Nouveau cadre de gouvernance de la sécurité de l'information
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources limitées
1. 28/01/2014
L’OPTIMISATION DE L’AUDIT DES CONTRÔLES
TI : SE DÉMARQUER AVEC DES RESSOURCES
LIMITÉES
FRANÇOIS BEAUPRÉ, CPA, CA, CISA
ET
PATRICE BOURDAGES
22 JANVIER 2014
http://www.isaca-quebec.ca
1
2. 28/01/2014
OBJECTIF ET AGENDA
Objectif
Partager notre expérience en proposant des pistes de solution
pour aider les équipes d’audit de contrôles TI à améliorer leur
efficience
Partager les bonnes pratiques dans les diverses organisations
et générer une réflexion sur la gestion des travaux des équipes
d’audit de contrôles TI
Présentation axée sur une perspective d’équipe d’audit interne
mais peut parfois être calqué pour une équipe d’auditeurs
externes
2
2
3. 28/01/2014
OPTIMISATION ... DÉFINITION …
Optimisation Recherche d’une plus grande efficience.
Efficience Ratio des efforts (jours-pers) / résultats de l’audit
Les résultats en audit :
Meilleure couverture des risques
Qualité de la documentation produite
Satisfaction des parties prenantes / visibilité accrue de la
fonction de VI
3
3
4. 28/01/2014
PLANIFICATION PLURIANNUELLE –
ÉVALUATION DES RISQUES
-Faire un inventaire des compagnies / processus / systèmes
Et parallèlement
-Dresser l’univers d’audit des TI
-Évaluer les risques à l’aide d’éléments qualitatifs et quantitatifs.
4
4
5. 28/01/2014
PLANIFICATION PLURIANNUELLE –
CHOIX DES MANDATS
-Faire l’évaluation des ressources disponibles (heures / $$$)
- Segmenter selon le type de mandat (audit, conseil, support aux
vérificateurs externes, conformité, etc)
- Segmenter selon le risque perçu pour obtenir une couverture
adéquate, selon les attentes des parties prenantes
5
5
6. 28/01/2014
PLANIFICATION PLURIANNUELLE –
UTILISATION DES ITGC
-Utiliser les tests sur les ITGCs faits par les vérificateurs externes.
Compléter au besoin avec des tests faits à l’interne. Peut être fait
en rotation
-Utiliser pour obtenir de l’assurance sur la fiabilité des contrôles
applicatifs et réduire les tailles d’échantillon
6
6
7. 28/01/2014
PLANIFICATION ANNUELLE - DÉPÔT
-Expliquer la démarche pour le choix des mandats
- Illustrer la répartition du temps entre les types de mandat / les
compagnies / les systèmes / etc
-Lister les mandats et prévoir quelques mandats « au cas où »
Permettra éventuellement de comparer réel versus prévu
7
7
8. 28/01/2014
PLANIFICATION ANNUELLE – ACCÈS
Obtenir un accès en lecture aux différentes applications
opérationnelles et de soutien
Obtenir un accès en lecture aux différentes bases de données.
Utiliser de manière responsable
8
8
9. 28/01/2014
KICKOFF DE MANDATS
-Discuter des enjeux avec le management
- Aller se faire présenter aux ressources
-Envoyer la lettre mandat
-Travailler plusieurs mandats en même temps – s’assurer que la
balle soit toujours dans la cour de l’audité
9
9
10. 28/01/2014
PLANIFICATION DU MANDAT – PLAN DE TRAVAIL
Faire l’inventaire des risques pour le mandat. Conserver les risques en
fonction de la portée.
Faire un plan de travail en relation les risques évalués et définir un
budget (nombre d’heures) pour chaque aspect
Dans le plan de travail, identifier les intervenants.
Peut être recyclé en document de suivi de l’avancement du mandat
10
10
11. 28/01/2014
PLANIFICATION DU MANDAT – PLAN DE TRAVAIL
Considérer l’utilisation des TVI pour tester une population
complète :
-Le risque est évalué comme très important / obligation
règlementaire et la couverture requise est donc très élevée OU
-L’élément à tester se porte bien et la validation de la population
prendra environ le même temps que la validation d’un
échantillon OU
-C’est du « repeat business » … On devra tester la population de
façon répétitive (à toutes les années par exemple)
11
11
12. 28/01/2014
DURANT L’EXÉCUTION - ÉCHANTILLONAGE
Si évaluer comme pouvant être profitable, segmenter la
population pour réduire la taille d’échantillon et/ou améliorer la
qualité de couverture des risques:
-Réduire la population de façon significative en éliminant les
éléments non risqués OU
-Faire une sélection à partir de critères de risques OU
- Segmenter la population en groupes homogènes pour faire la
sélection
12
12
13. 28/01/2014
DURANT L’EXÉCUTION – PÉPIN EN VUE …
En cas de doutes sur la manière de procéder, se référer :
-Aux normes et guidelines de l’ISACA / IIA / CPA
-À un collègue
-Au gros bon sens
13
13
14. 28/01/2014
DURANT L’EXÉCUTION – AUDITS TECHNIQUES /
SPÉCIALISÉS
Ne pas ré-inventer la roue dans la définition des procédés de
vérification …
Vérifier l’existence de programmes de vérification sur le site de
l’ISACA (« tools and techniques »), des GTAG (IIA) ou d’autres
sites spécialisés
Utilisation d’outils gratuits (attention à la fiabilité!)
Consulter des collègues
14
14
15. 28/01/2014
DURANT L’EXÉCUTION – EN ENTREVUE
-Ne pas laisser les audités se vider le cœur mais rester attentif
pour de l’information pertinente … Réorienter les discussions au
besoin
-En prendre et en laisser … L’ampleur d’un problème vue par un
audité <> vu par la direction
Équilibre difficile à trouver mais nécessaire
15
15
16. 28/01/2014
DURANT L’EXÉCUTION – EN DÉPASSEMENT DE
TEMPS
Si le plan de travail ne peut être respecté :
-Ajouter du temps, en fonction de la perception du risque versus
les autres aspects du mandat et par rapport aux autres mandats
-Exclure spécifiquement de l’audit et proposer d’en faire un sujet
distinct pour un mandat ultérieur
16
16
17. 28/01/2014
DURANT L’EXÉCUTION – ON FRAPPE UN MUR
Si malgré tout, et avec la bonne volonté de tous, l’information
n’est pas trouvable pour répondre à un test sur un risque …
"Nous n'avons pas été en mesure de déterminer" "La
direction n'a pas l'information requise pour ..."
Une limitation d'information <> limitation de portée ... Le
manque d'information de la direction pour la prise de décision /
surveillance des contrôles/processus est en soi une trouvaille qui
est reportable !
17
17
19. 28/01/2014
SUIVIS DES MANDATS ET REDDITION DE COMPTE
-Expliquer clairement les attentes et le déroulement du
processus. Faire sentir sa présence tout au long de la résolution
(sans les tacher !)
-Suivre les recommandations à l’aide d’un registre
-Ne pas tester si l’audité n’est pas convaincu que c’est résolu
-Rendre compte de façon périodique et en fonction des risques et
attentes du comité de vérification
19
19
20. 28/01/2014
REDDITION DE COMPTES – RAPPORT ANNUEL
L’objectif est de rendre compte des actions et de la performance
de la VI (bulletin annuelle de la VI !)
Reprise de la planification annuelle pour comparer ce qui était
prévu à ce qui a été fait.
Doit être présenté pour donner une visibilité à la vérification TI
20
20
21. 28/01/2014
REDDITION DE COMPTES – RAPPORT ANNUEL
Indicateurs de performance :
- Ratio d’utilisation des ressources
Jours-personnes-mandat / jours-personnes-totaux-disponible
- Ratio de complétion des mandats :
Mandants complétés / mandats prévus (en nombre de mandats
ou en jours-personnes de mandats pondérés ou non)
21
21
22. 28/01/2014
REDDITION DE COMPTES – RAPPORT ANNUEL
Indicateurs de performance :
-Ratio de répartition des travaux (compagnies / unités d’affaires /
processus / système)
Jours-personnes selon axe / jours-personnes-mandat
-Indicateur de suivi des recommandations:
Recommandations non débutées-en cours-terminéesabandonnées / recommandations émises
22
22
23. 28/01/2014
REDDITION DE COMPTES – RAPPORT ANNUEL
Tableau IV
Suivi des recommandations émises par la vérification interne
100%
90%
32
14
42
80%
32
70%
60%
12
50%
54
12
39
40%
30%
20%
10
12
2
11
2
10%
0%
2006
2007
2008
Réglées
2009
En cours
2010
2011
Non débutées
23
23
24. 28/01/2014
RÉFLEXION COLLABORATIVE
– ON VEUT VOUS ENTENDRE !
-Un sujet par table
-Le but est de générer de la discussion et d’échanger le plus
d’information possible
-15 minutes pour en discuter et on mets tout en commun
24
24
25. 28/01/2014
RÉFLEXION COLLABORATIVE
– PLANIFICATION ANNUELLE
-Importance de bien prioriser les projets
-Bien documenter les mandats choisis
-Faire preuve de réalisme dans la détermination des effectifs
disponibles
25
25
26. 28/01/2014
RÉFLEXION COLLABORATIVE
– PLANIFICATION DES MANDATS
-Bien faire comprendre les enjeux & risques au management
-Faire preuve de confiance et arriver préparé pour maintenir sa
crédibilité envers l’interlocuteur
26
26
27. 28/01/2014
RÉFLEXION COLLABORATIVE
– EXÉCUTION DU MANDAT
-Focusser sur la meilleure méthode pour obtenir les éléments
probants
-Capitaliser sur les lacunes imprévisibles (petites surprises) pour
accroitre la visibilité et la crédibilité de la VI
-Utiliser à bon escient l’effet de levier dont la VI dispose
27
27
28. 28/01/2014
RÉFLEXION COLLABORATIVE
– RÉDACTION DU RAPPORT
-Bien identifier notre auditoire
-Débuter la rédaction tôt dans le processus, tout en validant les
constat au fur et à mesure. Néanmoins, s’assurer d’avoir « the big
picture » lors du dépôt
-Demeurer concis et ne pas s’éparpiller
-Démontrer le travail effectué en rapportant ce qui va bien autant
que ce qui va mal
-S’assurer que l’audité va s’approprié le rapport en établissant
avec lui les plans d’action
28
28
29. 28/01/2014
RÉFLEXION COLLABORATIVE
– SUIVI DES RECOMMANDATIONS
-Obtenir un engagement de la direction à tous les niveaux.
-Gérer les relations avec la gouvernance afin que les
engagements de la haute direction se répercutent dans les lignes
d’affaires.
-Obtenir des dates de réalisation réalistes. S’assurer que le risque
résiduel par rapport au point dénoté est acceptable par rapport
aux dates de réalisation.
-Maintenir un environnement de travail positif malgré un climat
pouvant être tendu du à certains rapports
29
29
30. 28/01/2014
RÉFLEXION COLLABORATIVE
– RELATION AVEC LE COMITÉ DE VÉRIFICATION
-S’assurer du degré d’intérêt du comité afin d’adapter les
communication et de maintenir l’intérêt. Les sonder au besoin
-Les communications doivent être claires et succinctes.
-Le comité doit être briefé sur les points critiques.
30
30