Présentation

 Formateur :
 Nom : Nourredine LABANI
 Formateur agréé (ISC)², LSTI, MILE2, EXEMPLAR GLOBAL et CLUB EBIOS;
 Ingénieur Réseau et Mastère en Sécurité des Systèmes d’Information (SSI);
 + 30 certifications en IT et SSI;
 35 années d’expérience en IT et SSI dont 15 dans le domaine de la formation en SSI.

 Participants :
 Nom
 Organisme
 Fonction
 Expérience en audit des systèmes d’information
 Attentes

1
 CISA : Certification professionnelle ISACA

 Avantages des certifications professionnelles :

• Reconnaissance internationale,
• Obligation de formation permanente pour entretenir la certification.

 Depuis 1978, la certification CISA (Certified Information Systems

Auditor), parrainée par ISACA, est la norme mondialement acceptée de
reconnaissance parmi les professionnels de l’audit, du contrôle et de la
sécurité des systèmes d’information (SI).

2
 CISA : Certification professionnelle ISACA

 ISACA : Information Systems Audit and Control Association

(www.isaca.org) :
• Une association professionnelle internationale fondée aux États-Unis en 1967,
• Son objectif est d'améliorer la gouvernance des systèmes d'information, notamment
par l'amélioration des méthodes d'audit informatique,
• Promotion du référentiel des meilleures pratiques d’audit et de gouvernance COBIT,

• Délivrance des certificats :

 CISA : le premier certificat créé par l'ISACA, qui a le plus de titulaires aux États-Unis et dans le
reste du monde,
 CISM : gestion de la sécurité,
 CGEIT : gouvernance des technologies de l’information des entreprises,
 CRISC : risque et contrôle des systèmes d'information.

3
 La Certification CISA

 CISA : le certificat d'Audit des Systèmes d'Information.

 Il est de plus en plus recherché, tant par les cabinets d‘audit externe que par les
entreprises pour l’audit interne.
 L’American National Standards Institute (ANSI) a accrédité la CISA selon de la
norme ISO/IEC 17024:2003, « Exigences générales des organismes offrant des
systèmes de certification de personnes
• Met en avant les qualifications uniques et l’expertise fournies par le CISA,
• Protège l’intégrité de la certification et fournit un moyen potentiel de se défendre en justice,
• Renforce la confiance des consommateurs et du public en général envers la certification et ses
détenteurs,
• Facilite la mobilité transfrontalière et interindustrielle.
 Le certificat sanctionne à la fois la réussite à l'examen du CISA et la validation de
cinq années d'expérience dans l'audit des systèmes d'information et de l’IT.

4
 Déroulement du cours

√ Durée : Cinq (5) jours,

√ Nombre d’heures : 35 heures,
√ Matin : 8h 30 – 12h 00 /Après midi : 13h 00 -17h 00,
√ 2 pauses café par jour / 1 pause déjeuner,
√ Support de Cours + séries de Q/R par domaine,
√ Français,
√ Examen Blanc (2 h).

5
 L’examen

√ Quiz : 150 Questions,

√ Durée : 4 heures,
√ L’examen comporte des questions destinées à évaluer les connaissances
techniques et pratiques du candidat ainsi que sa capacité à appliquer ses
connaissances (expérience) dans des situations données,
√ Des questions de recherche non comptabilisées,
√ Un score de passage >= 450.

6
 Quelques Conseils

√ Un effort personnel important,

√ L'obtention d'une certification professionnelle n'est jamais triviale,
√ Dans tous les cas, il s'agit d'un investissement personnel du candidat :
– Lecture du CISA Review Manual plus qu’une fois,
– Entrainement Pratique : Q/R ,
– Vous n’avez pas le droit de rater les domaines de votre spécialité,
– Vous devez investir sur les domaines que vous ne maîtrisez pas.

7
 Inscription à l’examen

√ Site web ISACA  http://www.isaca.org

– Création Compte ISACA (login, pwd, ID)

– Registration deadline :
 Register online anytime for the CISM certification exam and schedule it at a time and location convenient to you
within your 365-day eligibility period

– Guide du Candidat au CISA®, Examen et Certification

8
 Domaines du CISA

√ Domaine 1 : Processus d’Audit des Systèmes d’Information

Gestion de projet, Développement, Maintenances (applications et systèmes), contrôles applicatifs,
…………………21%

√ Domaine 2 : – Gouvernance et Gestion des TI stratégie de gouvernance des SI, Management des
risques, règles de gestion des SI, structure de gouvernance, indicateurs, tableaux de
bord……………….17%

√ Domaine 3 : Acquisition, Conception et Implantation des Systèmes d’Information Gestion de

projet, Plateformes de développement, Maintenance, Contrôles, Métriques………….. 12%

√ Domaine 4 : Exploitation et Résilience Métier des Systèmes d’Information Audits de la

production, des architectures, des réseaux, Plan de continuité d’activité, PCA, plans de
secours…………23%

√ Domaine 5 : Protection des Actifs Informationnels Sécurité de l’Information : analyse de risque,

politique, niveau de risque résiduel accepté, dispositifs. sécurité logique et physique, accès, réseaux,
mobiles……. …27%

9
 Domaine 1
Processus d’Audit des Systèmes
d’Information

10
 Agenda

√ Gestion de la fonction d’audit du Système d’Information

√ Normes d’audit des Systèmes d’Information
√ Planification d’un audit du Système d’Information
√ Appréciation des risques
√ Contrôles internes
√ COBIT
√ Réalisation d’un audit
√ Auto-évaluation des contrôles

11
 Objectif

√ Connaitre les principaux concepts pour mener un audit et préparer

l’examen :
 Les stratégies et méthodologies d’audit;
 Le développement des plans d’audit pour s’assurer que les actifs de l’entreprise
sont sécurisés;
 Le code d’éthique de l’ISACA ainsi que les normes et procédures;
 Les techniques d’auto-évaluation des contrôles;
 Les techniques de l’audit continu;
 Les techniques de l’audit assisté par ordinateur;
 Les techniques de rapport et de communication avec la direction et les
collègues de travail.

12
 Partie A

Planification

13
Gestion de la fonction d’audit du Système d’Information

14
 Gestion de la fonction d’audit du
Système d’Information

√ Les entreprises sont submergées par les tâches de tous les jours;
√ Il faut contrôler et vérifier la conformité;
√ Les tâches des auditeurs :
• Organiser la fonction d’audit du SI;
• Gérer les ressources de l’audit du SI;
• Planifier l’audit du SI.

15
 Gestion de la fonction d’audit du
Système d’Information

Définition
« L’Audit est un processus systématique, indépendant et documenté qui donne à
une organisation :
√ une assurance raisonnable sur le degré de maîtrise de ses opérations;
√ lui apporte des conseils pour les améliorer et contribue à créer de
la valeur ajoutée.

L’Audit aide l’organisation à atteindre ses objectifs en évaluant, par une approche
systématique et méthodique, ses processus de management des risques, de contrôle
interne et de gouvernance d’entreprise et en faisant des propositions pour renforcer
leur efficacité. »

16
 Gestion de la fonction d’audit du
Système d’Information

√ Différence entre Expertise, Audit et Conseil

EXPERTISE AUDIT CONSEIL

Spécialiste d’un domaine Démarche de généraliste Connaissance d’un domaine

Analyse technique Analyse de processus Analyse de processus

Mesures de performances Collecte de faits Collecte de faits

Solution et optimisation Recommandations Axes d’amélioration

Obligation de résultats Obligation de moyens Obligation de moyens

17
 Gestion de la fonction d’audit du
Système d’Information

1- Organiser la fonction d’audit du SI

√ Interne ou externe
* Interne : entité d’audit interne;
* Externe : contrat entre une société externe et l’organisation : objectifs des services,
portée, …
* Dans les deux cas, la fonction d’audit doit être indépendante et doit rendre
compte à un comité d’audit ou à un conseil d’administration.
√ Charte d’audit approuvée par la Direction ou le Conseil d’Administration :
* Document définissant le but, le champ d’application, l’autorité et la responsabilité de
l’activité d’audit interne.
√ Charte vs Lettre de mission
* Charte : document qui couvre la totalité des activités de la fonction d’audit et qui
n’est pas changé sans justification.
* Lettre de mission : document relatif à une mission particulière pour atteindre des
objectifs spécifiques.
18
 Gestion de la fonction d’audit du
Système d’Information

2- Gérer les ressources de l’audit du SI

√ Technologies des SI et les méthodes d’audit sont en évolution continue;
√ Les normes d’audit des SI de l’ISACA exigent de l’auditeur une haute
compétence, une aptitude et les connaissances nécessaires pour effectuer les
tâches;
√ Aptitudes et connaissances des auditeurs doivent être prises en considération
lors de l’affectation du personnel aux missions d’audit.
Ceci implique :
* L’auditeur doit maintenir ses connaissances et compétences à jour par une
formation professionnelle continue;
* De préférence, la Direction Générale doit établir annuellement un plan de formation
basé sur les technologies utilisées par l’organisation et les questions relatives
aux risques;
* Il faut savoir utiliser les outils et les méthodologies les plus adéquates pour des
19
missions d’audit très spécialisées.
 Gestion de la fonction d’audit du
Système d’Information

3- Planifier l’audit du SI
√ 3-1 Planification annuelle
* Un plan annuel est un programme d’audit comprenant un ou plusieurs plans d’audit;
* A long terme : sujets d’audit à couvrir sur 3 ou 5 ans : plans stratégiques;
* A court terme : sujets d’audit à couvrir en courant d’année : plans tactiques;
* Etablir ou mettre à jour les plans d’audit nécessite annuellement (au moins)
une opération d’analyse des risques/enjeux;
* Cette analyse va faire apparaitre les nouveaux risques/enjeux suite
aux changements dans l’environnement tels que l’évolution des technologies et
des processus métier, la modification des règlementations et conditions du marché,
les nouvelles acquisitions, l’amélioration des méthodes d’évaluation et de contrôle;
* Les résultats de l’analyse doivent être approuvés par un comité d’audit ou le
conseil d’administration.

3-2 Planification individuelle pour chaque mission du plan annuel.

20
Normes d’audit des Systèmes d’Information

21
 Normes d’audit des Systèmes d’Information

Introduction
Dans une mission d’audit des SI, l’auditeur doit connaitre, appliquer rigoureusement
et respecter :
* Le code d’éthique professionnelle de l’ISACA;
* Les normes d’audit des SI/IT (norme ISO 19011:2018, …);
* Les directives (guides d’utilisation des normes : quand les utiliser, comment
,…);
* Les procédures (exemples de mise en œuvre des normes );
* Les standards professionnels : lois et règlements;
* Les techniques et pratiques de l’audit.

22
 Normes d’audit des Systèmes d’Information

Le code d’éthique professionnelle

L’ISACA a établi ce code d’éthique professionnelle afin de guider le comportement
professionnel et personnel des membres de l’Association et des détenteurs du CISA.
Exemples :
√ Il faut contribuer à l’application des normes, procédures, règlementations
et encourager la conformité;
√ Il faut réaliser les tâches objectivement, avec professionnalisme;
√ Il faut servir l’intérêt des audités honnêtement;
√ Il faut veiller à la confidentialité des données recueillies;
√ Il faut transmettre aux concernés les résultats du travail;
√ Il faut maintenir le niveau de compétence;
√ Il faut soutenir la formation professionnelle.

23
 Normes d’audit des Systèmes d’Information

Les lois, règlements et standards

√ Lois et règlements applicables aux Systèmes d’Information;

√ Lois et règlements sectoriels : banques, mutuelles, secteur alimentaire,
secteur pharmaceutique, …
√ Standards d’audit;

24
 Normes d’audit des Systèmes d’Information

Norme ISO/CEI 19011:2018

 La norme ISO/CEI 19011 : 2018 donne des conseils sur le management de
programmes d’audit, la réalisation d’audits internes ou externes de systèmes de
management.
Elle est destinée à :
* Auditeurs;
* Organismes mettant en œuvres des systèmes de management;
* Organismes devant réaliser des audits de systèmes de management dans un cadre
contractuel;
* Organismes chargés de la certification ou de la formation d’auditeurs, de la
certification de systèmes de management, de l’accréditation ou de la normalisation
dans le domaine de l’évaluation de la conformité.
* Parties impliquées dans un audit (ISO/CEI 19011 : 2018, Articles 253.12 à 3.16) :
* Le client de l’audit;
 Normes d’audit des Systèmes d’Information

Norme ISO/CEI 19011:2018 (suite)

La norme comporte 7 articles et 1 annexe A;
Comme pour toute norme ISO/CEI les trois premiers articles concernent :
* Le domaine d’application;
* Les références normatives;
* Les Termes et définitions.
L’article 4 décrit les principes de l’audit;
L’article 5 donne des conseils pour le management des programmes d’audit;
L’article 6 donne des conseils pour la préparation et la réalisation d’un audit spécifique faisant
partie d’un programme d’audit ;
L’article 7 donne des conseils sur la compétence nécessaire aux auditeurs et décrit un
processus d’évaluation de ceux-ci;
L’annexe A donne des lignes directrices destinées aux auditeurs pour la planification et la
réalisation des audits.
26
 Normes d’audit des Systèmes d’Information

Principes généraux d’audit (Norme ISO/CEI 19011:2018)

 Déontologie
La confiance, l’intégrité, la confidentialité et la discrétion sont essentielles à l’audit .
 Restitution impartiale
Les auditeurs doivent rendre compte de leurs travaux d’audit de manière objective
(honnête et précise).
 Conscience professionnelle
Les auditeurs doivent agir en accord avec l’importance des tâches à réaliser et donc posséder
les compétences nécessaires. Ils doivent faire preuve de :
* Jugement professionnel : les auditeurs appliquent des connaissances et des compétences
pour prendre des décisions éclairées dans diverses situations au cours d’un audit;
* Scepticisme professionnel : les auditeurs adoptent une attitude de scepticisme
professionnel en évaluant de façon critique la validité des preuves obtenues.
27
 Normes d’audit des Systèmes d’Information

Principes généraux d’audit (Norme ISO/CEI 19011:2018) (suite)

 Confidentialité
Les auditeurs doivent utiliser avec précaution les informations acquises au cours de leurs
missions. Exceptions au principe de confidentialité :
* Autorisé par la loi, le client ou l’audité;
* Exigé par la loi;
* Existe une obligation ou un droit qui n’est pas interdit par la loi
 Indépendance
Les auditeurs sont indépendants de l’activité auditée : pas de parti pris ni de conflit d ’intérêt.
Les menaces à l’indépendance de l’auditeur sont les objets, les repas, les voyages, les
contrats,

28
 Normes d’audit des Systèmes d’Information

Principes généraux d’audit (Norme ISO/CEI 19011:2018) (suite)

 Approche fondée sur la preuve (ISO/CEI 19011 : 2018, Article 4f)
Est une méthode rationnelle permettant d’aboutir à des conclusions d’audit fiables et
reproductibles dans un processus d’audit systématique;
La démarche d’audit s’appuie sur un ou des échantillons d’informations fiables et vérifiables.

29
 Normes d’audit des Systèmes d’Information

Principes généraux d’audit (Norme ISO/CEI 19011:2018) (suite)

 Approche par les risques
La planification, la réalisation et le compte-rendu des audits par les auditeurs doivent être
axées sur les questions importantes pour le client et la réalisation des objectifs du programme
d’audit;
Pour mener efficacement le processus d'audit les auditeurs devraient suivre une approche par
les risques en se concentrant sur les domaines d'audit qui présentent le plus grand risque. Le
processus d'audit serait inefficace si les auditeurs consacraient le même niveau d'effort et
utilisaient les mêmes techniques dans des domaines d'audit moins risqués. Ainsi, l'approche
par les risques d'audit contribue à améliorer l'efficacité des audits en se concentrant sur les
domaines à plus grands risques;
L’approche par les risques minimise les risques d’audit soit la possibilité de ne pas atteindre
les objectifs d’audit;
Le risque d’audit est le risque que l’auditeur exprime une opinion ou une recommandation
30 de
certification erronée sur la base de preuves d’audit inexactes.
Planification d’un audit du Système d’Information

31
 Planification d’un audit du SI

1- Acquérir une compréhension de la mission, des objectifs et

des processus de l’organisation, ce qui inclut :
√ L’environnement global objet de l’audit;
√ Les contextes de règlementation qui régissent l’organisation;
√ Les différentes pratiques et fonctions administratives;
√ Le plan stratégique de l’entreprise et de son SI;
√ L’architecture, les systèmes et technologies actuelles et futures qui
soutiennent les activités des processus;
√ Les exigences de traitement des responsables métiers : sécurité
(disponibilité, intégrité et confidentialité des informations), qualité
(efficacité et efficience), fiduciaire (fiabilité et conformité).

32
 Planification d’un audit du SI

Comment acquérir cette compréhension ?

√ Les documents de référence, telles que les publications, les rapports
annuels financiers, les rapports d’audit antérieurs,…;
√ Consulter les plans stratégiques;
√ Discuter avec le personnes clés pour comprendre les enjeux;
√ Demander les documents tels que les politiques, les normes, les
directives requises, les procédures et la structure organisationnelle;
√ Visiter les installations importantes de l’organisation.

33
 Planification d’un audit du SI

2- Revue de la documentation et des ressources disponibles

√ Identifier les compétences techniques nécessaires;
√ Identifier les sources d’informations pour les tests comme les
dossiers fonctionnels, les politiques, les normes, les travaux d’audit
précédents;
√ Identifier les emplacements et installations à auditer;
√ Examiner et évaluer la validité des documents, politiques et
procédures.
3- Identifier les contrôles internes et apprécier leur efficacité
4- Analyse des risques
√ Identifier évènements redoutés. Menaces et vulnérabilités, évaluer
les risques
puis isoler les risques qui sont à un niveau inacceptable au regard
34 de l’appétit
 Planification d’un audit du SI

5- Etablir les objectifs, le périmètre et le référentiel de l’audit

√ Identifier les systèmes spécifiques, fonctions et unités de l’organisation à
inclure dans l’audit en tenant compte des objectifs et des attentes de
l’activité à auditer, des résultats de l’analyse des risques, ainsi que
des exigences règlementaires, juridiques, gouvernementales et autres
auxquelles elle est soumise.
6- Concevoir la stratégie d’audit et affecter les ressources appropriées
√ Calendrier, étapes, budget, équipe, orientations des contrôles, personnes à
rencontrer, les spécialistes à consulter, méthodologie de vérification à
appliquer, outils d’audit à utiliser, les questionnaires,…

35
Appréciation des risques

36
 Appréciation des risques

Les SI deviennent de plus en plus complexes et hétérogènes.

Pouvons-nous tout auditer pour être sûrs de l’efficacité de nos contrôles, de la
sécurité de nos actifs ? Ce serait bien mais c’est impossible car les ressources
et le budget sont limités.
Solution :
L’auditeur doit connaitre le processus d’appréciation des risques, être capable d’identifier
les risques, de les analyser, de les évaluer et de trouver les contrôles qui réduisent ces risques.
Catégories de risques :
√ Risques IT : risque qu’un accès non autorisé puisse porter atteinte à
la confidentialité, l’intégrité et/ou à la disponibilité d’un actif;
√ Risques d’audit : risque qu’une erreur ne puisse pas être détectée lors de l’audit;
√ Risques métier : risque qui affecte les objectifs fonctionnels du métier.

37
 Le risque IT

Le Risque IT est un risque d’entreprise associé à l’utilisation, à la détention, à

l’exploitation et à l’implication des TI au sein d’une entreprise.
Définition d’un risque :
« La possibilité qu’une menace donnée exploite la vulnérabilité d’un actif ou d’un
groupe d’actifs et cause ainsi préjudice à l’organisation ».
Décomposition d’un risque :
 Actif : toute chose qui a de la valeur pour l’entreprise et qui doit donc être protégée.
Exemple : Equipement , RH, document , donnée,…
 Menace : est une cause potentielle d'incident, qui peut résulter en dommages
à l'organisation (opérationnels, financiers, règlementaires,…).
Exemple : vol, destruction, attaque, virus, sinistre,..
 Vulnérabilité: une faiblesse dans les mesures de protection d’un actif permettant à
un attaquant de porter atteinte à la disponibilité de cet actif, à la confidentialité
et/ou à l'intégrité des données qu'il contient.
Exemple : incompétence, mot de passe faible, absence d’antivirus,…
 Impact : conséquences d’un risque qui complique l’atteinte des buts et objectifs
stratégiques de l’entreprise. 38
 Risques d’audit

Risque inhérent
Risque d’une erreur importante en l’absence de contrôles compensatoires (dû à la
nature de l’activité).
Risque d’échec de contrôle
Risque que les erreurs ne soient pas évitées ou détectées à temps par le système de
contrôle interne.
Risque de détection
Risque pour l’auditeur de conclure à tort en l’absence d’erreur, par exemple
si les tests sont inadéquats.

39
 Appréciation des risques IT

L’appréciation des risques IT est une partie intégrante de la planification

de l’audit. Elle aide l’auditeur à :
√ Repérer les risques, les menaces et les vulnérabilités pour un
environnement de TI afin de lui permettre d’orienter ses travaux c.à.d. en
fonction du degré du risque les zones et les systèmes IT à étudier ;
√ Evaluer les mesures de contrôle existantes;
√ Déterminer les objectifs de l’audit et planifier le travail de l’audit
Pour apprécier les risques des TI, L’auditeur doit comprendre clairement:
√ Le métier, les fonctions net les processus de l’entreprise et sa dépendance
par rapport aux TI;
√ Les risques qui découlent de l’utilisation de ces TI;
√ L’impact des risques sur les processus métiers de l’entreprise.
L’auditeur est souvent appelé à évaluer l’efficacité du processus de gestion
des risques mis en place et utilisé par l’organisation.

40
 Appréciation des risques IT : étapes

√ Déterminer les objectifs stratégiques de l’entreprise;

√ Identifier les processus et les informations métiers puis les actifs
informationnels (matériels, logiciels, réseaux, données, personnel, locaux,
organisation) qui soutiennent les processus et informations métiers;
√ Effectuer l’analyse et l’évaluation des risques sur ces actifs (menaces,
vulnérabilités , probabilité et impact );
√ Traiter les risques en identifiant des mesures de contrôle pour réduire les
risques inacceptables à des niveaux résiduels acceptables;
√ Surveiller et réévaluer périodiquement les risques (changement dans les
environnements interne et externe);
√ Communiquer sur les risques avec les parties prenantes.

41
Appréciation des risques IT

L’auditeur doit mettre l’accent sur les

situations à hauts risques et à forts
impacts qui touchent à la
confidentialité, la disponibilité et
l’intégrité des actifs.

L’identification de ces situations va

permettre à l’auditeur d’ identifier les
zones les plus risquées de l’entreprise.

42
 Options de traitement des risques

√ Accepter le risque
– Accepter les conséquences de la provenance du risque car il y a des revenus
importants derrière l’activité qui peut engendrer le risque ou les coûts de
mise en place des contrôles dépasseraient les pertes engendrées par la
survenance du risque.
√ Réduire le risque
– Mettre en place les mesures de contrôle pour minimiser le risque.
√ Transférer ou partager le risque
– Donner sa responsabilité à une partie tierce : assurance, externalisation ,…
√ Eliminer le risque
– Abandonner l’activité, l’actif qui peut entrainer le risque.

43
 Processus d’audit basé sur les risques

√ Dans le cadre d’une stratégie d’audit basée sur le risques, l’auditeur des
SI ne se fie pas seulement aux risques, mais encore :
– sur les pratiques et habitudes de l’entreprise;
– ses tolérances aux risques (appétit au risque);
– sur les contrôles internes et opérationnels existants.

√ L’audit basé sur les risques permet de déterminer les zones à hauts
risques donc les zones à auditer en priorité. Les zones à hauts risques
sont les zones où les risques ont été évalués à un niveau inacceptable.

√ Il doit y avoir d’autres approches mais surement plus longues, moins

claires et méthodiques et donc plus coûteuses .
44
 Processus d’audit basé sur les risques

1 - Collecte des informations :

– Comprendre le métier;
– Revoir les résultats des audits précédents;
– Revoir les lois et règlementations;
– Revoir l’information financière récente;
– Evaluer les risques inhérents.
2 - Comprendre les contrôles internes et revoir leurs fonctionnalités :
– Contrôles d’environnement et contrôles de procédures;
– Evaluation des risques IT et des risques d’audit;
– Evaluation des risques globaux.
3 – Elaborer le plan d’audit;
4 - Tester si les contrôles fonctionnent : tests de conformité;
5 - Mesurer la force des processus et vérifier les soldes des comptes :
Exemple tests substantifs ou de corroboration;
45
6 - Faire des recommandations et rédiger le rapport.
Processus d’audit basé sur les risques

46
Contrôles internes

47
 Test de conformité et test substantif

1- Test de conformité (respect des procédures)

– Détermine si les contrôles sont appliqués conformément aux politiques et
procédures de contrôle de la direction c’est-à-dire vérifie l’existence et la
fiabilité du contrôle;

– Exemple : vérifier sur un échantillon si les versions des programmes source

et objet sont identiques;

– S’applique pour vérifier : les droits d’accès des utilisateurs, les procédures de
contrôle du changement des programmes, l’examen des registres, le suivi des
exceptions, les audits des licences,…

48
 Test de conformité et test substantif

2- Test substantif ou de corroboration

– Evalue l’intégrité des transactions individuelles et des données;
– Détermine si les contrôles soutiennent adéquatement l’efficacité
opérationnelle;
Exemple 1 : vérifier s’il y a des erreurs sur les soldes des états financiers :
revoir les formules de calcul;
Exemple 2 : vérifier si l’inventaire des cartouches de sauvegarde est correcte.

– S’applique pour vérifier la performance d’un calcul complexe des intérêts.

L’auditeur commence par les tests de conformité et s’il a un doute ou s’il

remarque que certains contrôles internes sont inadéquats il procède alors
aux tests de corroboration.

49
 Contrôles internes

√ Définition du concept de contrôle

Les contrôles sont constitués par les politiques, l’organisation,
les pratiques conçues pour apporter une assurance raisonnable
que les objectifs de l’entreprise seront atteints et que les évènements
indésirables (risques) seront prévenus ou détectés et corrigés.
√ Un contrôle peut-être manuel ou automatique et être utilisé à tous
les niveaux de l’organisation.

√ La mise en œuvre de la culture qui facilitera l’implantation des

contrôles internes est de la responsabilité de la Direction Générale
(sensibilisation , documentation, sanctions,…).
√ Participer au processus de contrôle est la responsabilité de TOUS.

50
 Classification des Contrôles

√ Contrôles préventifs
- Détectent les problèmes avant qu’ils ne surviennent;
- Surveillent les activités et les entrées;
Exemples : personnel qualifié, séparation des tâches, utilisation du cryptage,
utiliser un système de contrôle d’accès,…
√ Contrôles détectifs
- Rapportent toute occurrence d’erreur, d’omission ou acte malveillant;
Exemples : vérification des calculs, utilisation d’un IDS, utilisation d’un
antivirus, audit interne, logging, …
√ Contrôles correctifs
- Minimisent l’impact d’une menace;
- Corrigent les erreurs;
- Modifient les systèmes de traitement pour empêcher l’occurrence du problème
dans le futur,…
Exemples : procédure de sauvegarde, plan de reprise d’activité,… 51
 Classification des Contrôles

√ Contrôles techniques/opérationnels
– Nécessite l’installation de matériel ou d’un logiciel;
Exemple : installation d’un système d’accès par carte magnétique dans tous
les bureaux : c’est un contrôle préventif car il empêche les accès physiques
non autorisés.
Exemple : chiffrement des communications électroniques
√ Contrôles managérial
- Responsabilité affectée à une personne;
Exemple : recrutement d’un garde de sécurité : c’est un contrôle préventif
car protection contre les accès physiques non autorisés – dissuasion des
intrus.
√ Contrôles administratifs (organisationnels)
- Politiques, standards, guidelines, procédures;
Exemple : suppression des droits d’accès après le licenciement d’un
employé : c’est un contrôle préventif pour empêcher l’employé de nuire aux
actifs.
52
 Contrôles généraux / contrôles applicatifs

√ Contrôle général
C’est un contrôle interne qui s’applique à tous les secteurs de l’organisation
y compris les services d’infrastructure et les services de support. Il est intégré
aux processus et aux services informatiques :
* Contrôle comptable;
* Contrôle technique/opérationnel;
* Contrôle administratif;
* Procédures organisationnelles;
* Politiques de sécurité logique et physique;
* Politiques de conception et d’utilisation des documents.

53
 Contrôles généraux / Contrôles applicatifs

√ Contrôle applicatif
C’est un contrôle interne automatique intégré aux applications des processus métiers.
Il concerne :
* L’exactitude des données;
* La validité des données;
* L’autorisation;
* La séparation des tâches.
La conception et la mise en place des contrôles applicatifs relèvent des services
informatiques alors que leur gestion et leur responsabilité relèvent
des propriétaires des processus métiers.

54
 Evaluation des contrôles du SI

√ Utilisation de logiciels d’audits généralisés pour inspecter le contenu des

fichiers de données (y compris le contenu des fichiers logs de
l’exploitation);
√ Utilisation de logiciels d’audit spécialisés pour évaluer ou détecter les
irrégularités du contenu de la base de données ou des fichiers des
paramètres des applications;
√ L’examen des fichiers logs disponibles dans les Systèmes d’Exploitation
ou les applications;
√ L’examen de la documentation;
√ L’enquête et l’observation;
√ L’interview;
√ La réexécution des contrôles.
55
 Objectifs de contrôles

√ Objectif de contrôle
Le résultat à atteindre par la mise en place du contrôle dans une activité donnée.
Exemples :
- La sauvegarde des actifs informationnels;
- L’authentification et l’autorisation des utilisateurs;
- La confidentialité des données ;
- La disponibilité des services.

56
COBIT

57
 COBIT: Control OBjectives for Information
and related Technology

√ « Objectifs de Contrôle de l'Information et des Technologies

Associées » :
* C’est un ensemble de bonnes pratiques :
– Fruits des travaux d’experts;
– Très axées sur le contrôle et moins sur l'exécution des processus;
– Elles ont pour but d'aider à optimiser les investissements informatiques, à assurer la
fourniture des services et à fournir des outils de mesure (métriques) auxquels se référer
pour évaluer les dysfonctionnements.
* Le cadre de contrôle de COBIT permet à la Direction de l’entreprise de
mettre en place un système de contrôle interne;
* Les auditeurs trouvent dedans tous les objectifs de contrôle et contrôles
nécessaires;
* Décrit les processus de gouvernance et les processus de gestion à mettre en
place et lui assure :
– Alignement stratégique métier / IT;
– Création de la valeur;
– Gestion des risques;
– Optimisation des ressources;
– Mesure de la performance. 58
COBIT 2019 : Now One Complete Business Framework

IT Governance
Val IT
Management
Evolution of

2.0 (2008)

Control
Risk IT
scope

COBIT 2019
(2009)
Audit

COBIT1 COBIT2 COBIT3

COBIT4.0/4.1

1996 1998 2000 2005/7 2012 2019

59
An business framework from ISACA, at www.isaca.org/cobit
 Partie B

Réalisation

60
Réalisation d’un audit

61
 Management d’un projet d’audit du SI

√ Une fois que l’audit a été planifié, que l’objectif et le périmètre ont
été définis l’auditeur du Système d’Information peut alors exécuter le
plan d’audit.
Plusieurs étapes sont nécessaires pour réaliser un audit :
1 – Initier le projet d’audit;
2 - Etablir le plan d’audit;
3 - Exécuter le plan;
4 - Gérer le projet (avancement, délais, budget);
5 - Rapporter les conclusions de l’audit.

√ Les objectifs de l’audit se réfèrent aux buts spécifiques qui doivent être
62
réalisés par l’audit.
 Management d’un projet d’audit du SI

√ Phases d’un audit

Chaque phase d’exécution audit est divisée en étapes pour planifier,
définir, réaliser et reporter les résultats. Chaque étape peut être divisée en
une ou plusieurs activités spécifiques.

63
 Management d’un projet d’audit du SI

√ Les objectifs de l’audit

a. Se rapportent aux objectifs spécifiques qui doivent être réalisés par un
audit. A l’inverse un objectif d’un contrôle se rapporte à la manière
dont un contrôle devrait fonctionner;
b. Un audit a généralement plusieurs objectifs. Ces derniers visent à
confirmer que les contrôles qui existent permettent de minimiser
les risques métiers et fonctionnent comme prévu;
c. Les objectifs d’audit comprennent :
a. Obtenir l’assurance de la conformité légale, réglementaire, contractuelle;
b. Obtenir l’assurance que les contrôles en place permettent de garantir la
Disponibilité, l’Intégrité et la Confidentialité de l’information et des
ressources IT.

64
 Management d’un projet d’audit du SI

√ Classification des audits

a. L’auditeur doit comprendre les différents types d’audits internes et externes
qui peuvent être réalisés et les procédures associées :
a. Audits de conformité (/standard, règlement, loi);
b. Audits financiers;
c. Audits opérationnels (exemple : audit d’un système, d’une application, d’un
matériel, …);
d. Audits du SI (exemple : audit d’un processus métier, de sécurité);
e. Audits intégrés (exemple : combiner un audit financier, un audit opérationnel et
un audit du SI);
f. Audits organisationnels;
g. Audits spécialisés (exemple : audit fournisseur,…);
h. Audits conjoints (deux organismes interviennent sur le même audit);
i. Audits forensics;
j. Audits internes;
k. Audits fournisseurs.
65
 Réalisation d’une mission d’audit du SI

√ Phases de la méthodologie d’audit :

1. Définition et planification de la mission :
a. Domaine et objectif de l’audit : lettre de mission;
b. Etendue des travaux (périmètre);
c. Référentiel d’audit;
d. Enquête préliminaire (pré-diagnostic : revue documentaire, analyse de risques).
2. Recueil de preuves et d’éléments probants;
3. Evaluation des éléments probants :
a. Comprendre les contrôles;
b. Effectuer des tests.
4. Communication des résultats ;
5. Rapport d’audit;
6. Suivi des recommandations.

66
 Définition et planification de la mission

√ Partir des attentes du demandeur d’audit;

√ Ne pas hésiter à passer du temps à bien les comprendre;
√ Ce n’est pas toujours clair dans leur tête, c’est d’ailleurs pour cela qu’ils
demandent un audit;
√ Si c’est nécessaire faire un pré-diagnostic :
 une analyse des risques :
- Sécurité : disponibilité, intégrité et confidentialité des données;
- Qualité : efficacité et efficience;
- Activités fiduciaires : fiabilité et conformité;
- Service;
- Capacité.
√ Rédiger une lettre de mission pour répondre à la demande d’audit. Elle
contient les objectifs de l’audit (buts spécifiques que doit atteindre
l’audit), son périmètre, le référentiel d’audit et son programme étapes,
échéancier ), démarche et méthodologie.
67
 Définition et planification de la mission

√ Il faut dès le départ annoncer la démarche suivie (basée sur le risque ou

autre);
√ Pour l’auditeur externe rappeler le rôle de la proposition;
√ Pour l’auditeur interne rappeler le rôle du plan d’audit;
√ Il faut détailler le programme de travail;
√ Prévoir suffisamment à l’avance la collecte des faits et les tests à
organiser (délais souvent longs);
√ Savoir limiter le nombre des entretiens (c’est un très gros consommateur
de temps et de délais);
√ Une mission d’audit insuffisamment préparée est une mission à risque.

68
 Etablir un plan d’action

√ La liste des recommandations ne fait pas un plan d’action;

√ Un certain nombre d’opérations complémentaires sont nécessaires :
– Sélectionner les mesures et les hiérarchiser;
– Approfondir et compléter les actions;
– Effectuer des analyses complémentaires;
– Fixer les responsabilités.
√ Le plan d’action doit être validé par le Management (Comité de
Direction, Comité de Pilotage, Commission Informatique, …);
√ Souvent des moyens spécifiques (financiers, humains,…) doivent lui
être affectés.

69
 Techniques de collecte de preuves d’audit

√ Pour collecter les preuves d’audit et les évaluer objectivement l’auditeur

met en œuvre tout ou partie des techniques suivantes :
* La revue des documents;
* Les entretiens;
* L’observation;
* Les vérifications techniques;
* La constitution et l’analyse d’échantillons.

70
 Echantillonnage

√ Une vérification de toute une population n’est pas toujours possible en

raison de contraintes de temps ou de coût. Il faut alors constituer un
échantillon représentatif (sous - ensemble de la population totale),
l’analyser et en tirer des conclusions applicables à toute la population;
√ Echantillon : sous-ensemble des membres de la population utilisé pour
effectuer un test;
√ Deux techniques d’échantillonnage existent :
1 - Echantillonnage statistique : utilise une méthode objective telle que
les lois de probabilité mathématique pour déterminer la taille et les critères
de l’échantillon;
2 - Echantillonnage non statistique ou discrétionnaire : se base sur le
jugement subjectif de l’auditeur pour déterminer la taille et les critères de
l’échantillon. 71
 Echantillonnage

√ Echantillonnage par attribut (technique utilisée dans les tests de

conformité) :
* Plusieurs modèles d’échantillonnage par attribut existent :
- Echantillon d’estimation de fréquence : est une technique utilisée pour
estimer la fréquence d’occurrence d’une qualité particulière (attribut) dans
une population. Exemple : test de la présence de la signature d’approbation
(attribut) dans un les formulaires de requêtes de contrôle d’accès.
- Echantillon Stop-or-Go : est une technique qui aide à prévenir un
échantillonnage excessif d’un attribut en permettant à l’auditeur de stopper
l’audit à tout moment s’il pense qu’il y aura relativement peu d’erreurs dans
la population.
- Echantillon Discovery : est une technique utilisée par l’auditeur quand le taux
d’occurrence attendu est très faible et quand l’objectif de l’audit est de
découvrir la fraude, le contournement de la réglementation, … 72
 Echantillonnage

√ Echantillonnage de variable (technique utilisée dans les tests

substantifs) :
* Aussi appelé dollar estimation est une technique utilisée pour estimer la
valeur monétaire ou tout autre unité de mesure (poids) d’une population à
partir d’une portion de la population;
* Plusieurs modèles d’échantillonnage de variable existent :
- Stratified mean per unit : l’échantillon choisi représente la structure et les
poids de chaque groupe de la population totale.
- Unstratified mean per unit : technique où l’échantillon est calculé et
projeté globalement.
- Difference estimation : technique utilisée pour estimer la différence totale
entre les valeurs auditées et des valeurs de référence.

73
 Echantillonnage

√ Niveau de confiance = 1 - risque d’échantillonnage;

Exemple : Niveau de confiance = 95%

* Le niveau de confiance représente la probabilité que l’échantillon

représente la population;
* La taille de l’échantillon est fonction du niveau de confiance.

74
 Echantillonnage

√ Etapes de sélection d’un échantillon pour un test d’audit :

1- Déterminer le(s) objectif(s);
2 – Définir la population;
3 – Déterminer la méthode de constitution de l’échantillon;
4 – Calculer la taille de l’échantillon;
5 - Sélectionner l’échantillon;
6 - Evaluer l’échantillon/objectif(s).

75
 Echantillonnage

√ Etapes de sélection d’un échantillon pour un test d’audit : (suite)

76
Recours aux services d’autres auditeurs ou experts

√ Besoin de faire appel à des experts et spécialistes de technologies de SI

récentes ou pointues, de domaines spécifiques, d’industries particulières;
√ Sous-traiter une partie des services de l’audit des SI nécessite de
s’assurer du sous-traitant et de prendre des précautions telles que :
• Communiquer clairement objectifs et portée du travail (lettre de mission);
• Établir un contrat qui garantit la non divulgation des données du client;
• Vérifier l’indépendance et l’objectivité;
• Vérifier la conformité aux normes professionnelles;
• Vérifier les compétences professionnelles;
• Se mettre d’accord sur la méthode de communication des résultats de l’audit;
• Evaluer les risques d’audit;
• Contrôler le travail du sous-traitant.

77
 Techniques d’Audit Assistées par Ordinateur
(TAAO)

√ Sur les systèmes informatiques de nos jours (environnements complexes,

hétérogènes, structures d’enregistrement, structures de données ,…) , il
est impossible pour l’auditeur d’obtenir des preuves sans un outil logiciel
qui permet de recueillir et d’analyser les informations;
√ Les techniques d’audit assistées par ordinateur permettent de recueillir
les preuves d’une manière indépendante et objective;
√ La fiabilité de la source d’information permet de rassurer quand aux
résultats obtenus;
√ Plusieurs types d’outils et de techniques :
• Les logiciels généraux d’audit;
• Les logiciels de débogage et de balayage;
• Les outils de cartographie des programmes applicatifs;
• Les systèmes experts.
78
 Techniques d’Audit Assistées par Ordinateur
(TAAO)

√ Générateurs de jeux d’essais et Systèmes Experts (CAAT);

√ Utilitaires des progiciels (vérification des paramètres);
√ Outils de capture (snapshot) : suivi de transactions spécifiques, snapshots à
différents endroits;
√ Traçage débogage : (Tracing and tagging);
√ Fichier d’audit (piste d’audit = Audit trail);
√ Dispositif de test intégré (ITF) : créé un fichier de de transactions (fictives)
exécutées // live data;
√ Logiciels d’audit généralisés : GAS, SCARF, SARF …

Remarque :
Les processus ne peuvent pas être interrompus. On opère donc sur les machine de production .
79
 Recueil de Preuves et d’Eléments Probants (EP)

√ La nature des preuves : observations, notes prises lors des entretiens, de la

documentation, des contrats, des résultats de tests, des enregistrements de
formation, des contenus de sensibilisation …;
√ Les preuves sont recueillies et évaluées par rapport aux objectifs à atteindre;
√ L’auditeur ne doit prendre en compte que les faits et il doit se méfier des opinions
et ne peut pas se contenter des « dires » des audités et les évaluer avec prudence;
√ Au contraire, spontanément les audités se méfient des faits et ils ont tendance à
préférer les opinions;
√ Ne pas prendre parti dans les déclarations des audités;
√ La lettre d’audit vous donne un mandat. Vous représentez le demandeur d’audit;
√ Au cours des entretiens, ne pas se disperser, cibler les questions;
√ Avoir une liste de thèmes;
√ Le nombre d’entretiens est une variable importante expliquant la durée de
l’opération et la charge de travail. 80
 Recueil de Preuves et d’Eléments Probants (EP)

√ On s’organise pour trouver les faits dont on a besoin :

* Les volumes;
* Les tests, les jeux d’essais;
* Les mesures de performances (temps de réponses, TPM, …);
* Les incidents d’exploitation, les anomalies, les erreurs, les bugs.
√ Si on a du mal à obtenir des preuves, nécessité d’effectuer des tests;
√ Le fournisseur des preuves doit être qualifié et indépendant;
√ Il faut se baser sur des éléments probants : preuves suffisantes , significatives ,
objectives et pertinentes au regard des objectifs pour soutenir les conclusions de
l’audit;
√ Les sources externes sont plus fiables que les sources internes;
√ Il faut savoir protéger la disponibilité et l’intégrité des preuves;
√ Il faut valider les preuves avec les audités.
81
 Evaluation des éléments probants

√ L’auditeur se basant sur :

– L’interview des employés, la revue de la documentation, la réalisation des
tests, aussi sur son expérience et son jugement personnel doit :
* Choisir quelles constatations rapporter à quel niveau de Direction;
* Pouvoir donner son opinion sur les forces et les faiblesses des contrôles vérifiés;
* Chercher des contrôles compensatoires aux contrôles faibles;
* Discuter des conclusions avec le personnel de l’audit avant de communiquer les
conclusions de l’audit aux cadres supérieurs ou au comité d’audit et se mettre
d’accord sur un plan d’actions correctives;
* Ne doit pas apporter de l’aide à l’audité en mettant en œuvre les recommandations
car ceci touche à son indépendance. C’est le rôle d’un consultant.

82
 Communication des résultats

√ L’entrevue finale à la fin de l’audit donne l’occasion à l’auditeur de discuter des

conclusions et constatations avec la Direction;
√ L’auditeur doit :
• S’assurer que les faits rapportés sont exacts;
• S’assurer que les recommandations sont réalistes et économiques;
• Proposer un échéancier pour la mise en œuvre des recommandations.
√ L’auditeur doit présenter les conclusions au :
 Demandeur (ou demandeurs) d’audit;
 Management de l’informatique;
 Service informatique (encadrement ou toute l’équipe).
√ Sous forme :
• Présentation power point dix à quinze slides pas plus (20 à 30 minutes);
• Communiquer sur l’essentiel;
• Vendre les recommandations en mettant en avant 4 à 6 mesures «emblématiques »;
83
• Ne pas «négocier» le contenu de la présentation (ni du rapport, ni des recommandations).
 Faut-il un rapport ?

√ Il existe une curieuse mode consistant à ne pas remettre de rapport

d’audit;

√ De nombreux arguments :
* C‘est long à faire;
* Les décideurs n’ont pas le temps de le lire;
* Il ne sert à rien, …

√ Il serait préférable de faire une présentation PowerPoint;

√ C’est une grave erreur : il faut les deux : le rapport et la présentation.

84
 Le rapport d’audit : la conception, la
rédaction, la présentation

√ Le rapport d’audit est un document de référence;

√ Importance de définir à qui il est destiné et comment il sera diffusé;
√ C’est un long travail;
√ Commencer à le rédiger à partir de la moitié de la mission. Sur une
mission de deux mois dès la fin du 1er mois;
√ Le corps doit, dans la mesure du possible, être traité dans l’ordre des
questions d’audit se trouvant dans la lettre de mission;
√ Les recommandations doivent être classées en mesures à court terme,
à moyen terme et à long terme;
√ Faire une synthèse en 2 pages (plus souvent 4) facile à lire qui explique
clairement à la Direction les conclusions de l’audit (c’est l’Executive
Summary). Peut-être intégré au rapport d’audit.
85
Quelques conseils de rédaction du rapport d’audit

√ Etre pédagogue, expliquer les termes et les concepts utilisés (glossaire);

√ Eviter les accumulations de faits ou de remarques sans qu’apparaisse la

structure d’ensemble;

√ Faire des synthèses et des récapitulations;

√ Ne pas porter de jugement de valeur;

√ L’auditeur base ses appréciations sur des référentiels largement reconnus;

86
Quelques conseils de rédaction du rapport d’audit

√ S’il n’y a pas de référence ou si la doctrine est incertaine, il faut le

signaler et dans ce cas jouer un rôle de conseil;

√ Si on demande à l’auditeur des jugements de personnes, on s’interdit

de le faire par écrit;

√ Faite attention à la forme et au style.

87
 L’établissement des recommandations
opérationnelles

√ Les décideurs apprécient la qualité des audits aux recommandations qui

sont faites;
√ Il faut des mesures concrètes et faciles à mettre en œuvre (quick win);
√ Il faut distinguer les recommandations :
– A court terme, qui peuvent être mises en place sans délai et sans
investissement;
– A moyen terme, c’est-à-dire demandant des études complémentaires;
– A long terme, qui demandent des investissements lourds ou la remise en
cause des politiques antérieures.

88
 Etablir un plan d’action

√ La liste des recommandations ne fait pas un plan d’action;

√ Un certain nombre d’opérations complémentaires sont nécessaires :
– Sélectionner les mesures et les hiérarchiser;
– Approfondir et compléter les actions;
– Effectuer des analyses complémentaires;
– Fixer les responsabilités.
√ Le plan d’action doit être validé par le Management (Comité de
Direction, Comité de Pilotage, Commission Informatique, …);
√ Souvent des moyens spécifiques (financiers, humains,…) doivent lui
être affectés.

89
 Le suivi des recommandations et du plan d’action

√ Il est nécessaire de mettre en place un dispositif de suivi des

recommandations et du plan d’actions;
√ L’expérience montre que si on ne met pas en place un suivi des
recommandations, elles ne sont pas appliquées, ou du moins on
n’applique que celles qui ne posent pas de problèmes et les autres sont
laissées à leur triste sort;
√ Il est donc nécessaire de mettre en place un suivi des mesures
choisies;
√ Faire un point périodique sur le degré de mise en place des
recommandations (tous les 3 ou tous les 6 mois);
√ L’efficacité des audits informatiques se joue en partie sur la mise en place
d’un suivi.
90
Comment améliorer la qualité de la démarche ?

1. Un ordre de mission clair identifiant le demandeur d’audit;

2. Des points d’échange réguliers avec le demandeur d’audit
(debriefings);
3. Annoncer au départ la démarche qui sera suivie;
4. Manifester son indépendance notamment lors des entretiens;
5. Refuser les tentatives d’élargissement de la mission;
6. Bétonner par des faits, des analyses…;
7. Se méfier des ragots, des bruits, des on-dits, …;
8. Ne pas tirer sur tout ce qui bouge;
9. Etre positif : dire ce qui marche, …;
10. Faire des recommandations professionnelles.
91
Auto-évaluation des contrôles

92
 Auto-évaluation des contrôles
CSA (Control Self Assessment)

√ Définition
* Sont des contrôles réalisés par les employés ou le management des entités
concernées;
* Les contrôles sont auto-évalués en présence des auditeurs qui interviennent
pour faciliter le processus;
* Les contrôles s’appuient sur l’utilisation de techniques telles que les
questionnaires, les groupes (workshops) de travail audités-auditeurs.

93
 Auto-évaluation des contrôles
CSA (Control Self Assessment)

√ Objectifs
* Soulager la fonction d’audit interne en déplaçant certaines
responsabilités de monitoring des contrôles vers les opérationnels. Les
responsables opérationnels sont en effet responsables des contrôles dans leur
propre environnement mais également de leur monitoring;
* Eduquer le management sur la conception et le monitoring des contrôles dans
les zones d’activité à haut risque.

94
 Auto-évaluation des contrôles
CSA (Control Self Assessment)

√ Avantages du CSA
* Détection précoce des risques;
* Développement du sens des responsabilités des contrôles chez les employés et
les propriétaires des contrôles et réduit donc leur résistance aux initiatives
d’amélioration des contrôles;
* Amélioration de la sensibilisation et de la motivation des employés;
* Amélioration de la communication entre les opérationnels et le top management;
* Réduction du coût des contrôles;
* Implication de la hiérarchie et de l’audit interne;
* Assurance apportée aux parties prenantes et aux clients.

95
 Auto-évaluation des contrôles
CSA (Control Self Assessment)

√ Inconvénients du CSA
* Peut-être perçu comme une fonction d’audit de remplacement;
* Peut-être perçu comme une charge de travail supplémentaire;
* L’impossibilité d’agir sur les suggestions d’amélioration pourrait saper
le moral des employés;
* Le manque de motivation pourrait limiter l’efficacité de la détection
des faiblesses dans les contrôles.

96
 Auto-évaluation des contrôle
CSA (Control Self Assessment)

√ Rôle de l’auditeur dans le CSA

* Faciliter, aider les auditer à évaluer leur environnement en leur fournissant des
conseils sur les objectifs du contrôle basés sur une approche par les risques.

97
 Evolution du processus d’audit

√ Audit intégré ou combiné

Audit parallèle de deux systèmes de management réalisé par une société de
prestation d’audit.
√ Audit conjoint
Audit d’un système de management réalisé conjointement par deux sociétés de
prestation d’audit.
√ Audit en continu
Se réfère aux activités permanentes d’audit réalisées par les auditeurs d’une
structure d’audit interne. Il s’oppose et complète l’audit conventionnel périodique.
Il offre une approche automatique permettant de repérer rapidement les nouveaux
problèmes, d’améliorer l’analyse des opérations, d’obtenir une couverture
complète, de réduire les ressources nécessaires aux audits et de détecter les
changements au fil du temps. L’audit en continu ne peut pas remplacer le sens du
jugement d’un auditeur qui comprend le contexte des processus et peut98
réfléchir à
la manière dont les mesures, les processus et les évaluations sont liés.
99