audit des si

1© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001

Audit des Systèmes

d’Information

Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27 001, CRISC


Déroulement du module

I. Travaux de recherchesII. Bilan (QCM: 40 Q/1 heure)III. Assiduité


I. ISACA, CISA, CISM, CGEIT, CRISCII. L’informatique à travers le tempsIII. Du contrôle à l’Audit: le pilotage de

l’entrepriseIV. L’AuditV. La mission d’AuditVI. La corporate GovernanceVII.COBITVIII.Etude de cas


Qui est ISACA ?www.isaca.org

Créée en 1967 86 000 membres dans plus de 160 pays

DSI, ITM, consultants, auditeurs S.I, auditeurs interne, professionnels des T.I

Plus de 75 chapitres dont MIT-GOV (Chapitre marocain)

Délivre les certifications suivantes: CISA, CISM: plus de 70 000 CISA, 12 500 CISM dans

le monde CGEIT: Certified in the Governance of Enterprise IT:

4000 CRISC

Est LA référence en terme de bonnes pratiques de gouvernance des T.I au sein des organisations

Promotion du métier d’auditeur informatique

http://www.isaca.org/template.cfm?section=home

http://www.certmag.com/banners/abmc.asp?b=1282&z=80

http://www.certmag.com/banners/abmc.asp?b=1213&z=80


Qu’est ce que la Gouvernance des T.I ?

Structure de relations et de processus visant à diriger et contrôler

l'entreprise pour qu'elle atteigne ses objectifs en générant de la valeur, tout en trouvant le bon équilibre

entre les risques et les avantages des TI et de leurs processus


Ce que le Top Management pense de l’IT

« It has been de longest running disappointment in business in the last 30 years! »

Jack Welch, Chairman, GE

« Technology can help fulfill a visionary dream, but often its use is closer to a sobering nightmare »

Vesa Vaino, CEO Merita Bank

« I am writing a book on the history of Information technology… In order to better understand why it is such

a mess » Corniou, CIO Renault

http://images.google.co.ma/imgres?imgurl=http://nymag.com/daily/intel/20070123welch.jpg&imgrefurl=http://nymag.com/daily/intel/2007/01/jack_welch_unsurprisingly_thin_1.html&h=373&w=560&sz=25&hl=fr&start=2&um=1&tbnid=XPLXGLlICjk5mM:&tbnh=89&tbnw=133&prev=/images?q=jack+welch&um=1&hl=fr

http://images.google.co.ma/imgres?imgurl=http://www.nokia.com/NOKIA_COM_1/About_Nokia/Company/Corporate_Governance/Board_of_Directors/Vesa_Vainio/bod_vesa_vainio_01.jpg&imgrefurl=http://www.nokia.com/A4126359&h=126&w=126&sz=6&hl=fr&start=2&um=1&tbnid=sRNEAi4ZOL_itM:&tbnh=90&tbnw=90&prev=/images?q=vesa+vaino&um=1&hl=fr

http://images.google.co.ma/imgres?imgurl=http://images-eu.amazon.com/images/P/2100490192.08.LZZZZZZZ.jpg&imgrefurl=http://conception.developpez.com/livres/?page=tous&h=475&w=332&sz=39&hl=fr&start=3&um=1&tbnid=UG4BvWb8mFmudM:&tbnh=129&tbnw=90&prev=/images?q=Jean-Pierre+Corniou&um=1&hl=fr&sa=N


I. ISACA, CISA, CISM, CGEITII. L’informatique à travers le tempsIII. Du contrôle à l’Audit: le pilotage de



0. [30..48]: l’informatique était essentiellement au service des départements militaires

1. Durant les 30 glorieuses: le modèle économique était essentiellement tourné vers l’industrie et la production pour construire l’après guerre:• L’informatique a suivi:

• les investissements informatiques avaient pour objectif l’automatisation des fonctions administratives telles que la comptabilité et la paie. L’informatique était avant tout une fonction de production et son impact sur l’organisation était alors limité

L’évolution organisationnelle

http://fr.wikipedia.org/wiki/Image:Eniac.jpg

http://images.google.co.ma/imgres?imgurl=http://www.spiritoflindy.asso.fr/images/pageanneesswing/ford%20t-recadre.jpg&imgrefurl=http://www.xtec.es/~aguiu1/imatges/011/p1.htm&h=1032&w=1266&sz=232&tbnid=hH75PBSf-7CTbM:&tbnh=122&tbnw=150&prev=/images?q=ford+t&um=1&start=1&sa=X&oi=images&ct=image&cd=1


2. Fin des années 70..années 90 : le modèle économique introduit les techniques marketing, l’analyse comportementale du client, La maîtrise des coûts…:• L’informatique a suivi:

• Durant cette phase, l’introduction d’outils de gestion de l’information (GPAO, BD, Data Warehouse…) a amené des changements dans le travail : émergence de nouveaux métiers, démocratisation des outils bureautiques, besoin de formation…


http://images.google.co.ma/imgres?imgurl=http://idata.over-blog.com/0/19/79/63/Tupi/petroleo.jpg&imgrefurl=http://www.terredebrut.org/article-14102499.html&h=220&w=220&sz=17&hl=fr&start=4&um=1&tbnid=KeGwS8m_LtJ_xM:&tbnh=107&tbnw=107&prev=/images?q=gisement+petrole&um=1&hl=fr&sa=N


3. 21 siècle : les marchés sont devenus de mégas plateformes planétaires, avec des organisations d’entreprises multi culturelles. Les services représentent 70% de l’économie mondiale:• L’informatique n’a pas suivi, elle est au cœur de

l’implosion:• Nous sommes à présent dans une nouvelle

phase, avec des outils de plus en plus sophistiqués et interconnectés, les nouvelles formes d’applications de l’informatique sont le moteur d’une transformation en profondeur du marché et des entreprises


http://images.google.co.ma/imgres?imgurl=http://www.lawrencepumps.com/images04/implosion.jpg&imgrefurl=http://www.lawrencepumps.com/newsletter/news_v01_i5_oct.html&h=158&w=250&sz=9&hl=fr&start=6&um=1&tbnid=UQRbHaTQBdyqFM:&tbnh=70&tbnw=111&prev=/images?q=implosion&um=1&hl=fr

http://images.google.co.ma/imgres?imgurl=http://static.pcinpact.com/images/bd/news/31982-internet.jpg&imgrefurl=http://www.pcinpact.com/Affichage-plein-ecran-35154-31982.htm&h=480&w=640&sz=53&hl=fr&start=19&um=1&tbnid=SY-Xcz8uiHBooM:&tbnh=103&tbnw=137&prev=/images?q=internet&start=18&ndsp=18&um=1&hl=fr&sa=N


SI

conception

achats

productionlogistique

Clients

FournisseursOrganismes de contrôle

Partenaires

prospection

vente

réception

maintenance

services

Le S.I est au cœur de l’activité de l’entreprise


Infrastructure matérielle

Historique: 18 000 tubes à vides 1 500 relais 6 000 commutateurs 30 Tonnes En 1957, 7 247 heures de fonctionnement:

3 491 en production (48.17%) 1 061 en problèmes (14.64%) 196 d’inactivité (2.70%) 651 d’interventions planifiées (8.98%) 1 848 d’interventions non planifiées (25.50%)


Infrastructure matérielle Évolution

45-60ENIAC

55-80Vax

PDP 11

HEWLETTPACKARD

HEWLETTPACKARD

HEWLETTPACKARD

HEWLETTPACKARD

HEWLETTPACKARD

HEWLETTPACKARD

HEWLETTPACKARD

HEWLETTPACKARD

HEWLETTPACKARD

HEWLETTPACKARD

Personal Computer

Super calculateur

Année 75 - 90

Network computer95-2000

Cluster de PCs2000-…


Infrastructure matérielle les 20 dernières années

L’extraordinaire explosion des microprocesseurs (loi de Gordon Moore) Moore prédit tout d’abord un doublement du nombre de

transistors dans une puce chaque année, puis rectifia en un doublement tous les 18 mois

1971 : 4004 : 2 300 transistors 1978 : 8086 : 29 000 transistors 1982 : 80286 275 000 transistors 1989 : 80486 : 1,16 million de transistors 1993 : Pentium : 3,1 millions de transistors 1995 : Pentium Pro : 5,5 millions de transistors 1997 : Pentium II : 27 millions de transistors 2001 : Pentium 4 : 42 millions de transistors 2004 : Pentium Extreme Edition : 169 millions de transistors 2006 : Core 2 Duo : 291 millions de transistors 2006 : Core 2 Quad : 582 millions de transistors 2007 : Dual-Core Itanium 2 : 1,7 milliards de transistors Autre :2006 : G80 (Nvidia) : 681 millions de transistors 2007 : POWER6 (IBM) : 291 millions de transistors 2008 : Sandisk 12 GB microSDHC : 50 milliards de transistorsCircuits intégrés

http://fr.wikipedia.org/wiki/1971

http://fr.wikipedia.org/wiki/Intel_4004








http://fr.wikipedia.org/wiki/Pentium


http://fr.wikipedia.org/wiki/Pentium_Pro


http://fr.wikipedia.org/wiki/Pentium_II


http://fr.wikipedia.org/wiki/Pentium_4


http://fr.wikipedia.org/wiki/Pentium_Extreme_Edition


http://fr.wikipedia.org/wiki/Core_2_Duo


http://fr.wikipedia.org/wiki/Core_2_Quad


http://fr.wikipedia.org/w/index.php?title=Dual-Core_Itanium_2&action=edit&redlink=1


http://fr.wikipedia.org/w/index.php?title=G80&action=edit&redlink=1


http://fr.wikipedia.org/wiki/POWER6


http://fr.wikipedia.org/w/index.php?title=MicroSDHC&action=edit&redlink=1

http://fr.wikipedia.org/wiki/Image:153056995_5ef8b01016_o.jpg

http://images.google.co.ma/imgres?imgurl=http://www.automationnotebook.com/images/Issue9_2007_images/GordonMoore_1_2005_large.jpg&imgrefurl=http://www.steeg.co.uk/&h=407&w=432&sz=53&hl=fr&start=1&um=1&tbnid=Aei6A4JoyGjw6M:&tbnh=119&tbnw=126&prev=/images?q=gordon+moore&um=1&hl=fr

http://images.google.co.ma/imgres?imgurl=http://www.usinenouvelle.com/expo/img/transistors-mosfet-dur-000000036-4.jpg&imgrefurl=http://www.usinenouvelle.com/expo/international-rectifie-2563/offre.html&h=467&w=544&sz=102&hl=fr&start=20&um=1&tbnid=YoSo0kNWuDYwNM:&tbnh=114&tbnw=133&prev=/images?q=transistors&start=18&ndsp=18&um=1&hl=fr&sa=N

http://fr.wikipedia.org/wiki/Image:Three_IC_circuit_chips.JPG


Rappels techniques des composantes d’un S.I

Stratégie, Gestion, Sécurité

Logiciels, applicatifs et données

Infrastructure

Logiciels de base

Matériels

Réseaux

Équipes

Études E

xploitation


L’Infrastructure: un vrai casse tête

http://images.google.co.ma/imgres?imgurl=http://www.guineequatoriale-info.net/images/hacker.jpg&imgrefurl=http://www.guineequatoriale-info.net/hemero/hackers.htm&h=245&w=163&sz=16&hl=fr&start=3&um=1&usg=__z_Yt7mC7WK8ojIinpxMj9q4kRcU=&tbnid=1ivAQwZYoUGwcM:&tbnh=110&tbnw=73&prev=/images?q=piratage+informatique&um=1&hl=fr&sa=N

http://images.google.co.ma/imgres?imgurl=http://issamhack.webobo.com/journal/3/7/7/3/journal_377362.jpg&imgrefurl=http://issamhack.webobo.com/journal2.php?id_journal=377362&id_menu=1261180&h=101&w=150&sz=9&hl=fr&start=14&um=1&usg=__A0amBHEWkRLzyjncwwQXFk47bS8=&tbnid=uq6WiQ_qrUqPhM:&tbnh=65&tbnw=96&prev=/images?q=piratage+informatique&um=1&hl=fr&sa=N

http://images.google.co.ma/imgres?imgurl=http://assistance.orange.fr/Image/786_firewall2.gif&imgrefurl=http://assistance.orange.fr/786.php&h=279&w=379&sz=16&hl=fr&start=1&um=1&usg=__kUz70SXBcWfrKH_wzTVCExJX74A=&tbnid=6kT_URaWBxAFkM:&tbnh=91&tbnw=123&prev=/images?q=firewall&um=1&hl=fr

http://images.google.co.ma/imgres?imgurl=http://www.claranet.fr/img/firewall4.gif&imgrefurl=http://www.claranet.fr/securite/firewall.php&h=225&w=300&sz=9&hl=fr&start=18&um=1&usg=__zaiy1XlMwl8uVEkeT6lIOzf-0sc=&tbnid=KjcJBccrMNrVwM:&tbnh=87&tbnw=116&prev=/images?q=firewall&um=1&hl=fr

http://images.google.co.ma/imgres?imgurl=http://www.topachat.com/comprendre/images/routeur_modem_adsl_wifi-impression.jpg&imgrefurl=http://www.topachat.com/comprendre/wifi.php&h=800&w=640&sz=55&hl=fr&start=2&um=1&usg=__zhbSo4mnlBplrEplIPKxyHrFkis=&tbnid=rfZLqU2LBRCvxM:&tbnh=143&tbnw=114&prev=/images?q=routeur&um=1&hl=fr

http://images.google.co.ma/imgres?imgurl=http://www.imcsline.com/screen/MA_Histogramme.jpg&imgrefurl=http://www.imcsline.com/MAnalyzer.asp&h=544&w=798&sz=100&hl=fr&start=3&um=1&usg=__3jeHaXcdmLy8g01udDL-y9wuThc=&tbnid=jX796sf9Yt3UtM:&tbnh=97&tbnw=143&prev=/images?q=histogramme&um=1&hl=fr

http://images.google.co.ma/imgres?imgurl=http://khany.developpez.com/tutoriel/mschart/images/graphe3d01.jpg&imgrefurl=http://khany.developpez.com/tutoriel/mschart/&h=432&w=711&sz=37&hl=fr&start=14&um=1&usg=__2DafSDHBfh6G0lA6SgxNX1whGzA=&tbnid=ED0T7L7TR237bM:&tbnh=85&tbnw=140&prev=/images?q=graphe&um=1&hl=fr

http://images.google.co.ma/imgres?imgurl=http://khany.developpez.com/tutoriel/mschart/images/graphe3d02.jpg&imgrefurl=http://khany.developpez.com/tutoriel/mschart/&h=428&w=439&sz=31&hl=fr&start=34&um=1&usg=__R4znUGvGjiV1cs9MAxld0qvZr6I=&tbnid=CXjBtp1ISjQesM:&tbnh=124&tbnw=127&prev=/images?q=graphe&start=18&ndsp=18&um=1&hl=fr&sa=N

http://images.google.co.ma/imgres?imgurl=http://manageengine.adventnet.com/products/opmanager/images/netflow-drilldown.gif&imgrefurl=http://manageengine.adventnet.com/products/opmanager/netflow-plugin.html&h=630&w=809&sz=72&hl=fr&start=3&um=1&usg=__nR3p5Ib1doGDFd6SGa1VqoBIrl4=&tbnid=xY5y4EnlUjatvM:&tbnh=111&tbnw=143&prev=/images?q=netflow+analyzer&um=1&hl=fr

http://images.google.co.ma/imgres?imgurl=http://pixhost.eu/avaxhome/avaxhome/2007-05-11/2007E05R11_000447.jpg&imgrefurl=http://www.download.ir/archives/utilities/index.php?page=69&h=280&w=424&sz=30&hl=fr&start=3&um=1&usg=__2mHroemnkixqn7oyTfvxdJkJmeU=&tbnid=GIDzMc9qQ-pmMM:&tbnh=83&tbnw=126&prev=/images?q=gfi+languard&um=1&hl=fr

http://www.commentcamarche.net/guide-achat/netgear-prosafe-24-port-gigabit-rackmount-switch-jgs524-522897-fiche-technique

http://www.commentcamarche.net/guide-achat/linksys-wrt54g-186112-fiche-technique

http://www.commentcamarche.net/guide-achat/belkin-cable-dsl-gateway-router-186047-fiche-technique


Informatique centralisée:• Salle machine

unique• Gros système• Utilisateurs

accédant à travers des terminaux

• Les supports de stockage sont centralisés…

Démocratisation de l’informatique:• Utilisateurs connectés au

sites/serveurs• PCs• Avènement du

Client/serveur• …

Autonomie de l’utilisateur:• Infocentre /

datawarehouse/ datamining…

• Développements locaux

• Partage de données

• Sauvegarde non contrôlée

• OS peu fiables…

Années 50, 60, 70 Années 80 Années 90

Un vrai casse tête surtout quand les orientations et les objectifs changent ! Le pendule des Architectures Informatiques


Informatique centralisée:• Maîtrise des

plateformes• Centralisation de

l’information• Contrôle de

l’infrastructure• Maîtrise et

centralisation des sauvegardes / Performances / fiabilités des supports / machines

• Baies de stockage• Backups / PCA /

sites secours• Normes, BP,

Standards…

Démocratisation de l’informatique:• Utilisateurs

connectés au sites/serveurs

• PCs• Avènement du

Client/serveur• …

SécuritéAutonomie de l’utilisateur:• Infocentre /

datawarehouse/ datamining…

• Développements locaux

• Partage de données

• Sauvegarde non contrôlée

• OS peu fiables…

Sécurité

Années 90Ces 10 dernières années

Un vrai casse tête surtout quand les orientations et les objectifs changent ! Le pendule des Architectures Informatiques


IntroductionL’organisation de la fonction d’Audit

Le rôle de la fonction d’audit doit être statué dans une charte d’audit

La charte doit renseigner clairement sur la responsabilité et les objectifs du Top Man. ainsi que la délégation de l’autorité qu’il confère à la fonction d’audit des TI

Ce document doit arrêter: L’autorité, le périmètre et les responsabilités de la fonction

d’audit des TI

Le Top Man. et le comité d’audit doivent approuver cette charte

Une fois la charte établie et approuvée, elle ne doit être modifiée qu’en cas de changement majeure justifié

http://images.google.co.ma/imgres?imgurl=http://www.wargan.com/img/illustrations/page-audit-code.jpg&imgrefurl=http://www.wargan.com/pages/wargan-audit-securite-etude-code.php&h=321&w=294&sz=40&hl=fr&start=2&um=1&tbnid=PHVZfAMpBeJiwM:&tbnh=118&tbnw=108&prev=/images?q=audit&um=1&hl=fr

http://images.google.co.ma/imgres?imgurl=http://www.abadie-chapon.com/Images%20site%20Xavier/Charte%20du%20Bonheur%20Gastronomique.jpg&imgrefurl=http://www.abadie-chapon.com/tradition.htm&h=866&w=613&sz=140&hl=fr&start=3&um=1&tbnid=hIdKrH7BqigbwM:&tbnh=145&tbnw=103&prev=/images?q=charte&um=1&hl=fr


IntroductionLe management des ressources des S.I

Les ressources des auditeurs S.I sont limitées, et leur temps est planifié et optimisé

L’auditeur SI doit avoir les connaissances nécessaires pour gérer les projets d’audit avec le staff d’audit

Des compétences particulières peuvent être requises pour planifier certains audits spécifiques

Le management de l’audit des SI doit avoir les connaissances nécessaires sur le planning de charges de ses ressources

Des outils de management des projets sont utilisés pour maîtriser les charges

http://images.google.co.ma/imgres?imgurl=http://www.bedetheque.com/Couvertures/expert01_19112003.jpg&imgrefurl=http://www.bedetheque.com/serie-7909-BD-Expert-(L-).html&h=524&w=400&sz=39&hl=fr&start=53&um=1&tbnid=4uofzVs8nqg5sM:&tbnh=132&tbnw=101&prev=/images?q=expert&start=36&ndsp=18&um=1&hl=fr&sa=N


IntroductionLe management des ressources des S.I

Les technologies de l’information sont en perpétuel changement ce qui exige des auditeurs d’être constamment Up to date

Nouvelles techniques d’audit

Nouveaux métiers en terme des TI

La formation continue constitue un objectif majeure dans la mise à niveau des compétences des auditeurs

http://images.google.co.ma/imgres?imgurl=http://www.alternativerh.fr/images/formation2.gif&imgrefurl=http://www.alternativerh.fr/formation.html&h=1056&w=1056&sz=46&hl=fr&start=1&um=1&tbnid=MJvPz3YpmU8RMM:&tbnh=150&tbnw=150&prev=/images?q=formation&um=1&hl=fr


IntroductionLa planification des ressources

La planification de l’audit concerne le court et le long terme

Le court terme: Les audits devant être couvert durant l’année

Le long terme: Les plans d’audit devant tenir compte des changements majeurs

dans les plans stratégiques des TI de l’organisation Les changements devant concerner l’environnement des TI

L’analyse des plannings du court et du long terme doit être annuelle

http://images.google.co.ma/imgres?imgurl=http://www.olsn.ca/images/section-images/policy-planning.jpg&imgrefurl=http://www.olsn.ca/policy-planning-facility-planning-fr.php&h=140&w=185&sz=27&hl=fr&start=5&um=1&tbnid=mnwavO6JIDVPfM:&tbnh=77&tbnw=102&prev=/images?q=planification&um=1&hl=fr



L’auditeur doit être informé au préalable: Avoir des connaissance sur le domaine à auditer Les informations, contrôles et pratiques utilisés dans l’activité à

auditer L’environnement réglementaire

http://images.google.co.ma/imgres?imgurl=http://www.energiecacouna.ca/images/bannieresi/dossiers.jpg&imgrefurl=http://www.energiecacouna.ca/documentation.html&h=331&w=304&sz=11&hl=fr&start=5&um=1&tbnid=2o9zMh0ThKMxDM:&tbnh=119&tbnw=109&prev=/images?q=information&um=1&hl=fr



L’objectif majeure du processus d’Audit est: Que l’auditeur ait les connaissances nécessaires pour

conduire un audit des systèmes d’information en concordance avec les normes et standards de l’Audit des S.I

Que l’auditeur assure que les technologies d’information de l’entreprise sont alignées sur le plan stratégique et qu’elles sont bien gérées et contrôlées

http://images.google.co.ma/imgres?imgurl=http://www.agence-directe.com/images/photos/photo-strategie.jpg&imgrefurl=http://www.agence-directe.com/pages/savoirs-faire/strategie.htm&h=438&w=397&sz=33&hl=fr&start=3&um=1&tbnid=FfnYXm3bwPlhhM:&tbnh=127&tbnw=115&prev=/images?q=strat%C3%A9gie&um=1&hl=fr


Contrôle et Contrôle Interne

La notion de contrôle est complexe: en français, connotation négative (vérification, inspection…) en anglais, synonyme de maîtrise (contrôler c’est gérer)

Contrôle interne:

Ensemble des procédures et dispositifs permanents définis et appliqués pour:

protéger le patrimoine de l’entreprise détecter et prévenir les fraudes permettre une conduite ordonnée et efficace des opérations de

l’entreprise

http://images.google.co.ma/imgres?imgurl=http://www.conseil-performance.fr/shots/conseil-performance-entreprises.jpg&imgrefurl=http://www.conseil-performance.fr/organisation-controle-interne-entreprise.html&h=390&w=265&sz=38&hl=fr&start=20&um=1&tbnid=6jsefYGJttPCHM:&tbnh=123&tbnw=84&prev=/images?q=contr%C3%B4le+interne&start=18&ndsp=18&um=1&hl=fr&sa=N

http://images.google.co.ma/imgres?imgurl=http://www.ionis.fr/jahia/webdav/site/internet_ionis/shared/Images/IONIS_lEssentiel/Recrutement.jpg&imgrefurl=http://www.ionis.fr/jahia/Jahia/cache/bypass/ionis_l_essentiel/ionis_recrute/nos_opportunites_2?themeToViewId=4392&h=220&w=200&sz=14&hl=fr&start=32&um=1&tbnid=TIqiiUW7CyOhmM:&tbnh=107&tbnw=97&prev=/images?q=contr%C3%B4le+interne&start=18&ndsp=18&um=1&hl=fr&sa=N


Contrôle de Gestion

Le Ctrl de Gestion est un système d’évaluation des responsabilités et des voies par lesquelles la rentabilité des entreprises peut être améliorée

Le Ctrl de Gestion implique la définition de normes, un système d’information capable de fournir des données effective, la détection d’écart entre données et normes, la détermination des responsabilités

Le Ctrl de Gestion est un système générale continue d’alerte

http://images.google.co.ma/imgres?imgurl=http://www.memoireonline.com/12/06/293/evolution-role-controle-de-gestion-controle-standardisation-organisations6.png&imgrefurl=http://www.memoireonline.com/12/06/293/m_evolution-role-controle-de-gestion-controle-standardisation-organisations5.html&h=298&w=270&sz=123&hl=fr&start=6&um=1&tbnid=i1NjGUueBfmnLM:&tbnh=116&tbnw=105&prev=/images?q=contr%C3%B4le+de+gestion&um=1&hl=fr

http://images.google.co.ma/imgres?imgurl=http://consultia.org/Logo%20new.PNG&imgrefurl=http://consultia.org/Activity%20Based%20Costing.htm&h=654&w=708&sz=21&hl=fr&start=16&um=1&tbnid=4esgKwNWrgJtlM:&tbnh=129&tbnw=140&prev=/images?q=contr%C3%B4le+de+gestion&um=1&hl=fr


Risk management

La gestion des risques est une activité stratégique dont l’objectif est de permettre aux entreprises de tirer le meilleur partie des sources d’incertitude, risques ou opportunités

Ces sources d’incertitudes proviennent à la fois de facteurs externes et de processus internes, ainsi que la qualité des informations utilisées pour la prise de décision

http://images.google.co.ma/imgres?imgurl=http://www.matrixsafety.com.au/images/Risk%20Management.jpg&imgrefurl=http://www.matrixsafety.com.au/matrixsafetyRiskManagement.htm&h=285&w=300&sz=125&hl=fr&start=1&um=1&tbnid=a6V9h9ucI-LvXM:&tbnh=110&tbnw=116&prev=/images?q=risk+management&um=1&hl=fr


L’Audit

Activité ou fonction indépendante et objective d’assurance et de conseil, dont la mission est d’apporter une valeur ajoutée, et d’améliorer le fonctionnement d’une organisation

Il aide l’organisation à atteindre ses objectifs par une approche systématique et méthodique, d’évaluation et d’amélioration des procédés de gestion des risques, de contrôle et de gouvernance d’entreprise

Ce qui a coûté la vie à Art Andersen et Enron

http://images.google.co.ma/imgres?imgurl=http://www.communicationideas.com/images/comm-audit-L.JPG&imgrefurl=http://www.communicationideas.com/communication-audit.html&h=346&w=347&sz=39&hl=fr&start=20&um=1&tbnid=3d8ed4RGXbsbVM:&tbnh=120&tbnw=120&prev=/images?q=audit&start=18&ndsp=18&um=1&hl=fr&sa=N

http://images.google.co.ma/imgres?imgurl=http://bec.panoptikom.com/imx/business-ethics-criminal.jpg&imgrefurl=http://bec.panoptikom.com/services.html&h=160&w=240&sz=17&hl=fr&start=70&um=1&tbnid=IdDuLV-vE6mC-M:&tbnh=73&tbnw=110&prev=/images?q=enron+arthur+andersen&start=54&ndsp=18&um=1&hl=fr&sa=N


Audit interne et Audit Externe

Audit interne: Salarié d’une entreprise

Audit Externe Travaille dans un organisme indépendant

Différences: Indépendance Démarche Suivi des recommandations

http://images.google.co.ma/imgres?imgurl=http://www.f-f-c.fr/images/imag6.jpg&imgrefurl=http://www.f-f-c.fr/&h=98&w=150&sz=7&hl=fr&start=37&um=1&tbnid=yFEt4CYwTCCOoM:&tbnh=63&tbnw=96&prev=/images?q=audit+externe&start=36&ndsp=18&um=1&hl=fr&sa=N


Les acteurs de l’Audit

Le prescripteur: Il commande (et assure le règlement de) la mission d’audit Il s’agit soit d’une personne de l’entreprise (niveau direction),

soit d’un tiers (repreneur par exemple)

L’Auditeur: C’est le professionnel à qui est confiée la mission d’audit

(Interne ou Externe)

L’Audité: C’est la personne qui « subit » l’audit Sa participation, sa collaboration et son adhésion en

conditionnent le succès

http://images.google.co.ma/imgres?imgurl=http://www.derbigum.be/images/image-specifier-gen.jpg&imgrefurl=http://www.derbigum.be/FB_why-derbigum_specifier-benefits.html&h=310&w=310&sz=24&hl=fr&start=6&um=1&tbnid=dmY7HCmw_j-b9M:&tbnh=117&tbnw=117&prev=/images?q=prescripteur&um=1&hl=fr


Partir des préoccupations du management Le demandeur mandate un auditeur pour répondre à des

questions précises Mener des investigations

Mener des entretiens avec les intéressés Relever et analyser les faits

Porter un diagnostic Apprécier la situation (forces et faiblesses) Juger par rapport à des références:

Normes, doctrines, état de l’art, enquête

Proposer des recommandations pertinentes Rendre compte (rapport)

La démarche générale de l’Audit

http://images.google.co.ma/imgres?imgurl=http://www.laviedesfilms.com/images/la_methode.jpg&imgrefurl=http://www.laviedesfilms.com/critique/la_methode.htm&h=374&w=276&sz=20&hl=fr&start=50&um=1&tbnid=_if0RqKzFy--_M:&tbnh=122&tbnw=90&prev=/images?q=m%C3%A9thode&start=36&ndsp=18&um=1&hl=fr&sa=N

http://images.google.co.ma/imgres?imgurl=http://www.lamaisondulatex.com/images/picto_diagnostic.gif&imgrefurl=http://www.lamaisondulatex.com/h%C3%83%E2%80%9Dpitaux-sp%C3%83%E2%80%B0cialit%C3%83%E2%80%B0s-c-196.html&h=376&w=373&sz=49&hl=fr&start=1&um=1&tbnid=KRO9C_rzeM0XJM:&tbnh=122&tbnw=121&prev=/images?q=diagnostic&um=1&hl=fr


Démarche de l’auditeur

Analyse des risques

Points de Ctrl précis

Tests complets

Faits documentés

• Existence d’une analyse des risques de l’organisation• Analyse des risques par l’auditeur

• Les points de Ctrl sont issus de l’analyse des risques• Les points de Ctrl servent pour établir le point d’audit

Existence de dispositions de Ctrl Vérification de l’application des dispositions Vérification de l’efficacité des dispositions vérification de l’efficience des dispositions

• Documents fournissant les preuves du résultat de la vérification


Typologie des audits

Audit de conformité (audit de régularité) Vérification de l’existence du fonctionnement du contrôle interne Vérification de l’application correcte des règles de procédures internes Vérification de l’application correcte des dispositions légales

Audit d’efficacité (audit de progrès) Appréciation des résultats par rapport aux objectifs Appréciation de la qualité du contrôle interne (impact des règles et

procédures)

Audit d’efficience (audit économique) Analyser les moyens affectés aux opérations Apprécier l’utilisation des ressources

Conformité

EfficacitéEfficience

http://images.google.co.ma/imgres?imgurl=http://www.marketing-etudiant.fr/images/actualites/besoins-marches.gif&imgrefurl=http://www.marketing-etudiant.fr/actualites/nouvelle-versions-produits-1-2.php&h=210&w=250&sz=23&hl=fr&start=8&um=1&tbnid=3llKtm9hnGRm6M:&tbnh=93&tbnw=111&prev=/images?q=besoins&um=1&hl=fr


Synthèse du déroulement d’une mission d’audit

Lettre de mission

Phase de pré diagnostic

Lancement de la mission

Phase de diagnostics et de tests

Phase de rédaction du rapport final

Phase de discussion du rapport final

Constitution du dossier

• Réponse à une demande et constitution de l’équipe d’audit

• Acquisition des connaissances nécessaires• Analyse de risques

• Produit: Rapport de pré diagnostic

• Présentation des objectifs de l’audit à la direction de l’organisation

• Désignation d’un coordinateur de l’audit et du signataire des feuilles de faits

• Rédaction des descriptions d’activités et approfondissement des connaissances

• Réalisation des tests, rédaction des feuilles de faits et dossiers des preuves

• Discussion des faits avec les collaborateurs concernés• Validation des faits par le management de l’organisation

• Produit: Ensemble des feuilles de faits validées ou analysées

• Synthèse des faits considérés comme essentiels pour la direction générale

• Recommandations et opinions des auditeurs et validation• Produit: Rapport final provisoire (3 à 4 pages)

• Discussion, validation et approbation par le Directeur de l’organisation

• Présentation à la direction générale• Produit: Rapport final définitif

• Dossiers complets contenant toutes les preuves• Références croisées entre dossiers, feuilles de faits et rapport

final


La lettre de mission

Elle matérialise le contrat passé entre l’auditeur et le prescripteur de l’audit

Son rôle est de: Préciser le contexte et l’objectif de la mission Détailler les questions posées à l’auditeur Préciser les modalités d’intervention (intervenants, durée)

http://images.google.co.ma/imgres?imgurl=http://www.courdecassation.fr/IMG/Image/mission.gif&imgrefurl=http://www.courdecassation.fr/br_institution_br_br_1/autres_publications_discours_2039/publications_2201/lettre_mission_8433.html&h=829&w=587&sz=26&hl=fr&start=14&um=1&tbnid=kwN3AeyFi9KCVM:&tbnh=144&tbnw=102&prev=/images?q=lettre+de+mission&um=1&hl=fr


Le pré diagnostic

L’auditeur doit commencer par prendre connaissance du contexte Dans ce but, il effectue un pré-audit rapide afin de déterminer ses

objectifs de contrôle et de repérer les principales difficultés qu’il risque de rencontrer

Cette phase préliminaire comprend: L’étude de la documentation disponible (communiquée au préalable si

possible) Quelques entretiens avec les décideurs concernées (démarche top-

down) Un inventaire des problèmes ressentis Une détermination des investigations à réaliser (bcp d’observation)

Un rapport de pré diagnostic conclut cette phase: il propose un plan d’action détaillé

http://images.google.co.ma/imgres?imgurl=http://www.meilleur-diagnostic.com/images/template/prestation.jpg&imgrefurl=http://www.meilleur-diagnostic.com/fr_reglementation_amiante.php&h=300&w=300&sz=35&hl=fr&start=6&um=1&tbnid=iXuEwnjBhqLy2M:&tbnh=116&tbnw=116&prev=/images?q=diagnostic&um=1&hl=fr


Planification de la mission

Il est nécessaire de planifier l’audit

On part des objectifs de l’audit et des questions figurant dans l’ordre de mission et/ou des résultats du pré diagnostic

A partir de ces orientations on établit le programme de travail

Il est alors possible de déterminer les ressources nécessaires

La collecte des faits prend du temps et souvent demande des moyens importants

Pour éviter d’allonger les délais il est nécessaire de commencer suffisamment tôt la rédaction du rapport (en parallèle avec la mission)

http://images.google.co.ma/imgres?imgurl=http://www.homemortgagemaster.ca/img/fr-ca/conseiller_planification.jpg&imgrefurl=http://www.homemortgagemaster.ca/conseiller-hypothecaire.aspx&h=240&w=238&sz=9&hl=fr&start=3&um=1&tbnid=_UwcO96P_lDAqM:&tbnh=110&tbnw=109&prev=/images?q=planification&um=1&hl=fr


Les entretiens

Le temps des audités (et des auditeurs) est précieux: il faut donc préparer les entretiens (Questionnaires)

L’objectif de l’entretien est de collecter de l’information « utile » (il faut canaliser)

L’auditeur liste les questions qu’il se pose et pour lesquels il a besoin d’une réponse (objectifs de contrôle)

L’entretien ne doit pas excéder 1h30

http://images.google.co.ma/imgres?imgurl=http://www.cg59.fr/FrontOffice/UserFiles/Image/Les%20competences%20et%20les%20actions/11%20L'action%20economique/04%20Acces%20a%20l'emploi%20pour%20tous/entretien.jpg&imgrefurl=http://www.cg59.fr/FrontOffice/AfficheArticle.aspx?idArticle=1076&idArborescence=122&h=579&w=390&sz=46&hl=fr&start=7&um=1&tbnid=L6-H_thFHvxv6M:&tbnh=134&tbnw=90&prev=/images?q=entretien&um=1&hl=fr


Les outils classiques de l’audit

Entretien (questions ouvertes ou fermées)

Questionnaire

Diagramme de circulation

Tableaux des forces et des faiblesses

Matrices activité entités (Qui – entité - fait Quoi – Activité - )

Outils d’analyse de données (logiciels: IDEA, ACL …)

http://images.google.co.ma/imgres?imgurl=http://www.utc.fr/~farges/dess_tbh/03-04/projets/manzi_wicaksono/strategie_fichiers/questionnaire.jpg&imgrefurl=http://www.utc.fr/~farges/dess_tbh/03-04/projets/manzi_wicaksono/strategie.htm&h=635&w=580&sz=90&hl=fr&start=15&um=1&tbnid=YCyaQyixXTmO5M:&tbnh=137&tbnw=125&prev=/images?q=questionnaire&um=1&hl=fr

http://images.google.co.ma/imgres?imgurl=http://bp2.blogger.com/_m51QdqxbUPU/RvlhRel2inI/AAAAAAAAAII/jSzhctAxj6c/s400/icoLogiciels.png&imgrefurl=http://ellipseblog.blogspot.com/2007_06_01_archive.html&h=300&w=300&sz=68&hl=fr&start=1&um=1&tbnid=8s03EeuP0Cr_eM:&tbnh=116&tbnw=116&prev=/images?q=logiciels&um=1&hl=fr


Les recommandations

C’est avec la pertinence du diagnostic, la valeur ajoutée de l’auditeur

Chaque point faible doit faire l’objet d’au moins une recommandation pour l’éliminer ou en réduire l’impact

Il faut hiérarchiser les recommandations: Par domaine Dans le temps (court terme = urgent, moyen terme, long terme) En fonction de leur coût

R1 R3

R2 R4

Urgence/importance

Coût

Exemple

http://images.google.co.ma/imgres?imgurl=http://www.internetwebsiteadvice.com/images/recommendation.jpg&imgrefurl=http://www.internetwebsiteadvice.com/&h=371&w=348&sz=30&hl=fr&start=5&um=1&tbnid=UIxM231dNh9WFM:&tbnh=122&tbnw=114&prev=/images?q=recommendation&um=1&hl=fr


Rédaction du rapport d’audit

La rédaction du rapport d’audit est une opération toujours difficile

Il faut d’abord définir à qui il est destiné et comment il sera diffusé

(en général, il y a plusieurs niveaux de lecteurs)

L’auditeur doit commencer à rédiger le rapport assez rapidement

car la rédaction prend toujours du temps

Il faut se baser sur des faits indiscutables

On doit faire apparaître les points positifs

Faire des exposés clairs et courts avec un style direct

Porter des appréciations claires et non ambiguës

Faire référence à des référentiels indiscutables

Ne pas oublier les recommandations: C’est ce qu’attend le

management

http://images.google.co.ma/imgres?imgurl=http://www.euro-symbiose.fr/images/publications/memopop/auditqualite_memopop.jpg&imgrefurl=http://www.euro-symbiose.fr/publications/detail.asp?arId=273&h=193&w=200&sz=7&hl=fr&start=83&um=1&tbnid=MjC7KM8gbcsq8M:&tbnh=100&tbnw=104&prev=/images?q=rapport+audit&start=72&ndsp=18&um=1&hl=fr&sa=N


Plan type d’un rapport d’audit informatique

Exemple Lettre de mission 1 page Déroulement de la mission 1 page Synthèse du rapport 2 à 4 p Synthèse des recommandations 2 pages Observations faites 10 à 20

p Recommandations 5 à 6 p Annexes techniques

http://images.google.co.ma/imgres?imgurl=http://blog-dominique.autie.intexte.net/blogs/media/rapport_chabalier.jpg&imgrefurl=http://blog-dominique.autie.intexte.net/blogs/index.php/2005/12/09/&h=443&w=510&sz=15&hl=fr&start=33&um=1&tbnid=f7SR3l-IGsOqIM:&tbnh=114&tbnw=131&prev=/images?q=rapport+&start=18&ndsp=18&um=1&hl=fr&sa=N


Règles de conduite de l’auditeur

Au cours de sa mission l’auditeur doit veiller à être neutre

L’auditeur doit manifester son indépendance

Il faut se concentrer sur les faits et se méfier des opinions

Au cours de la mission l’auditeur doit régulièrement informer le demandeur d’audit sur l’avancement de la mission, les problèmes rencontrés…

L’auditeur doit respecter les règles du Code d’éthique et des Standards Professionnels établis par l’ISACA

Voir Charte de l’auditeur

http://images.google.co.ma/imgres?imgurl=http://geremp.org/IMG/jpg/charte_ethique_GERE.jpg&imgrefurl=http://geremp.org/spip.php?article4&h=3446&w=2488&sz=924&hl=fr&start=58&um=1&tbnid=aUS6VESXcYjnDM:&tbnh=150&tbnw=108&prev=/images?q=charte&start=54&ndsp=18&um=1&hl=fr&sa=N



l’entrepriseIV. L’AuditV. La mission d’AuditVI. Management des RisquesVII.La corporate GovernanceVIII.COBITIX. Etude de cas

http://images.google.co.ma/imgres?imgurl=http://www.nysscpa.org/committees/emergingtech/cobit.jpg&imgrefurl=http://www.nysscpa.org/committees/emergingtech/somarchive.htm&h=102&w=163&sz=34&hl=fr&start=9&um=1&tbnid=vOLaTd3w2PBirM:&tbnh=61&tbnw=98&prev=/images?q=cobit&um=1&hl=fr


[email protected]

Viser à l’ensemble, et se mettre à l’œuvre par les détails (Proverbe

chinois)