CISA

Le Processus daudit des

SI

Objectifs
A la fin de cette leon ,vous serez capable de :
Dfinir les risques daudit: risque inhrent, risque dchec des
contrles, risque de non dtection, risque global.
Distinguer les tests de conformit et les test de corroboration.
Dfinir les types de contrle: Prventif, de dtection, de
correction
Dcrire les types dchantillonnage: statistique et
discrtionnaire.
Dcrire les types daudit: financier, oprationnel, SI, intgr,
Investigation lgale
Dcrire TAAO, Auto valuation des contrles, Audit continu.
Dcrire les tapes dun audit typique, Approche daudit
fonde sur le risque.

Dfinitions (Laudit & les Auditeurs)

Audit

: Evaluation dun systme, dun

processus, dun projet ou dun produit
dune organisation.
Auditeur : Personne qualifie, comptente
et indpendante fournissant avec
objectivit un service daudit dans le but
de rendre un rapport.

Deux types dauditeur

Interne:

Employ dune organisation ayant

pour rle danalyser et dvaluer le
systme de contrle interne.

Externe

: Auditeur provenant dune firme

daudit indpendante de lorganisation
audite.

Qualifications de lauditeur :
Indpendance

professionnelle
Indpendance organisationnelle
Adhsion un code professionnel
dthique
Dtient les comptences et aptitudes
ncessaires pour lexcution de laudit
Maintient ses connaissances techniques
jour (CPE)

Dfinition : Audit SI / IT

Analyse partielle ou exhaustive du

fonctionnement d'un centre de traitement et de
son environnement
Dbouche sur un diagnostic prcisant

l'adquation des ressources matrielles et humaines aux

besoins de l'entreprise
l'adquation des rsultats obtenus en regard des moyens
engags
l'adquation des moyens en regard de la lgislation

Charte daudit

Le rle de la fonction daudit des SI est tabli par la

Charte dAudit. Laudit SI peut faire partie de laudit
interne en tant que groupe indpendant ou intgr
laudit financier et oprationnel.
La charte daudit doit noncer clairement:

Les objectifs et les responsabilits de la direction pour la

fonction daudit des SI.
La dlgation de pouvoir de la direction la fonction daudit.
Lautorit, la porte et les responsabilits globales de la fonction
daudit.
Lorganisation de la fonction daudit

Planning daudit

Court terme : Gnralement dans un an.

Long terme : Plus dun an (5, 10, 15, )
Analyser les enjeux court et long termes:
Les changement dans lenvironnement affectant
le niveau de risque;
Lvolution des technologies et des processus
administratifs;
Lamlioration des mthodes dvaluation;
Nouvelles rglementations applicables.

Planning daudit (Exemple)

Domaine
auditer

Priode

Date dernier
audit

Responsabilit

Procdures et
politique
denregistrement

Q1

Jamais

Auditeur Interne

Plan de
continuit

Q2

2005

DSI, Consultant
Scurit

FERPA :
Interview du
personnel

Q3

Jamais

Auditeur Interne

IT : Test de
pntration

Q4

2006

DSI, Consultant
Scurit

Etapes de planification dun

audit.

1- Acqurir la comprhension de la mission.

2- Raliser une analyse des risques
3- Etablir la porte et les objectifs daudit
4- concevoir lapproche ou la stratgie daudit
5- Affecter les ressources aux tches daudit;
6- Prvoir la logistique du mandat

Acqurir la comprhension de la
mission

Lire les documents de rfrence tels que les publications

de lindustrie, les rapports annuels et les rapports
danalyse financires;
Etudier les rapports daudit antrieurs ou les rapports
concernant les TI;
Consulter les plans stratgiques long termes relatifs au
TI et aux activits de lorganisation;
Discuter avec les responsables cls pour comprendre
les enjeux commerciaux;
Dterminer les rgles spcifiques applicables aux TI;
Dterminer les fonctions des TI ou des activits qui y
sont lies et qui ont t imparties;
Visiter les installations importantes de lorganisation.

Analyse des risques (Df.)

Risque : La possibilit quune menace donnes
exploite la vulnrabilit dun actif ou dun groupe
dactifs et cause ainsi un prjudice
lorganisation (ISO/IEC PDTR 13335-1).
Analyse de Risque : Technique didentification et
dvaluation des facteurs susceptible de
compromettre un processus ou un objectif.
LAR = Evaluation -> Attnuation -> R
valuation.

AR Evaluer les contre-mesures

Analyse

cot / bnfices : Choisir les

mthodes de gestion des risques
adquates en se basant sur :
Le cot de la mesure de contrle en
comparaison au degr de rduction du
risque;
La propension de la haute direction au
risque
Les mthodes de rduction du risque
privilgies

Analyse des Risques (Objectifs)

Permet de reprer les risques et les menaces

pour un environnement SI et les contrles
internes.
Aide valuer les mesures de contrle lors de
la planification de laudit.
Aide dterminer les objectifs de laudit;
Aide prendre les dcisions en rapport avec
laudit fond sur le risque.
Permet dimplmenter les meilleures mesures
de contrle interne

Contrle Interne

Structures organisationnelles, politiques,

procdures et pratiques implmentes pour
rduire les risques.
Donne la direction une assurance raisonnable
que les objectifs seront atteints et que le risque
sera vit ou dtect et corrig.
Permettent non seulement datteindre les
objectifs de lorganisation, mais traitent
galement les vnements indsirables par la
prvention, la dtection et la correction.
Classifis prventifs, dtection et correction.

Contrle Interne (COSO)

processus intgr mis en uvre par les responsables et
le personnel dune organisation et destin traiter les
risques et fournir une assurance raisonnable quant la
ralisation, dans le cadre de la mission de lorganisation,
des objectifs de lentreprise.

ralisation et optimisation des oprations

(optimisation des ressources de l'entreprise, fiabilit
des informations financires)

respect des obligations de rendre compte;

conformit aux lois et rglementations en vigueur;

protection des ressources contre les pertes, les

mauvais usages et les dommages.

Contrle prventif

Dtecte les problmes avant quils ne surviennent

Surveille les activits et les entres
Tenter de prdire les problmes potentiels avant quils
ne surviennent et effectuer les ajustements.
Prvenir les erreurs, les omissions ou les actes
malveillants

Contrle de dtection

Dtecte et rapporte toute occurrence derreur, omission

ou acte malveillant.

Contrle de Correction

Minimiser limpact dune menace

Remdier aux problmes dcouverts par les contrles
de dtection
Identifier les causes des problmes
Corriger les erreurs causes par un problme
Modifier les systmes de traitement pour minimiser les
occurrences futures des problmes

Contrle internes (Objectifs)

La sauvegarde des actifs informationnels

Lintgrit de lenvironnement des SI
Lidentification et lauthentification appropri de
lutilisateur dune ressource SI
Lefficacit et lefficience des opration lis au SI
La disponibilit des services SI
Lamlioration de la protection des donnes et des
systmes
Lassurance de lintgrit et de la fiabilit des systmes
par limplmentation des procdures de gestion du
changement efficaces.

Classification des Audits

Financier : Evaluation de lexactitude des tats
financiers dune organisation.
Oprationnel : Evaluation de la structure de
contrle interne dun processus ou dun domaine
donn.
Intgr : Combine les tapes des audits
financiers et oprationnels.
Administratif : Evaluation des enjeux lis
lefficacit de la productivit oprationnelle au
sein dune organisation.

Classification des Audits (Suite)

SI : Evaluation des preuves afin de dterminer si

les SI et les ressources lies protgent
adquatement les actifs informationnel dune
organisation.
Spcialiss : Audit SI de conformit li un
service externe ou un standard.
Investigation lgale : Audit spcialis dans la
dcouverte, la divulgation et le suivi des fraudes
et des crimes.

Etapes dun Audit Typique

1- Sujet daudit
2- Objectif de laudit
3- Porte de laudit
4- Planification avant Audit
5- Procdures daudit et de collecte de donnes
6- Procdures dvaluation des tests ou des
rsultats dexamen
7- Procdures de communication avec la direction
8- Prparation du rapport daudit

Risque daudit

Se dfinit comme le risque que les

renseignements puissent contenir une erreur
importante qui pourrait ne pas tre dtecte lors
de la vrification.
Risque inhrent
Risque dchec des contrles
Risque de non dtection
Risque global

Dmarche daudit ax sur le risque

1- Recueillir les renseignements et planifier

2- Comprendre les contrles internes
3- Effectuer les tests de conformit
4- Effectuer les test de corroboration
5- Conclure laudit

Test de conformit # Test de

corroboration

Les test de conformit consistent recueillir des preuves

dans le but de tester la conformit dune organisation
avec les procdures de contrle.
Les tests de conformit dtermine si les contrles sont
appliqus dune faon qui respecte les procdures et les
politiques de la direction.
Lobjectifs est de fournir lauditeur des SI lassurance
raisonnable que le contrle particulier sur lequel il
entend se fier fonctionne comme il lavait observ lors de
lvaluation prliminaire.

Test de conformit vs Test de

corroboration

Les tests de corroboration consistent recueillir

les preuves pour valuer lintgrit des
transactions individuelles, de donnes ou
dautres renseignements.
Les tests de corroboration fournissent des
preuves de la validit et de lintgrit des soldes
dans les tats financiers et des transactions
lappui de ces soldes.

Preuve

Renseignements utilis par lauditeur pour

dterminer si lentit ou les donnes vrifis
respectent les critres ou les objectifs tablis.

La preuve peut comprendre les observations de

lauditeur, les notes prises lors des entretiens,
du matriel tir de la correspondance, de la
documentation interne ou des contrats avec les
partenaires externes, ou les rsultats des
procds de vrification.

Critres de fiabilit de la preuve

Indpendance du fournisseur de la preuve

Titre et qualit du fournisseur de la preuve
Objectivit de la preuve
Echancier de la preuve

Techniques de collecte de preuves

Observations (Organisation, Personnel,

Procd)
Revue des politiques, procdures et standards
Documentation SI
Entretien avec le personnel comptents
Utilisation dautres auditeurs ou experts
Echantillonnage (statistiques / discrtionnaires)
Techniques daudit assistes par ordinateur

Echantillonnage
Statistique : Utilisation dune mthode objective
pour dterminer la taille de lchantillon et les
critres de slection.
Discrtionnaire : Utilisation du jugement
(apprciation) de lauditeur pour dterminer la
mthode dchantillonnage, la taille de
lchantillon et les critres de slection.

TAAO

Les TAAO sont des outils important pour recueillir et

analyser les renseignements des systmes possdant
des environnements matriels et logiciels, des structures
de donnes, des structures denregistrement ou des
fonctions de traitement qui sont diffrentes.
Ils fournissent un moyen daccder aux donnes et de
les analyser au regard dun objectif daudit prdtermin,
et de faire rapport des constatations de laudit en mettant
laccent sur la fiabilit des enregistrements produits et
grs par le systme.
La fiabilit de la source dinformation utilise permet de
rassurer quant aux constatations nonces.

Avantage des TAAO

Rduit le niveau du risque daudit

Accroit lindpendance des audits
Rapide disponibilit de linformation
Opportunit de quantifi les faiblesses dun
systme de CI
Rduction des cots lis au temps

TAAO (documents conserver)

Rapport en ligne qui dtaillent les questions

haut risque examiner
Listages de programmes comments
Organigrammes
Rapports chantillons
Disposition denregistrement et les descriptions
de fichiers
Dfinition des champs
Instruction dutilisation
Description des documents sources applicables

Auto valuation des contrles

Technique de gestion qui informe les

actionnaires, clients et autres parties quant la
fiabilit du systme de contrle interne de
lorganisation.
Mthodologie utilise pour rviser les objectifs
cls de lentreprise, les risques lis latteinte
des objectifs de lentreprise et les CI conus
pour grer ces risques.
Ensemble doutils dont le degr de
sophistication va du simple questionnaire aux
ateliers dirigs.

Avantages de lAEC

Dtection prcoces des risques

Amlioration de lefficacit des CI
Cration de la cohsion des quipes grce la
participation des employs
Dveloppement, chez les employs et les propritaires
des contrles, dun sentiment dappartenance
relativement ces contrles et diminution des leur
rsistance face aux changement
Rduction des cots du contrle
Garantie donne aux actionnaires et aux clients quant
la fiabilit.
..

Inconvnients de lAEC
Peut tre perue comme le remplacement dune
fonction daudit.
Peut tre perue comme une charge de travail.
En cas de lchec des amliorations suggres,
peut nuire au moral des employs.
Le manque de motivation peut nuire la
dtection des contrles insuffisants.

Audit continu

Mthode qui permet aux auditeurs indpendants

de donner par crit une assurance propos dun
sujet laide dun ensemble de rapports daudits
produits en mme temps ou peu aprs
lvnement relatif au sujet.
Le but est de fournir une plate-forme plus
scuritaires pour viter les fraudes et un
processus en temps rel qui garantit un niveau
lev de contrle financier

Communication des rsultats daudit

Discuter des conclusions et des recommandations avec

la direction lors de lentrevue finale.
La prsentation peut tre un rsum ou une prsentation
visuelle.
Discuter avec le personnel de gestion de lorganisation
afin darriver un accord au sujet des conclusions et
dlaborer un plan dactions correctives.
Le rapport daudit na pas de format prcis
Doit suggrer ds chanciers pour la mise en uvre
des recommandations acceptes.

Question type examen

Une distinction qui peut tre faite entre un

test de conformit et un test de valeur est :

A. Les tests de conformits portent sur les dtails

alors que les tests de valeurs portent sur les
procdures.
B. Les tests de conformit portent sur les contrles
alors que les tests de valeur portent sur les dtails
C. Les tests de conformits portent sur les plans alors
que les tests de valeur portent sur les procdures
D. Les tests de conformit portent sur les exigences
rglementaires alors que les tests de valeur portent
sur les tests de validation.

Question type examen

Une distinction importante quun auditeur

informatique doit faire en valuant et en classant les
contrles en contrles de types prventif, de
dtection, correctif est :

A. Lendroit o lon applique les contrles sur les

donnes en circulation dans le systme.
B. Seuls les contrles de prvention et de dtection
prsentent un intrt.
C. Les contrles correctifs ne sont que des contrles
compensatoires.
D. Une classification permet un auditeur
informatique de dterminer les contrles manquants.

Question type examen

Le bnfice principal pour une organisation qui

utilise des techniques dauto valuation des
contrles rsulte de ce quelle :

A. Peut identifier les zones risques levs qui

pourrait ncessiter ultrieurement une revue dtaille.
B. Permet aux auditeurs informatiques dvaluer les
risques de faon indpendante.
C. Peut tre utilise pour remplacer les audits
traditionnels.
D. Permet la direction dabandonner sa
responsabilit en ce qui concerne les contrles.

Question type examen

Lequel

des lments suivants constitue

une autorisation dentreprendre un audit
des SI?

A. La dlimitation de laudit, y compris ses

buts et objectifs.
B. Une requte deffectuer un audit de la part
de la direction.
C. La charte daudit approuve.
D. Lchancier daudit approuv.

Question type examen

Dans

lexcution dun audit en fonction du

risque, quelle valuation des risques est
dabord complte par lauditeur des SI?

A. Lvaluation des risques de non-dtection

B. Lvaluation des risques dchec des
contrles
C. Lvaluation des risques inhrents
D. Lvaluation des risques de fraude

Question type examen

Dans

llaboration dun programme daudit

ax sur le risque, sur lequel des lments
suivants un auditeur des SI porterait-il
probablement le PLUS son attention ?
A. Les processus dentreprise
B. Les applications essentielles des TI
C. Les contrles oprationnels
D. Les stratgies dentreprise

Question type examen

Lequel

des types de risques daudit

suivants prsume une absence de
contrle compensatoire dans le domaine
examin ?
A. Risque dchec des contrles
B. Risque de non dtection
C. Risque inhrent
D. Risque dchantillonnage

Question type examen

Un auditeur des SI effectuant un examen des contrles

dune application dcouvre une faiblesse dans les
logiciels systmes qui pourrait avoir une incidence
importante sur lapplication. Lauditeur des SI doit :

A. ne pas tenir compte de ces faiblesses, puisque

lexamen des logiciels systmes dpasse la porte de cet
examen.
B. mener un examen dtaill des logiciels systmes et
faire tat des faiblesses de contrle.
C. inclure dans le rapport une dclaration que la
vrification se limitait lexamen des contrles de
lapplication.
D. examiner les contrles des logiciels systmes, ceux-ci
tant pertinents, et recommander un examen dtaill des
logiciels systmes.

Question type examen

Parmi les raisons suivantes, laquelle est la

PLUS importante raison de revoir le processus
de planification daudit des intervalles
priodiques ?

A. Pouvoir planifier le dploiement des

ressources daudit disponibles.
B. Pouvoir tenir compte des changements
lenvironnement de risque.
C. Pouvoir alimenter la documentation de la
charte daudit.
D. Pouvoir cerner les normes daudit des SI
applicables.

Question type examen

Lequel

des lments suivants est le PLUS

efficace pour mettre en uvre un systme
dautovaluation des contrles au sein des
entits ?

A. Revues informelles avec les pairs

B. Ateliers dirigs
C. Diagrammes descriptifs du flot de
traitement
D. Diagrammes de flot de donnes

Question type examen

La

PREMIERE tape de planification dun

audit est de :

A. dfinir les livrables de laudit

B. Finaliser la porte et les objectifs de laudit
C. acqurir une comprhension des objectifs
de lentreprise
D. concevoir lapproche pour laudit ou la
stratgie daudit.

Question type examen

Lapproche

que doit utiliser un auditeur

des SI pour planifier la couverture de
laudit des SI doit se baser sur :

A. le risque
B. limportance relative
C. le scepticisme professionnel
D. le caractre suffisant des lments
probants de laudit

Question type examen

Une entreprise effectue une copie de

sauvegarde quotidienne des donnes critiques
et des logiciels, et entrepose cette copie dans
une installation externe. La copie de sauvegarde
est utilise pour restaurer les fichiers en cas
dinterruption. Il sagit de :
A. Un contrle prventif
B. Un contrle de gestion
C. Un contrle correctif
D. Un contrle de dtection

Question type examen

The PRIMARY purpose of generalized audit
software (GAS) is to:
1. Find fraudulent transactions
2. Determine sample mean compared to
population mean
3. Extract data for a Substantive Test
4. Organize an audit report

Question type examen

A Compensating Control is defined as
1. Two strong controls address the same
fault
2. A fault is addressed by a weak control
and strong control in another area
3. A control addresses a specific problem
4. A control that fixes the problem after it is
detected

Question type examen

An IS auditor should plan their audit
approach based upon:
1. Materiality
2. Management recommendations
3. ISACA recommendations
4. Risk

Question type examen

A Hash Total is maintained on each batch
file to ensure no transactions are lost.
This is an example of a
1. Preventive Control
2. Detective Control
3. Compensating Control
4. Corrective Control

Question type examen

The FIRST step that an auditor should take
is:
1. Prepare the Audit Objectives and Scope
2. Learn about the organization
3. Study ISACA audit recommendations for
the functional area
4. Perform a risk assessment

Question type examen

An audit that considers how financial
information is generated from both a
business process and IS handling side is
known as:
1. Financial audit
2. Operational audit
3. Administrative audit
4. Integrated audit

Question type examen

An auditor over-tests (tests a greater
percent than actually exist) samples that
are expected to be most risky
1. Variable Sampling
2. Attribute Sampling
3. Statistical Sampling
4. Non-statistical Sampling

Question type examen

The possibility that a router does not catch
spoofed IP addresses is known as a
1. Inherent risk
2. Control risk
3. Detection risk
4. External risk

Question type examen

Testing a firewall to ensure that it only
permits web traffic into the DMZ is known
as
1. Compliance Test
2. Substantive Test
3. Detection Test
4. Preventive Test

Question type examen

An inherent risk for a school would be:
1. Students trying to hack into the system to
change grades
2. A firewall does not catch spoofed IP
addresses
3. An audit does not find fraud which
actually exists
4. People do not change their passwords
regularly

Remerciements
Pour

IBT ( Institute of Business and

Technologies)
BP: 15441 Douala - Cameroun
Par Arsne Edmond NGATO, CISA,
CISM, PMP, OCP 10g/11g
Tlphone- 99183886
Email- arsenengato@yahoo.fr

Sources : Manuel de prparation CISA 2012,

Divers articles tlchargs sur Internet.