA

LE PROCESSUS
DAUDIT DES SI
OBJECTIFS

A la fin de cette leon ,vous serez capable de :

Dfinir les risques daudit: risque inhrent, risque dchec des contrles,
risque de non dtection, risque global.
Distinguer les tests de conformit et les test de corroboration.
Dfinir les types de contrle: Prventif, de dtection, de correction
Dcrire les types dchantillonnage: statistique et discrtionnaire.
Dcrire les types daudit: financier, oprationnel, SI, intgr, Investigation
lgale
Dcrire TAAO, Auto valuation des contrles, Audit continu.
Dcrire les tapes dun audit typique, Approche daudit fonde sur le
risque.
DFINITIONS (LAUDIT & LES
AUDITEURS)

Audit : Evaluation dun systme, dun processus, dun projet ou dun

produit dune organisation.
Auditeur : Personne qualifie, comptente et indpendante fournissant
avec objectivit un service daudit dans le but de rendre un rapport.
DEUX TYPES DAUDITEUR

Interne: Employ dune organisation ayant pour rle danalyser et

dvaluer le systme de contrle interne.

Externe : Auditeur provenant dune firme daudit indpendante de

lorganisation audite.
QUALIFICATIONS DE LAUDITEUR :

Indpendance professionnelle
Indpendance organisationnelle
Adhsion un code professionnel dthique
Dtient les comptences et aptitudes ncessaires pour lexcution de
laudit
Maintient ses connaissances techniques jour (CPE)
 DFINITION : AUDIT SI / IT

Analyse partielle ou exhaustive du fonctionnement

d'un centre de traitement et de son environnement
Dbouche sur un diagnostic prcisant
l'adquation des ressources matrielles et humaines aux besoins
de l'entreprise
l'adquation des rsultats obtenus en regard des moyens engags
l'adquation des moyens en regard de la lgislation
CHARTE DAUDIT

Le rle de la fonction daudit des SI est tabli par la Charte dAudit.

Laudit SI peut faire partie de laudit interne en tant que groupe
indpendant ou intgr laudit financier et oprationnel.
La charte daudit doit noncer clairement:
Les objectifs et les responsabilits de la direction pour la fonction daudit des
SI.
La dlgation de pouvoir de la direction la fonction daudit.
Lautorit, la porte et les responsabilits globales de la fonction daudit.
Lorganisation de la fonction daudit
PLANNING DAUDIT

Court terme : Gnralement dans un an.

Long terme : Plus dun an (5, 10, 15, )

Analyser les enjeux court et long termes:

Les changement dans lenvironnement affectant le
niveau de risque;
Lvolution des technologies et des processus
administratifs;
Lamlioration des mthodes dvaluation;
Nouvelles rglementations applicables.
PLANNING DAUDIT
(EXEMPLE)
Domaine auditer Priode Date dernier audit Responsabilit

Procdures et politique Q1 Jamais Auditeur Interne

denregistrement

Plan de continuit Q2 2005 DSI, Consultant Scurit

FERPA : Interview du Q3 Jamais Auditeur Interne

personnel

IT : Test de pntration Q4 2006 DSI, Consultant Scurit

ETAPES DE PLANIFICATION
DUN AUDIT.
1- Acqurir la comprhension de la mission.
2- Raliser une analyse des risques
3- Etablir la porte et les objectifs daudit
4- concevoir lapproche ou la stratgie daudit
5- Affecter les ressources aux tches daudit;
6- Prvoir la logistique du mandat
ACQURIR LA COMPRHENSION
DE LA MISSION
Lire les documents de rfrence tels que les publications de
lindustrie, les rapports annuels et les rapports danalyse
financires;
Etudier les rapports daudit antrieurs ou les rapports
concernant les TI;
Consulter les plans stratgiques long termes relatifs au TI et
aux activits de lorganisation;
Discuter avec les responsables cls pour comprendre les
enjeux commerciaux;
Dterminer les rgles spcifiques applicables aux TI;
Dterminer les fonctions des TI ou des activits qui y sont lies
et qui ont t imparties;
Visiter les installations importantes de lorganisation.
ANALYSE DES RISQUES
(DF.)
Risque : La possibilit quune menace donnes
exploite la vulnrabilit dun actif ou dun groupe
dactifs et cause ainsi un prjudice lorganisation
(ISO/IEC PDTR 13335-1).
Analyse de Risque : Technique didentification et
dvaluation des facteurs susceptible de
compromettre un processus ou un objectif.
LAR = Evaluation -> Attnuation -> R
valuation.
AR EVALUER LES CONTRE-
MESURES
Analyse cot / bnfices : Choisir les mthodes de gestion des risques
adquates en se basant sur :
Le cot de la mesure de contrle en comparaison au degr de
rduction du risque;
La propension de la haute direction au risque
Les mthodes de rduction du risque privilgies
ANALYSE DES RISQUES
(OBJECTIFS)
Permet de reprer les risques et les menaces pour un
environnement SI et les contrles internes.
Aide valuer les mesures de contrle lors de la
planification de laudit.
Aide dterminer les objectifs de laudit;
Aide prendre les dcisions en rapport avec laudit fond
sur le risque.
Permet dimplmenter les meilleures mesures de contrle
interne
CONTRLE INTERNE

Structures organisationnelles, politiques, procdures et

pratiques implmentes pour rduire les risques.
Donne la direction une assurance raisonnable que les
objectifs seront atteints et que le risque sera vit ou dtect
et corrig.
Permettent non seulement datteindre les objectifs de
lorganisation, mais traitent galement les vnements
indsirables par la prvention, la dtection et la correction.
Classifis prventifs, dtection et correction.
CONTRLE INTERNE (COSO)

processus intgr mis en uvre par les responsables et le personnel

dune organisation et destin traiter les risques et fournir une
assurance raisonnable quant la ralisation, dans le cadre de la
mission de lorganisation, des objectifs de lentreprise.
ralisation et optimisation des oprations (optimisation des
ressources de l'entreprise, fiabilit des informations financires)
respect des obligations de rendre compte;
conformit aux lois et rglementations en vigueur;
protection des ressources contre les pertes, les mauvais usages et
les dommages.
CONTRLE PRVENTIF

Dtecte les problmes avant quils ne surviennent

Surveille les activits et les entres
Tenter de prdire les problmes potentiels avant quils ne
surviennent et effectuer les ajustements.
Prvenir les erreurs, les omissions ou les actes malveillants
CONTRLE DE DTECTION

Dtecte et rapporte toute occurrence derreur, omission

ou acte malveillant.
CONTRLE DE CORRECTION

Minimiser limpact dune menace

Remdier aux problmes dcouverts par les contrles de
dtection
Identifier les causes des problmes
Corriger les erreurs causes par un problme
Modifier les systmes de traitement pour minimiser les
occurrences futures des problmes
CONTRLE INTERNES
(OBJECTIFS)
La sauvegarde des actifs informationnels
Lintgrit de lenvironnement des SI
Lidentification et lauthentification appropri de
lutilisateur dune ressource SI
Lefficacit et lefficience des opration lis au SI
La disponibilit des services SI
Lamlioration de la protection des donnes et des
systmes
Lassurance de lintgrit et de la fiabilit des systmes par
limplmentation des procdures de gestion du
changement efficaces.
CLASSIFICATION DES AUDITS

Financier : Evaluation de lexactitude des tats

financiers dune organisation.
Oprationnel : Evaluation de la structure de contrle
interne dun processus ou dun domaine donn.
Intgr : Combine les tapes des audits financiers et
oprationnels.
Administratif : Evaluation des enjeux lis lefficacit
de la productivit oprationnelle au sein dune
organisation.
CLASSIFICATION DES AUDITS (SUITE)

SI : Evaluation des preuves afin de dterminer si les SI

et les ressources lies protgent adquatement les
actifs informationnel dune organisation.
Spcialiss : Audit SI de conformit li un service
externe ou un standard.
Investigation lgale : Audit spcialis dans la
dcouverte, la divulgation et le suivi des fraudes et
des crimes.
ETAPES DUN AUDIT TYPIQUE

1- Sujet daudit
2- Objectif de laudit
3- Porte de laudit
4- Planification avant Audit
5- Procdures daudit et de collecte de donnes
6- Procdures dvaluation des tests ou des rsultats dexamen
7- Procdures de communication avec la direction
8- Prparation du rapport daudit
RISQUE DAUDIT

Se dfinit comme le risque que les

renseignements puissent contenir une erreur
importante qui pourrait ne pas tre dtecte lors
de la vrification.
Risque inhrent
Risque dchec des contrles
Risque de non dtection
Risque global
DMARCHE DAUDIT AX SUR LE
RISQUE

1- Recueillir les renseignements et planifier

2- Comprendre les contrles internes
3- Effectuer les tests de conformit
4- Effectuer les test de corroboration
5- Conclure laudit
TEST DE CONFORMIT #
TEST DE CORROBORATION
Les test de conformit consistent recueillir des preuves dans
le but de tester la conformit dune organisation avec les
procdures de contrle.
Les tests de conformit dtermine si les contrles sont
appliqus dune faon qui respecte les procdures et les
politiques de la direction.
Lobjectifs est de fournir lauditeur des SI lassurance
raisonnable que le contrle particulier sur lequel il entend se
fier fonctionne comme il lavait observ lors de lvaluation
prliminaire.
TEST DE CONFORMIT VS
TEST DE CORROBORATION
Les tests de corroboration consistent recueillir les
preuves pour valuer lintgrit des transactions
individuelles, de donnes ou dautres renseignements.
Les tests de corroboration fournissent des preuves
de la validit et de lintgrit des soldes dans les tats
financiers et des transactions lappui de ces soldes.
PREUVE

Renseignements utilis par lauditeur pour dterminer si

lentit ou les donnes vrifis respectent les critres ou
les objectifs tablis.

La preuve peut comprendre les observations de lauditeur,

les notes prises lors des entretiens, du matriel tir de la
correspondance, de la documentation interne ou des
contrats avec les partenaires externes, ou les rsultats des
procds de vrification.
CRITRES DE FIABILIT DE
LA PREUVE
Indpendance du fournisseur de la preuve
Titre et qualit du fournisseur de la preuve
Objectivit de la preuve
Echancier de la preuve
TECHNIQUES DE COLLECTE DE
PREUVES

Observations (Organisation, Personnel, Procd)

Revue des politiques, procdures et standards
Documentation SI
Entretien avec le personnel comptents
Utilisation dautres auditeurs ou experts
Echantillonnage (statistiques / discrtionnaires)
Techniques daudit assistes par ordinateur
ECHANTILLONNAGE

Statistique : Utilisation dune mthode objective

pour dterminer la taille de lchantillon et les
critres de slection.
Discrtionnaire : Utilisation du jugement
(apprciation) de lauditeur pour dterminer la
mthode dchantillonnage, la taille de
lchantillon et les critres de slection.
TAAO

Les TAAO sont des outils important pour recueillir et analyser les
renseignements des systmes possdant des environnements
matriels et logiciels, des structures de donnes, des structures
denregistrement ou des fonctions de traitement qui sont diffrentes.
Ils fournissent un moyen daccder aux donnes et de les analyser au
regard dun objectif daudit prdtermin, et de faire rapport des
constatations de laudit en mettant laccent sur la fiabilit des
enregistrements produits et grs par le systme.
La fiabilit de la source dinformation utilise permet de rassurer
quant aux constatations nonces.
AVANTAGE DES TAAO

Rduit le niveau du risque daudit

Accroit lindpendance des audits
Rapide disponibilit de linformation
Opportunit de quantifi les faiblesses dun
systme de CI
Rduction des cots lis au temps
TAAO (DOCUMENTS
CONSERVER)
Rapport en ligne qui dtaillent les questions haut risque
examiner
Listages de programmes comments
Organigrammes
Rapports chantillons
Disposition denregistrement et les descriptions de fichiers
Dfinition des champs
Instruction dutilisation
Description des documents sources applicables
AUTO VALUATION DES
CONTRLES
Technique de gestion qui informe les actionnaires,
clients et autres parties quant la fiabilit du systme
de contrle interne de lorganisation.
Mthodologie utilise pour rviser les objectifs cls
de lentreprise, les risques lis latteinte des
objectifs de lentreprise et les CI conus pour grer
ces risques.
Ensemble doutils dont le degr de sophistication va
du simple questionnaire aux ateliers dirigs.
AVANTAGES DE LAEC

Dtection prcoces des risques

Amlioration de lefficacit des CI
Cration de la cohsion des quipes grce la participation des
employs
Dveloppement, chez les employs et les propritaires des contrles,
dun sentiment dappartenance relativement ces contrles et
diminution des leur rsistance face aux changement
Rduction des cots du contrle
Garantie donne aux actionnaires et aux clients quant la fiabilit.
..
INCONVNIENTS DE LAEC

Peut tre perue comme le remplacement dune

fonction daudit.
Peut tre perue comme une charge de travail.
En cas de lchec des amliorations suggres,
peut nuire au moral des employs.
Le manque de motivation peut nuire la
dtection des contrles insuffisants.
AUDIT CONTINU

Mthode qui permet aux auditeurs indpendants de

donner par crit une assurance propos dun sujet
laide dun ensemble de rapports daudits produits en
mme temps ou peu aprs lvnement relatif au
sujet.
Le but est de fournir une plate-forme plus
scuritaires pour viter les fraudes et un processus
en temps rel qui garantit un niveau lev de
contrle financier
COMMUNICATION DES RSULTATS
DAUDIT

Discuter des conclusions et des recommandations avec la

direction lors de lentrevue finale.
La prsentation peut tre un rsum ou une prsentation
visuelle.
Discuter avec le personnel de gestion de lorganisation afin
darriver un accord au sujet des conclusions et dlaborer un
plan dactions correctives.
Le rapport daudit na pas de format prcis
Doit suggrer ds chanciers pour la mise en uvre des
recommandations acceptes.
QUESTION TYPE EXAMEN

Une distinction qui peut tre faite entre un test de

conformit et un test de valeur est :

A. Les tests de conformits portent sur les dtails alors que les tests
de valeurs portent sur les procdures.
B. Les tests de conformit portent sur les contrles alors que les
tests de valeur portent sur les dtails
C. Les tests de conformits portent sur les plans alors que les tests
de valeur portent sur les procdures
D. Les tests de conformit portent sur les exigences rglementaires
alors que les tests de valeur portent sur les tests de validation.
QUESTION TYPE EXAMEN

Une distinction importante quun auditeur informatique doit faire en

valuant et en classant les contrles en contrles de types prventif, de
dtection, correctif est :

A. Lendroit o lon applique les contrles sur les donnes en circulation dans
le systme.
B. Seuls les contrles de prvention et de dtection prsentent un intrt.
C. Les contrles correctifs ne sont que des contrles compensatoires.
D. Une classification permet un auditeur informatique de dterminer les
contrles manquants.
QUESTION TYPE EXAMEN

Le bnfice principal pour une organisation qui utilise des

techniques dauto valuation des contrles rsulte de ce
quelle :

A. Peut identifier les zones risques levs qui pourrait

ncessiter ultrieurement une revue dtaille.
B. Permet aux auditeurs informatiques dvaluer les risques de
faon indpendante.
C. Peut tre utilise pour remplacer les audits traditionnels.
D. Permet la direction dabandonner sa responsabilit en ce qui
concerne les contrles.
QUESTION TYPE EXAMEN

Lequel des lments suivants constitue une autorisation

dentreprendre un audit des SI?
A. La dlimitation de laudit, y compris ses buts et objectifs.
B. Une requte deffectuer un audit de la part de la direction.
C. La charte daudit approuve.
D. Lchancier daudit approuv.
QUESTION TYPE EXAMEN

Dans lexcution dun audit en fonction du risque, quelle valuation

des risques est dabord complte par lauditeur des SI?

A. Lvaluation des risques de non-dtection

B. Lvaluation des risques dchec des contrles
C. Lvaluation des risques inhrents
D. Lvaluation des risques de fraude
QUESTION TYPE EXAMEN

Dans llaboration dun programme daudit ax sur le risque, sur

lequel des lments suivants un auditeur des SI porterait-il
probablement le PLUS son attention ?

A. Les processus dentreprise

B. Les applications essentielles des TI
C. Les contrles oprationnels
D. Les stratgies dentreprise
QUESTION TYPE EXAMEN

Lequel des types de risques daudit suivants prsume une absence de

contrle compensatoire dans le domaine examin ?

A. Risque dchec des contrles

B. Risque de non dtection
C. Risque inhrent
D. Risque dchantillonnage
 QUESTION TYPE EXAMEN
Un auditeur des SI effectuant un examen des contrles dune
application dcouvre une faiblesse dans les logiciels systmes qui
pourrait avoir une incidence importante sur lapplication. Lauditeur
des SI doit :
A. ne pas tenir compte de ces faiblesses, puisque lexamen des logiciels
systmes dpasse la porte de cet examen.
B. mener un examen dtaill des logiciels systmes et faire tat des
faiblesses de contrle.
C. inclure dans le rapport une dclaration que la vrification se limitait
lexamen des contrles de lapplication.
D. examiner les contrles des logiciels systmes, ceux-ci tant
pertinents, et recommander un examen dtaill des logiciels systmes.
QUESTION TYPE EXAMEN

Parmi les raisons suivantes, laquelle est la PLUS

importante raison de revoir le processus de planification
daudit des intervalles priodiques ?
A. Pouvoir planifier le dploiement des ressources daudit
disponibles.
B. Pouvoir tenir compte des changements
lenvironnement de risque.
C. Pouvoir alimenter la documentation de la charte daudit.
D. Pouvoir cerner les normes daudit des SI applicables.
QUESTION TYPE EXAMEN

Lequel des lments suivants est le PLUS efficace pour mettre en

uvre un systme dautovaluation des contrles au sein des entits
?
A. Revues informelles avec les pairs
B. Ateliers dirigs
C. Diagrammes descriptifs du flot de traitement
D. Diagrammes de flot de donnes
QUESTION TYPE EXAMEN

La PREMIERE tape de planification dun audit est de :

A. dfinir les livrables de laudit
B. Finaliser la porte et les objectifs de laudit
C. acqurir une comprhension des objectifs de lentreprise
D. concevoir lapproche pour laudit ou la stratgie daudit.
QUESTION TYPE EXAMEN

Lapproche que doit utiliser un auditeur des SI pour planifier la

couverture de laudit des SI doit se baser sur :
A. le risque
B. limportance relative
C. le scepticisme professionnel
D. le caractre suffisant des lments probants de laudit
QUESTION TYPE EXAMEN

Une entreprise effectue une copie de sauvegarde

quotidienne des donnes critiques et des logiciels, et
entrepose cette copie dans une installation externe.
La copie de sauvegarde est utilise pour restaurer les
fichiers en cas dinterruption. Il sagit de :
A. Un contrle prventif
B. Un contrle de gestion
C. Un contrle correctif
D. Un contrle de dtection
QUESTION TYPE EXAMEN

The PRIMARY purpose of generalized audit software (GAS) is to:

1. Find fraudulent transactions
2. Determine sample mean compared to population mean
3. Extract data for a Substantive Test
4. Organize an audit report
QUESTION TYPE EXAMEN

A Compensating Control is defined as

1. Two strong controls address the same fault
2. A fault is addressed by a weak control and strong control in
another area
3. A control addresses a specific problem
4. A control that fixes the problem after it is detected
QUESTION TYPE EXAMEN

An IS auditor should plan their audit approach based upon:

1. Materiality
2. Management recommendations
3. ISACA recommendations
4. Risk
QUESTION TYPE EXAMEN

A Hash Total is maintained on each batch file to ensure no transactions

are lost. This is an example of a
1. Preventive Control
2. Detective Control
3. Compensating Control
4. Corrective Control
QUESTION TYPE EXAMEN

The FIRST step that an auditor should take is:

1. Prepare the Audit Objectives and Scope
2. Learn about the organization
3. Study ISACA audit recommendations for the functional area
4. Perform a risk assessment
QUESTION TYPE EXAMEN

An audit that considers how financial information is generated from

both a business process and IS handling side is known as:
1. Financial audit
2. Operational audit
3. Administrative audit
4. Integrated audit
QUESTION TYPE EXAMEN

An auditor over-tests (tests a greater percent than actually exist)

samples that are expected to be most risky
1. Variable Sampling
2. Attribute Sampling
3. Statistical Sampling
4. Non-statistical Sampling
QUESTION TYPE EXAMEN

The possibility that a router does not catch spoofed IP addresses is

known as a
1. Inherent risk
2. Control risk
3. Detection risk
4. External risk
QUESTION TYPE EXAMEN

Testing a firewall to ensure that it only permits web traffic into the DMZ
is known as
1. Compliance Test
2. Substantive Test
3. Detection Test
4. Preventive Test
QUESTION TYPE EXAMEN

An inherent risk for a school would be:

1. Students trying to hack into the system to change grades
2. A firewall does not catch spoofed IP addresses
3. An audit does not find fraud which actually exists
4. People do not change their passwords regularly
REMERCIEMENTS

Pour IBT ( Institute of Business and Technologies)

BP: 15441 Douala - Cameroun
Par Arsne Edmond NGATO, CISA, CISM, PMP, OCP 10g/11g
Tlphone- 99183886
Email- arsenengato@yahoo.fr

Sources : Manuel de prparation CISA 2012,

Divers articles tlchargs sur Internet.