Audit IT

Représentez l’organigramme «classique» d’une DSI, puis l’organigramme «moderne».

Pouvez-vous citer trois types de tests utilisés lors de la recette d’une application?

Test unitaire : Test de chaque élément de l’application de manière séparée: qualification

Test d’intégration : Test d’intégration des éléments de l’application, et de l’application dans son SI

Test fonctionnel : Test de bout en bout, pour vérifier l’aptitude au bon fonctionnement (VABF)

TEST VSR : Surveillance en début d’exploitation: Vérification en Service Régulier (VSR)

Pouvez-vous citer trois composants de la méthode agile (étape ou contenu) ?

Pouvez-vous décrire deux types de responsabilités exercées par un Responsable SI métier?

Pilotage stratégique métier

Administration du SI

Qualité et conduite de projet

Pouvez-vous décrire deux types de responsabilités exercées par un directeur de projet ?

Direction du projet

Communication& animation

Gestion des ressources.

Pouvez-vous décrire deux types de responsabilités exercées par un chef de projet maitrise d’œuvre ?

Responsabilité du contenu technique du projet.

Conduite du projet sur le terrain

Déploiement technique

Accompagnement des utilisateurs

Citer deux livrables attendus pour un administrateur de bases de données.

Cartographie technique et documentée

des outils, systèmes et télécom

Pouvez-vous décrire trois types de responsabilités exercées par un expert en système d’exploitation ?

Participation aux études et développement

Soutien auprès des équipes

Prospective

Ouverture externe

Mise en place des évolutions

Conception

Pouvez-vous décrire deux types de travaux réalisés par un Assistant fonctionnel?

Anticipation et conduite du changement

Assistance et conseil

Vérification de la qualité et de la performance applicative

Pouvez-vous décrire trois types de responsabilités exercées par un Responsable de la Sécurité des Systèmes d’Information
(RSSI)?

Développement stratégique de la sécurité

Analyse de risques

Sensibilisation et formation aux enjeux

Audit et contrôle
Etudes de moyens et préconisations

Pouvez-vous citer 4 fonctions relatives au numérique (talents digitaux)

UX -Expérience Utilisateur : UX Designer / Ergonome , Designer / Infographiste

Capital Données : Data Architect, Data Scientist, Data Analyst, Data Steward, Data Officer

Développement & Architecture : Développeur (Web, Mobile, API), Expert Cybersécurité

Développement Agile : Product Owner, Coach Agile, ScrumMaster, Intégrateur DevOps

L’opinion d’audit est-elle toujours motivée?

Opinion: certification (avec ou sans réserve, refus possible, impossibilité de conclure)

Quels sont les 3 principes fondateurs de notre comptabilité?

Efficacité et efficience du fonctionnement

Fiabilité de l’information financière

Respect de la législation et de la réglementation applicables (conformité)

Le commissaire aux comptes qualifie son opinion dans un rapport général. Pouvez vous citer au moins deux formes que cette
opinion peut revêtir?

Opinion: certification (avec ou sans réserve, refus possible, impossibilité de conclure)

Réserve pour désaccord : Le CAC est en désaccord sur le choix ou l’application de normes et méthodes comptables et il quantifie l’incidence
des anomalies liées à ce désaccord sur les comptes annuels.

Réserve pour limitation : Dans certaines circonstances précises, le CAC n’a pas pu mettre en œuvre toutes les procédures nécessaires pour
fonder son opinion, et les incidences de ces limitations sont nettement circonscrites sur les comptes.
Pouvez vous citer deux référentiels comptables nationaux ou internationaux?

-IFRS

-Référentiel de contrôle interne: COSO ERM 2017

COSO ERM 2017 s’appuie sur 5 composants:

Gouvernance et culture

Stratégie et définition des objectifs

Performance

Revue et amendement

Information, communication et reporting

L’approche d’audit est basée sur la notion de risque combiné. Citer les 2 catégories de risque qui déterminent ce risque
combiné.

Risque inhérent : Possibilité que le solde d’un compte ou d’une catégorie d’opérations comporte des anomalies significatives, nonobstant les
contrôles internes existants.

Risque lié au contrôle: Risque qu’une anomalie potentiellement significative ne soit ni prévenue ni détectée par les systèmes comptables et
de contrôle interne.

Quelle est la définition exacte du risque de non détection parmi les 3 suivantes:

–Risque que les contrôles mis en œuvre par le Commissaire aux Comptes ne parviennent pas à détecter une anomalie
potentiellement significative

–Risque que le système audité ne permette pas par construction d’être contrôlé

–Risque d’une obstruction à contrôle suite à un comportement négatif d’une personne auditée.
Pour exécuter sa mission, le commissaire aux comptes possède ou acquiert une connaissance suffisante de l'entité. Pouvez-
vous citer 3 points à prendre en compte à ce niveau?

- Entité

- Facteurs économiques généraux

- Secteur d’activité

Dans le même esprit, pouvez-vous citer 3 éléments importants liés au secteur d’activité de l’entreprise?

Marché/concurrence, Activité cyclique, Déclin ou expansion, Innovation, Risque commercial (concurrence, activité..), Guerre des prix, Ratios
clés, indicateurs, Pratiques comptables, Cadre réglementaire, Coût de l’énergie.
Mini cas Automobile (6 points)

Vous êtes auditeur d’un groupe automobile français de taille internationale

•Pouvez-vous citer au moins 6 risques majeurs pouvant impacter les comptes du groupe ?

•Vous pouvez structurer votre réponse à 3 niveaux:

–Facteurs économiques généraux

–Secteur d’activité

–Entité

Quel est le nom du référentiel reconnu au plan international pour le contrôle interne des
entreprises? Référentiel de contrôle interne: le COSO

•Savez vous ce que ce nom signifie? CommitteeOf Sponsoring Organizations

Pouvez-vous citer 3 composantes du COSO dans sa version 2013?

-Définition des objectifs

-Traitement des risques

-Filiale

-Unité

-Division

-Entreprise

Pouvez-vous citer trois limites inhérentes à tout système de contrôle interne?

-Le coût d'un contrôle interne ne doit pas excéder les avantages escomptés de ce contrôle,

-La plupart des contrôles internes portent sur des opérations répétitives et non sur des opérations
non récurrentes,

-Le risque d'erreur humaine ne peut être totalement éliminé,

Les Systèmes d’information sont constitués de 4 couches indépendantes qu’un auditeur

informatique doit prendre en considération dans son analyse des contrôles généraux.
Pouvez-vous citer deux d’entre elles?

1- ERP (SAP, Oracle)

2- Base de données (SQL, Oracle)
3- Système d’exploitation (Windows, unix)
4- Réseaux (WAN, LAN)
Mini cas PICHON ( 8 points)

Votre client, PICHON frères, est promoteur immobilier national . Originaire du Sud-Ouest
de la France, cette société a connu une expansion continue au cours des dix dernières
années. Conscients des difficultés liées à son système d’information, ses dirigeants vous
mandatent pour trois interventions:

1. Une Assistance à Maîtrise d’Ouvrage pour accompagner la direction des ventes dans son
projet de refonte de l’applicatif CRM en liaison avec le métier et la DSI

2. Une Assistance au choix d’une solution de paye/RH du marché

3.Une mission de Diagnostic des risques liés à la sécurité des SI, avec des analyses très
poussées sur les vulnérabilités et un ensemble de recommandations.

Pour chaque intervention, il vous est demandé de décrire en une dizaine de lignes au
maximum, l’approche que vous proposez: objectifs, travaux, produits finis.

2/ Citez une des actions au travers de laquelle le CIGREF réalise sa mission.

* Faire connaître les enjeux, les opportunités, contraintes et risques liés à l’usage des systèmes
d’information.
* Valoriser la fonction Systèmes d’information au sein des entreprises.
* Développer une vision à long terme de l’impact des SI sur l’entreprise.
6/ Pouvez-vous citer au moins deux étapes importantes d’une mission d’audit légal
(Commissariat aux comptes)?
* Lancement de la mission : compréhension de l’activité et identification des zones de risque.
* Phase d’intérim : revue des processus et validation contrôle interne.
* Inventaire physique.
* Phase final : test substantif et synthèse et conclusion.
* Emission du rapport pour l’assemblé
19/ La mise en place du contrôle interne repose sur le respect de 7 objectifs de
contrôle. Pouvez-vous citer au moins 4 d’entre eux ?
Toutes les opérations sont : 
* Comptabilisée
* Réel
* Correctement valorisée
* Comptabilisation a la bonne période
* Correctement imputée
* Correctement totalisée
* Correctement enregistrée et centralisée
1/ Citez au moins cinq utilisateurs potentiels de l’information financière en
provenance des entreprises (comptes annuels).
* Personnel
* Dirigent et administrateur
* Investisseurs
* Créanciers
* Administration

2/ Citez les 3 rôles de l’auditeur.

* Emet une opinion sur la qualité de l’information
* Mesure les degrés de fiabilité de l’information
* Accroit l’utilité de l’information