1. Colloque du risq 2018 – Audit 101- Guide de survie à un audit de sécurité
Hugo Dominguez, MSc, CISA
Directeur de la sécurité et des infrastructures informatiques
Université McGill
4. Le contexte
• Audit dans un contexte de vérification
externe des états financiers
• Audit dans un contexte de vérification
interne
• Audit mandaté par la direction
• Audit mandaté par le service des TI
• Audit de conformité des licenses*
5. Les acteurs
• Comité de direction /
Conseil d’administration
• Administrateur
• Comité d’audit
• Auditeur externe
• Auditeur interne
• Le vérifié
6. Les acteurs
• Comité de direction / Conseil d’administration
– S’assurer du respect et de la réalisation de la
mission
– S’assurer du respect des lois applicables
– Gérer les affaires financières
– Gérer la pérennité des actifs de l’entreprise
This Phoo by Unknown Author is licensed under CC BY-SA-NC
7. Les acteurs
• Administrateur
– Gérer les affaires avec soin et précaution et prendre
des mesures raisonnables pour gérer les risques
auxquels l’organisme peut faire face.
– Fournir leur expertise dans un domaine particulier
et s’adjoindre l’aide externe auprès d’experts au
besoin
– Mettre leurs intérêts personnels de côté lorsqu’ils
prennent des décisions.
– S’assurer du respect de toutes les lois applicables
aux activités qu’il exerce.
– S’assurer que l’organisme respecte toutes les règles
internes qu’il a créées pour lui-même. This Phoo by Unknown Author is licensed under CC BY-SA-NC
8. Les acteurs
• Comité d’audit
– Aider le CA dans la surveillance relatives à la qualité et l’intégrité de
l’information financière
– Relève du Conseil et a un pouvoir de recommandations
– Il exerce un rôle de vigie sur les affaires financières
– Responsable de la surveillance des activités d’audit externe, du contrôle
interne, de la gestion des risques et de la sécurité de l’information
– Surveillance de la sécurité de l’information
• Réviser l’identification et l’évaluation des risques liés à la sécurité de
l’information effectuée par la direction
• Examiner les mesures d’atténuation des risques liés à la sécurité de
l’information mises en place par la direction et s’assurer de leur
efficacité
• Veiller au respect de la politique de sécurité de l’information de l’Ordre
et s’assurer de la mise en œuvre du système de gestion de la sécurité de
l’information (SGSI) .
9. Les acteurs
• Auditeur interne / externe
– Contrôles vs Sécurité
– Comptabilité vs Informatique
– Meilleures pratiques vs Vulnérabilités
– Rôle par rapport à l’évaluation
Contrôle…
mon
prééécieux
10. Les acteurs
• Le vérifié
– Gestion des risques
– Sécurité vs Contrôles vs
Efficacité opérationnelle
– Gestion du portfolio de
projet
– Contraintes
– …
11. Le processus
Définiton de la
portée
Selon l’objectif du donneur
d’ouvrage
Audit
Selon une méthodologie /
référentiel
Cibler sur la portée
Validation des
recommandations
Auditeur valide ses
recommandations
(observation, risque, effort
(parfois), recommendation (à
précision variable)
Demande des commentaires
des administrateurs
Recommandations
Présentée au donneur
d’ouvrage et/ou le groupe
imputable
Plan d’action
À exécuter par le vérifié ou les
administrateurs
13. Votre capacité d’influence…
Définiton de la
portée
Selon l’objectif du donneur
d’ouvrage
Audit
Selon une méthodologie /
référentiel
Cibler sur la portée
Validation des
recommandations
Auditeur valide ses
recommandations
(observation, risque, effort
(parfois), recommendation (à
précision variable)
Demande des commentaires
des administrateurs
Recommandations
Présentée au donneur
d’ouvrage et/ou le groupe
imputable
Plan d’action
À exécuter par le vérifié ou les
administrateurs
14. Guide de survie
• Influencer la portée dans les situations
suivantes:
– Vous êtes le donneur d’ouvrage (attention avoir
des audits parfait n’aident personne)
– Vous avez une relation avec la vérification interne
et les appuyer dans la définition de la portée
– Pour le reste… hope for the best
15. Guide de survie
• Durant l’audit:
– Raccrocher vous à la portée pour contrôler
l’envergure des travaux
– Utiliser le vérificateur avec prudence en matière
de suggestions
16. Guide de survie
• À la phase des recommandations / plan
d’action:
– Fournissez vos commentaires sur la véracité
de l’observation ou modulez-la
– Votre plan d’action n’a pas à éliminer le
risque, vous pouvez le réduire
– Essayez minimalement de vous conformer à
vos normes internes
17. Votre capacité d’influence…
Définiton de la
portée
Selon l’objectif du donneur
d’ouvrage
Audit
Selon une méthodologie /
référentiel
Cibler sur la portée
Validation des
recommandations
Auditeur valide ses
recommandations
(observation, risque, effort
(parfois), recommendation (à
précision variable)
Demande des commentaires
des administrateurs
Recommandations
Présentée au donneur
d’ouvrage et/ou le groupe
imputable
Plan d’action
À exécuter par le vérifié ou les
administrateurs
Développer un processus
d’évaluation et de gestion des
risques auquel adhere la
direction et le CA pour moduler
les recommandations
18. Guide de survie
• Un processus interne de gestion des risques avec une adhesion de la
direction est la clé essentielle, le risque 0 n’existe pas.
• Documentez des normes et des guides auxquels vous pouvez vous
conformer
• La réduction des risques peut être constituée de contrôles de prevention
et/ou de détection
• Associer des demandes budgétaires aux recommandations (répondre en
disant que vous ferez les demandes budgétaires)… à l’impossible nul n’est
tenu
• Si vous avez été sages, demandez un bon vérificateurs raisonnables au
Père Noël, ça existe mais il faut avoir été très très sage…
Gérer les affaires avec soin et précaution. Cela veut dire qu’ils doivent demeurer attentifs, s’efforcer à exercer un bon jugement et prendre des mesures raisonnables pour gérer les risques auxquels l’organisme peut faire face.
Les administrateurs n’ont pas à être des experts, à moins qu’ils aient été choisis à cause de leur expertise dans un domaine particulier. Si les administrateurs sont confrontés à des situations qui dépassent leurs connaissances, ils doivent chercher de l’aide externe auprès d’experts.
Les administrateurs doivent mettre leurs intérêts personnels de côté lorsqu’ils prennent des décisions.
Les administrateurs doivent s’assurer du respect de toutes les lois applicables aux activités qu’il exerce.
Les administrateurs doivent s’assurer que l’organisme respecte toutes les règles internes qu’il a créées pour lui-même.