2. Présentateur
Javier Bentancur, CISA, MBA
javier.bentancur@isaca-quebec.ca
http://ca.linkedin.com/in/javierbentancur
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
2
3. L’association ISACA
1969 : «EDP Auditors Association»
1984 : APVCSI à Québec
1998 : ITGI
2013 :
o
o
+ de 110.000 membres dans 180 pays
+ de 200 délégations dans 80 pays
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
3
4. Objectifs
Expliquer les guides d’audit TI d’ISACA et leur
contexte d’utilisation.
Présenter des exemples des guides.
Introduire le nouveau guide basé sur Cobit5.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
4
5. Les guides d’audit TI de l’ISACA
Normes d’audit TI et d’assurance (ITAF v2)
o
Normes et directives
Outils et techniques
o
o
o
o
o
Concepts de base d’audit TI
Livres blanc (« White papers »)
Références techniques
Programmes d’audit TI
Famille de produits Cobit 5
Cobit 5 pour l’assurance (audit TI)
o
Guide professionnel basé sur Cobit 5
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
5
7. Les normes
Définition :
o
Lignes directrices qui encadrent les professionnels
de l’audit TI et de l’assurance.
Obligation de les respecter et de les appliquer
à tout intervention professionnelle.
Concernent l’éthique, l’indépendance,
l’objectivité, la diligence, la connaissance, la
capacité et les compétences du professionnel.
Valides depuis 1-nov-2013.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
7
8. Structure des normes
Générales
(série 1000)
Performance
(série 1200)
• Conduite de la mission
Rapport
(série 1400)
4 déc 2013
• Principes directeurs de la
profession d’audit
• Types de rapports, moyens de
communication et informations
communiquées
ISACA Québec - www.isaca-quebec.ca
8
9. Liste des normes
Générales
o
o
o
o
o
o
o
o
1001 : Charte d’audit
1002 : Indépendance de l’organisation
1003 : Indépendance professionnelle
1004 : Attentes raisonnables
1005 : Conscience professionnelle
1006 : Compétence
1007 : Affirmations
1008 : Critères
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
9
10. Liste des normes
Performance
o
o
o
o
o
o
o
1201 : Planification de la mission
1202 : Évaluation du risque dans la planification
1203 : Exécution et supervision
1204 : Matérialité
1205 : Éléments probants
1206 : Utilisation du travail d’autres experts
1207 : Irrégularités et actes illégaux
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
10
12. Les directives
Définition :
o
Instructions sur l’application des normes.
Le professionnel s’y réfère lors de leurs mises en
œuvre, et fait appel à son jugement
professionnel.
Il doit être en mesure de justifier tout écart visà-vis celles-ci.
Présentement en révision.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
12
13. Structure des directives
Générales (série 2000)
o
2001 à 2008
Performance (série 2200)
o
o
2201 à 2207
2208 : Échantillonnage d’audit
Rapport (série 2400)
o
2401 à 2402
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
13
14. Norme 1001
Exemple : La charte d’audit
4 déc 2013
• 1001.1 : Définit l’objectif, la
responsabilité, l’autorité et
l’imputabilité de la fonction d’audit.
• 1001.2 : Indique que la charte d’audit
doit être approuvée par le niveau
approprié de l’organisation.
ISACA Québec - www.isaca-quebec.ca
14
15. Directive 2001
Exemple : La charte d’audit
4 déc 2013
• Suggère un mandat pour la fonction d’audit.
• Décrit le contenue de la charte d’audit :
• L’objectif, la responsabilité, l’autorité et la
réédition de comptes, etc.
• Suggère de considérer un processus
d’assurance qualité pour la mettre à jour.
• Décrit le contenu de la lettre du mandat.
• La responsabilité, l’autorité et la réédition
de comptes, etc.
ISACA Québec - www.isaca-quebec.ca
15
16. Exemple : La charte d’audit
Lien des directives avec Cobit
Norme
Directive
Cobit 4
1001 : Charte d’audit
2001
ME 4.7 – Assurance indépendante.
ME 2.5 – Assurance de contrôle
interne.
1206 : Utilisation du travail
d’autres experts
2206
ME 2.5 – Assurance de contrôle
interne.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
16
17. Conclusion et questions
Référence universelle.
En constante évolution.
Commentaires de la
communauté.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
17
19. Concepts de base d’audit TI
Objectif :
o
o
Mettre à la disposition des professionnels,
éducateurs et le public les principes concernant
l’audit TI.
Permettre l’avancement du domain de l’audit TI par
des opinions.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
19
20. Concepts de base d’audit TI
Caractéristiques :
o
o
o
Publiés depuis 2002 .
Une colonne du magazine «ISACA Journal».
Organisés selon les principes du modèle Curricula
d’ISACA pour les professionels de l’audit et
l’assurance TI.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
20
21. Concepts de base d’audit TI
Classification :
o
o
o
o
o
o
o
Processus d’audit.
Développement, acquisition, implementation et
maintenance d’applications d’affaires.
Évaluation des processus d’affaires et gestion de
risques.
Récupération aux désastres et continuité d’affaires.
Gestion, planification et organisation des SI.
Protection des actifs informationnels.
Pratiques techniques d’infrastructures et des
opérations.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
21
22. Processus d’audit TI
Exemple
4 déc 2013
•
•
•
•
•
•
Fonction d’audit TI (6).
Évidence d’audit (3).
Suivi du rapport (1).
Concepts à l’égard du contrôle interne (7).
Concepts fondamentaux d’audit (11).
Gestion de l’audit (2).
ISACA Québec - www.isaca-quebec.ca
22
23. Concepts à l’égard du
contrôle interne
Exemple
4 déc 2013
• Comment auditer une organisation de
services (rapport SOC).
• Comprendre le nouveau rapport SOC.
• Le cycle de vie du développement des
contrôles.
• Comment utiliser COSO (parties 1 et 2).
• Audit des contrôles généraux et
d’applications.
• Audit de sécurité.
ISACA Québec - www.isaca-quebec.ca
23
24. Exemple
Transformation des données pour
«CAAT»
• Introduction.
• Méthodologie «ETL» pour CAAT et
forage de données.
• Exemples.
• Outils de transformation de données.
• Conclusion.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
24
25. Conclusion et questions
Format papier et
numérique.
Lecture rapide.
Sujets d’actualité.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
25
27. Livres blanc ou « White papers »
Objectif :
o
Mettre à disposition l’information relevante et à jour
concernant des aspects pouvant impacter les
opérations des organisations.
Caractéristiques:
o
o
o
o
Flux RSS.
Commentaires (feedback).
Autres ouvrages liés.
Format numérique.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
27
28. Livres blanc 2013
Sécurité en tant que service (SAAS).
Données masives et protection de la vie privée.
Gouvernance du cloud: informations indispensables
aux conseils d’administration.
Données masives : Impacts et avantages .
Résultat de l’étude sur la sensibilisation aux menaces
avancées persistentes.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
28
29. Exemple : Gouvernance du cloud
Objectif :
o
Décrire brièvement le cloud et présenter les
questions qui permettront aux dirigeants d’évaluer
les avantages d’intégrer le cloud dans la stratégie de
leurs organisations.
Sujets :
o
o
o
La valeur du cloud.
La gouvernance du cloud.
Les informations indispensables au conseil
d’administration (les questions).
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
29
30. Exemple : Gouvernance du cloud
1
Les équipes de management ontelles élaboré un plan concernant
le cloud computing ? Ont-elles
évalué la valeur générée et les
coûts d’opportunité ?
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
30
31. Exemple : Gouvernance du cloud
2
Dans quelle mesure les plans
relatifs au cloud computing
servent-ils la mission de
l’entreprise ?
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
31
32. Exemple : Gouvernance du cloud
3
Les équipes dirigeantes ont-elles
procédé à une évaluation
systématique de la préparation de
l’organisation ?
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
32
33. Exemple : Gouvernance du cloud
4
Les équipes de management ontelles pris en compte les
investissements existants qui
pourraient être perdus dans leur
planification de mise en oeuvre du
cloud computing ?
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
33
34. Exemple : Gouvernance du cloud
5
Les équipes de management ontelles élaboré des stratégies
permettant de mesurer le retour
sur investissement de l’adoption
du cloud computing et de l’évaluer
par rapport aux risques ?
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
34
35. Livres blanc 2012
Business Continuity Management: Emerging Trends
Cloud Computing Market Maturity Study Results
Security Considerations for Cloud Computing
Calculating Cloud ROI: From the Customer Perspective
Virtualization Desktop Infrastructure (VDI)
Incident Management and Response
Guiding Principles for Cloud Computing Adoption and
Use
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
35
36. Livres blanc 2011
Mobile Payments: Risk, Security and Assurance Issues.
Web Application Security: Business and Risk
Considerations.
Geolocation: Risk, Issues and Strategies.
Data Analytics—A Practical Approach.
Leveraging XBRL for Value in Organizations.
Sustainability.
Electronic Discovery.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
36
37. À venir (2014)
Programmes d’audit (Cobit5)
Contrôle et audit du cloud
Génération de la valeur à partir des données massives
(2013)
Scénarios de risques (Cobit5 pour les risques)
Utilisation de Cobit 5 pour SOX
SAP ERP v4: aspects de sécurité, audit et contrôle
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
37
38. Conclusion et questions
Groupe de recherche.
Sujets d’actualité.
Conseils pratiques.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
38
40. Références techniques
Objectif :
o
Faciliter aux professionnels de la sécurité, de l’audit
et du contrôle des TI (et non TI) l’évaluation des
produits installés.
Caractéristiques
o
o
o
Livre format papier, payant.
Téléchargement gratuit: sommaire, programme
d’audit et questionnaire de contrôle interne.
Communauté de pratique.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
40
44. Base de données Oracle, v3, 2009
219 pages.
Sommaire (28 pages).
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
44
45. Exemple : Base de données Oracle
Architecture d’oracle DBMS.
Planification de l’audit.
Aspects de sécurité :
o
Système d’exploitation, privilèges, contrôle d’accès,
relations de confiance, réseau.
Contrôles généraux.
Programme d’audit.
Questionnaire du contrôle interne.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
45
48. Programmes d’audit TI et d’assurance
Objectif :
o
Mettre à la disposition des professionnels de
l’assurance et de l’audit TI des exemples de
programmes d’audit avec une vocation éducative.
Caractéristiques :
o
o
Modèle basé sur Cobit.
Liens avec COSO, ITAF, Cobit.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
48
49. Programmes d’audit TI et d’assurance
Gestion de crises, de changements, de continuité
d’affaires, de risques, etc.
Cloud, biométrie, VOIP, Medias sociaux, etc.
Lotus Notes, Sharepoint, Base de données MS-SQL,
MS File share, serveur de services web Apache, etc.
VPN, PKI, IPv6, Mobile computing, Active directory,
z/OS, VMWare, UNIX/Linux, etc.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
49
50. Exemple : Virtualisation avec VMware
Planification
o
o
la portée.
l’audit de l’application.
Programme d’audit
o
o
o
o
Gouvernance de l’environnement virtuel.
Préparation sur le champ.
Environnement virtuel.
Respect des normes de l’organisation.
Évaluation de la maturité.
Architecture de virtualisation.
Indicateurs de performance.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
50
51. Exemple : Virtualisation avec VMware
4 Environnement virtuel
o
4.1 Hypervisor
•
.1 Hardening guide.
•
.2 Mot de passe «Root».
•
.3 Lockdown mode.
•
.4 Protection du shell ESXi.
•
.5 Piste d’audit.
•
.6 Mises à jour de l’hypervisor.
•
.7 Séparation de fonctions.
•
.8 Mot de passe de la base de données.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
51
52. Exemple : Virtualisation avec VMware
4.1.6 Mis à jour de l’hypervisor
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
52
53. Conclusion et questions
Lien avec plusieurs
référentiels.
Technologies et sujets
variés.
Mise à jour vers Cobit 5.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
53
55. Évolution de Cobit
1996 : Cobit V1 - pour l’audit TI
1998 : Cobit V2
2000 : Cobit V3
2005 : Cobit V4
o 2007 : Cobit 4.1, Val IT, Risk IT,…
2012 : Famille de produits Cobit 5
o 2013 : Cobit 5, pour l’assurance
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
55
56. Famille de produits Cobit 5
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
56
57. Famille de produits Cobit 5
Programme d’évaluation
Process Assessment Programme.
o Self-Assessment Guide.
o Process Assessment Model.
o Assessor Guide.
o
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
57
58. Cobit 5 pour l’assurance
318 pages.
Format papier et numérique.
Volume payant.
Téléchargement :
o Présentation et brochure.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
58
59. Cobit 5 pour l’assurance
Objectifs :
o
o
o
Orienter sur comment utiliser Cobit 5 pour la
fonction d’audit et d’assurance.
Proposer une démarche d’audit basée sur les
facilitateurs de Cobit 5.
Présenter des exemples de programmes
d’assurance (d’audit).
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
59
60. Cobit 5 pour l’assurance
Table de matières :
o
o
o
o
o
o
o
Section 1 : Concepts de base sur l’assurance et application
des principes de Cobit 5.
Section 2A : Utilisation des facilitateurs de Cobit 5 pour la
gestion de la fonction d’audit ou d’assurance.
Section 2B : Réalisation des mandats d’audit en utilisant
les facilitateurs de Cobit 5.
Section 3 : Relation avec autres référentiels.
Annexe B : Guide détaillé sur les facilitateurs pour la
fonction d’audit.
Annexe C : Description détaillée des processus clés pour
l’audit.
Annexe D : Exemples de programmes d’audit.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
60
63. Perspective : La fonction d’audit
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
63
64. Les composantes de l’audit
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
64
65. Les principes appliqués à l’audit TI
1 – Les parties prenantes
2 – L’entreprise de mur à mur
3 – Un cadre de référence intégré
4 – Démarche globale
5 – Distinction entre gouvernance et gestion
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
65
66. Exemple : 1-Les parties prenantes
Interne
o
o
o
Comité d’audit.
Groupes d’audit, risque et conformité.
Direction exécutive et d’affaires.
Externe
o
o
o
o
4 déc 2013
Actionnaires.
Auditeurs externes.
Entités de réglementation.
Partenaires d’affaires et clients.
ISACA Québec - www.isaca-quebec.ca
66
68. Exemple: 1-Les parties prenantes
Caractéristiques des types d’engagements
Exemple: Indépendance
o Pas requise ou non garantie (établir les responsabilités).
o Optimiser la fonction.
o Doit être établie, vérifiée et conservée.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
68
69. Les facilitateurs et la fonction d’audit
Les facilitateurs de Cobit 5
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
69
70. Les facilitateurs et la fonction d’audit
1 - Principes, normes et cadre de références.
2 - Les processus.
3 – Les structures organisationnelles.
4 – Culture, éthique et comportement.
5 – Informations.
6 – Services, infrastructure et applications.
7 – Personnel, aptitudes et compétences.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
70
72. 1 - Principes, normes et cadres de réf.
Objectif :
o
Identifier les principes, normes et cadres de référence
nécessaires pour construire et maintenir une fonction
d’audit TI efficace et efficiente.
Les normes d’audit TI
Les bonnes pratiques
o
Le code d’éthique professionnelle.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
72
73. 2 - Les processus
Les processus clés pour la fonction d’audit
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
73
74. Exemple : Le processus EDM01
Les livrables du processus
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
74
75. Exemple : Le processus EDM01
Les indicateurs pour mesurer la performance du
processus
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
75
76. Exemple : Le processus EDM01
Les activités du processus
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
76
77. 3 – Les structures organisationnelles
Les structures pour la fonction d’audit
o
o
o
o
Comité d’audit et/ou de direction.
Direction d’audit.
Direction de conformité (interne, externe).
Audit externe.
Les bonnes pratiques
o
o
o
o
Composition.
Mandat, principes d’opération, niveaux d’autorité et de
contrôle.
Rôles et responsabilités (lien des rôles avec les processus
organisationnels).
Intrants et extrants.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
77
78. 4 – Culture, éthique et comportement
Catégories
o
o
o
Globales à l’organisation (5)
Professionnelle (8)
Gestion (10)
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
78
80. 6 - Services, infrastructure et applications
Services
o
o
o
o
o
o
o
o
Rapport et communication.
Assurance qualité.
Suivi du temps.
Engagement des ressources.
Accès à l’information.
Suivi des lois, réglementations, etc.
Risques émergents.
Évaluation de la performance.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
80
81. 6 – Services, infrastructure et applications
Applications de support
o
o
o
o
o
o
o
o
Registre des risques.
Outils techniques (CAATs).
Bibliothèque de pratiques d’audit.
Gestion documentaire.
Outils de planification.
Suivi d’incidents.
Outils d’analyse et d’échantillonnage.
Workflow.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
81
82. 7 – Personnel, aptitudes et compétences
Rôles et compétences
o
o
o
o
o
o
o
Description
Expérience
Éducation
Qualifications
Connaissance
Compétences techniques
Comportement
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
82
85. Le processus d’audit
Évaluation de la fonction d’audit TI
o
Processus MEA01, MEA02, MEA03.
Évaluation des facilitateurs
o
Démarche d’audit basé sur Cobit5.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
85
88. Exemple : Flux de travail A-2.4
A-2.4 Traduire les priorités en objectifs d’audit
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
88
89. Exemple: Flux de travail A-3
A-3 Déterminer les facilitateurs
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
89
90. Exemple : Flux de travail B-7.5
B-7.5 Évaluation des services (f6)
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
90
91. Lien avec d’autres guides
ITAF
o
Normes d’audit d’ISACA
IPPF
o
ITAF
IPPF
Normes d’audit d’IIA
SSAE16
SSAE-16
o
Normes des rapports SOC
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
91
92. Exemple : Lien avec IPPF
IPPF :
o
o
Cadre conceptuel de l’IIA qui organise les exigences
professionnelles des auditeurs.
Composition: La définition d’audit interne, le code
d’éthique et les normes d’audit interne de l’IIA.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
92
93. Exemple : Lien avec IPPF
Tableau comparatif
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
93
95. Programme d’audit - BYOD
Adaptation du processus
générique
o
o
Structuré dans 3 phases
Aligné avec Cobit5
Procédés et directives
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
95
96. Programme d’audit – BYOD
A-2.4 Traduire les priorités en objectifs d’audit
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
96
99. Exemple : Programme d’audit – BYOD
B-7.5 Évaluation des service (f6) : MDM
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
99
100. Conclusion et questions
Adaptation de Cobit 5 pour
la fonction d’audit.
Approche structuré pour la
réalisation des mandats.
Exemples de programmes
d’audit actuels.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
100