L'audit, un outil de pilotage

pour vos projets
par Marc Barbezat
Soi rée-formati on

Marc Barbezat . . .
http: //www. i saca. ch/
r Représentant romand du comi té de
l ' associ ati on sui sse des audi teurs
i nformati ques I SACA
http: //www. i sei g. ch/
r I ni ti ateur et coordi nateur de l a formati on
certi fi ante d' audi t i nformati que CI SA en Sui sse
romande
r Créateur et responsabl e de l a cel l ul e
d' i ntel l i gence économi que pour l a banque et l a
fi nance B3B. ch
http: //www. bcv. ch/
r Audi teur i nterne I T,
Groupe Banque Cantonal e Vaudoi se

Programme – Les questi ons
r Quel s sont l es objectifs d' un audi t de proj et ?
r Comment préparer et accompagner l e déroul ement d'un
audi t de proj et ?
r Quel l es informations i ssues de l ' audi t peuvent être
expl oi tées pour l e pi l otage du proj et ?
 Présentation de l'approche d'audit
 L'audit: Définition, terminologie et principes
Focalisé sur la gestion de projet
Focalisé sur la gestion de projet

L'audit

Définition et contexte d'intervention

Terminologie

Construction du risque

Gestion du risque versus contrôle du risque

Défi ni ti on
r L' audi t, exercé par un audi teur, est un processus
méthodique, indépendant et documenté permettant
de recuei l l i r des i nformati ons obj ecti ves pour
détermi ner dans quel l e mesure l es exi gences sati sfont
aux référenti el s du domai ne concerné.
 L'audit
Objectifs des audits:
r Fourni r au management l ' assurance que l es obj ecti fs de
contrôl e rel evant sont attei nts
r I denti fi er l es fai bl esses si gni fi cati ves dans ces contrôl es
r Documenter l e ri sque connecté avec de tel l es fai bl esses
r Consei l l er l e management sur l es mesures à
i mpl émenter

Défi ni ti on
Pour l'auditeur:
r L' audi t est l e processus permettant l a véri fi cati on de
l ' i nformati on et détermi ner l a préci si on et l a fi abi l i té des
asserti ons du rapport
– La véri fi cati on est l e processus de col l ecte d'évi dence
suffi sante permettant à l ' audi teur de confi rmer l ' exacti tude
de ses constatati ons, i n extenso de sa pri se de posi ti on

Les évi dences d' audi t sont toutes l es i nformati ons qu' un
audi teur uti l i se pour démontrer ses constats
 L'audit

Code d' éthi que professi onnel
Conformité avec les standards et les meilleures pratiques
Diligence et professionnalisme
Servir l'intérêt des actionnaires de manière honnête et respectueuse des lois
Respect de la confidentialité et des affaires privées
Maintien des compétences
Informer et communiquer de manière appropriée
Eduquer et sensibiliser les actionnaires
 L'audit  Définition

Types d' audi t
 L'audit  Définition
Quelques exemples:
r Audi t fi nanci er
r Audi t opérati onnel
r Audi t de conformi té (l oi s, règl ements)
r Autres audi ts spéci fi ques:
– Audi t i ntégré (combi nant l es aspects fi nanci ers et opérati onnel s
– Audi t admi ni strati fs (éval uati on de l ' effi caci té opérati onnel l e /
producti vi té)
– Audi t du système d' i nformati on
– Audi t spéci al i sé (domai ne spéci fi que, démarche standardi sée, . . . )
– Audi t de forensi c (cas de fraude)
– . . .

Stratégi e de
l ' entrepri se
Pi l otage d' un
proj et
. . .
Contexte d' i nterventi on
 L'audit



Personnes et
organi sati on
Processus et
foncti onnement
Outi l s et
technol ogi e



obj ecti fs
obj ecti fs
obj ecti fs
ACTIONS
PLAN PLAN
DO DO
CHECK CHECK
ACT ACT
PRINCIPE PRINCIPE
D'INDEPENDANCE D'INDEPENDANCE

Contexte d' i nterventi on
 L'audit  Contexte d'intervention
Stratégi e de
l ' entrepri se
Pi l otage d' un
proj et
. . .



obj ecti fs
obj ecti fs
obj ecti fs
ACTIONS
PLAN PLAN
DO DO
CHECK CHECK
ACT ACT
PRINCIPE PRINCIPE
D'INDEPENDANCE D'INDEPENDANCE
F
i
n
a
n
c
i
e
r
C
o
n
f
o
r
m
i
t
é
O
p
é
r
a
t
i
o
n
n
e
l
 Processus d' audi t Processus d' audi t
Focal i sati on sur l es domai nes
à haut ri sque de l a soci été


Pri nci pe de pl ani fi cati on des audi ts
r Pl ani fi cati on à l ong terme
– Par exempl e tri ennal e
– Li é à l a pl ani fi cati on stratégi que de l 'entrepri se
– Facteurs à consi dérer

Changements de technol ogi es

Nouveau pri nci pes de contrôl e

Modi fi cati on de processus opérati onnel s

Nouvel l es contrai ntes régl ementai res

. . .
r Pl ani fi cati on à court terme
– Annuel l e
– Li é à l a pl ani fi cati on des ressources
 L'audit  Contexte d'intervention

Termi nol ogi e
 L'audit
SYSTEME DE
SYSTEME DE
CONTRÔLE I NTERNE
CONTRÔLE I NTERNE
RI SQUE
RI SQUE
VULNERABI LI TE
VULNERABI LI TE
CONTRÔLE
CONTRÔLE
MENACES
MENACES
préventi f
détecti f
correcti f
desi gn
effi caci té
i nhérent
contrôl e
détecti on
i mpact
fréquence

Menace et vul nérabi l i té
r Menace
– Tout acte, si tuati on, événement, pouvant être à
l ' ori gi ne de dégâts ou de dommages sur un bi en
ou à une personne physi que ou moral e.
r Vul nérabi l i té
– Une vul nérabi l i té est une fai l l e dans une
procédure, un système, l e desi gn,
l ' i mpl émentati on d' un contrôl e qui peut être
expl oi tée pour abuser l a sécuri té ou empêcher
d' attei ndre l es obj ecti fs de l a soci été
– I nhérente à l ’ envi ronnement de l a soci été. Une
vul nérabi l i té peut concerné l es bâti ments et l es
l ocaux, l es l ogi ci el s et appl i cati ons, l es
systèmes, …
 L'audit  Terminologie

Ri sque
 L'audit  Terminologie
MENACE MENACE VULNERABILITE VULNERABILITE
RISQUE RISQUE
VALEUR OPERATIONNELLE VALEUR OPERATIONNELLE
DE L'ACTIF DE L'ACTIF
FREQUENCE DE FREQUENCE DE
SURVENANCE SURVENANCE
I I
M M
P P
A A
C C
T T

Ri sque et contrôl e
r Ri sque
– Evènement qui est suscepti bl e d’ entraîner des dommages
et/ou des pertes pour l ’ entrepri se concernée
r Contrôl e
– Les contrôl es sont des pol i ti ques, des procédures, des
prati ques et des structures organi sati onnel l es dési gnées
pour mettre à di sposi ti on une assurance rai sonnabl e que l es
obj ecti fs busi ness seront attei nts et que l es événements non
souhai tés pourront être prévenus ou détectés et corri gés
 L'audit  Terminologie

Système de contrôl e i nterne SCI
r Système de contrôl e i nterne
– Ensembl e des contrôl e (méthodes et procédures) uti l i sés
dans une soci été

pour l a protecti on des acti fs de l ' entrepri ses

Comptabi l i té correcte et conforme

Management effi cace de l a soci été

Conformi té avec l a stratégi e opérati onnel l e

Préventi on et l a détecti on d' erreurs et d' i rrégul ari tés

. . .
 L'audit  Terminologie

Ri sque
 L'audit  Terminologie
MENACE MENACE VULNERABILITE VULNERABILITE
RISQUE RISQUE
IMPACT - IMPACT -
VALEUR OPERATIONNELLE VALEUR OPERATIONNELLE
FREQUENCE DE FREQUENCE DE
SURVENANCE SURVENANCE
SYSTEME DE SYSTEME DE
CONTROLE CONTROLE
I NTERNE I NTERNE


Constructi on du ri sque
 L'audit
couverture d’ audi t (domai ne, processus, technol ogi e, temps)
Risque final
Ri sque de détecti on
Processus
d’ appréci ati on des ri sques
Menaces Vul nérabi l i tés I mpact
Fréquence
de
survenance
Ri sque i nhérent
Ri sque de contrôl e Préventi f Détecti f Correcti f

Ri sques i nhérents
r Ri sque i nhérent:
– Type de produi ts ou de servi ces
– Si tuati on de concurrence
– I ndustri e
– Tai l l e et états fi nanci ers de l a soci étés
– Dével oppement technol ogi que
– Envi ronnement i nformati que
– . . .
 L'audit  Construction du risque
couverture d’ audi t (domai ne, processus, technol ogi e, temps)
Risque final
Ri sque de détecti on
Processus
d’ appréci ati on des ri sques
Menaces Vul nérabi l i tés I mpact
Fréquence
de
survenance
Ri sque i nhérent
Ri sque de contrôl e Préventi f Détecti f Correcti f

Ri sques de contrôl e
r Cul ture d' entrepri se
r Acti vi tés / i ndustri es
r Réorgani sati on, fusi ons,
acqui si ti on, outsourci ng
r Staff, personnes et organi sati on
r Gesti on des changements
r Manque de di recti ves et de
documentati ons
r Ségrégati on des tâches
r . . .
 L'audit  Construction du risque
couverture d’ audi t (domai ne, processus, technol ogi e, temps)
Risque final
Ri sque de détecti on
Processus
d’ appréci ati on des ri sques
Menaces Vul nérabi l i tés I mpact
Fréquence
de
survenance
Ri sque i nhérent
Ri sque de contrôl e Préventi f Détecti f Correcti f

Ri sques de détecti on
r Erreur non détectée
r I ndi cateurs i neffi caces
r Pl anni ng d'audi t i nadéquat
r Résul tats d' audi t i nterprété de
mani ère i ncorrecte
r Constats non pondérés de
mani ère correcte
r . . .
 L'audit  Construction du risque
couverture d’ audi t (domai ne, processus, technol ogi e, temps)
Risque final
Ri sque de détecti on
Processus
d’ appréci ati on des ri sques
Menaces Vul nérabi l i tés I mpact
Fréquence
de
survenance
Ri sque i nhérent
Ri sque de contrôl e Préventi f Détecti f Correcti f

L'approche audit

Compréhension de l'environnement

Identification des risques

Identification des contrôles

Appréciation des risques

Communication des résultats

Suivi des constatations

1 . Compréhensi on de l ' envi ronnement
 L'approche d'audit



Personnes et
organi sati on
Processus et
foncti onnement
Outi l s et
technol ogi e
+
Dimensions à considérer
r I denti fi é?
r Défi ni ?
r Val i dé?
r Documenté?
r I mpl émenté?
r Survei l l é?
r Revu?

Qualité de l'information
et quantité d'information
Processus de documentati on Processus de documentati on
Techni ques et outi l s
r I ntervi ews
– Di recti on
– Personnes cl és
– Empl oyés
r Revue de documentati on (papi er et él ectroni que)
– Pol i ti ques, standards et procédures
– Mode d' empl oi
– . . .
r Observati on
– Mode opératoi re
– Responsabi l i té, l i mi tes d' acti vi tés
– . . .
 L'approche d'audit  1. Compréhension de l'environnement

Quanti té et qual i té de l ' i nformati on col l ectée
r Pertinente
– Al i gnée sur l es obj ecti fs de
l ' audi t
– En rel ati on l ogi que avec
l es constatati ons et l es
concl usi ons
r Rel i abl e
– Val i de (temps, domai ne,
source i ndépendante, etc. )
– Factuel l e
– Obj ecti ve (i nterprétati on)
r Suffi sante
– Compl ète
– Adéquate
– Convai ncante
r Condui rai t un autre audi teur
aux mêmes concl usi ons
 L'approche d'audit  1. Compréhension de l'environnement

2. I denti fi cati on des ri sques
 L'approche d'audit
Menaces Vul nérabi l i tés I mpact
Fréquence
de
survenance
Ri sque i nhérent
Anal yse de ri sques
Qual i tati ve Qual i tati ve
 Ai de à l a pl ani fi cati on de l ' éval uati on des contrôl es
 Confi rme l es obj ecti fs d' audi t

Anal yse de ri sques
Gesti on du ri que vs contrôl e du ri sque
 L'audit  2. Identification des risques
Principe d'indépendance Principe d'indépendance
Gestion
des ri sques
Temps Qual i té Coûts
Opérationnel
Gestion de projet
Controle
des ri sques
Temps Qual i té Coûts
Audit



Cohérence des
risques identifiés
Cohérence de
l'appréciation
des risques

Référenti el s et outi l s
 L'approche d'audit  2. Identification des risques
Cohérence de Cohérence de
l'identification et de l'identification et de
l'appréciation l'appréciation
des risques des risques
Normes assurance qual i té
(I SO, PRI NCE2 , I TI L, . . . )
Normes de sécuri té
(I SO 27001 , I Tsec, . . . )
Normes d' audi t
(NAS, COBI T, COSO, . . . )
Normes, référenti el s méti er

Référenti el s et outi l s: COBI T
 L'approche d'audit  2. Identification des risques

Vue gl obal e du référenti el
 L'approche d'audit  2. Identification des risques  COBIT
Réf. COBI T: Control Obj ecti ves for I nformati on and rel ated Technol ogy, I SACA
r 4 domai nes
– Pl anni ng & Organi sati on
– Acqui si ti on & I mpl ementati on
– Del i very & Support
– Moni tor & Eval uate
r 34 Macro-processus
PO-1 0 Manage Proj et

Processus PO 1 0 – Manage proj ects (1 /3)
Réf. COBI T: Control Obj ecti ves for I nformati on and rel ated Technol ogy, I SACA
 L'approche d'audit  2. Identification des risques  COBIT
Processus
Obj ecti fs busi ness
Obj ecti fs I T
Obj ecti fs de contrôl es
Métri ques et i ndi cateurs

Processus PO 1 0 – Manage proj ects (2/3)
r 0 Non-existent
– Proj ect management techni ques are not used and the
organi sati on does not consi der busi ness i mpacts associ ated
wi th proj ect mi smanagement and devel opment proj ect
fai l ures.
r . . .
r 5 Optimised
– A proven, ful l l i fe cycl e proj ect and programme methodol ogy
i s i mpl emented, enforced and i ntegrated i nto the cul ture of
the enti re organi sati on. An ongoi ng i ni ti ati ve to i denti fy and
i nsti tuti onal i se best proj ect management practi ces has been
i mpl emented. An . . .
Réf. COBI T: Control Obj ecti ves for I nformati on and rel ated Technol ogy, I SACA
 L'approche d'audit  2. Identification des risques  COBIT

Processus PO 1 0 – Manage proj ects (3/3)
Réf. Recommandati ons à l ’ égard des responsabl es de proj et i nformati que, Contrôl e Fédéral e des Fi nances)
 L'approche d'audit  2. Identification des risques  COBIT

3. I denti fi cati on des contrôl es
 L'approche d'audit
RI SQUE



Contrôl e préventi f
Contrôl e détecti f
Contrôl e correcti f
Système de contrôle interne - SCI

Contrôl e préventi f
r PREVENTIF
– Pol i ti ques, di recti ves, standards
– Formati on
– Sensi bi l i sati on
– Ségrégati on des tâches
– Logi ci el de contrôl e d' accès
– . . .

r Détecte les problèmes avant qu'ils surviennent
r Prévient les erreurs, les omissions, les actes malicieux
r ...
 L'approche d'audit  3. Identification des contrôles

Contrôl e détecti f
r DETECTIF
– Contrôl e de totaux, reconci l i ati ons
– Messages d' erreur
– Rapport
– I ndi cateurs de tabl eau de bord
– . . .
r Détecte et reporte le problème, tels que les erreurs, les
omissions, les actes malicieux
r ...
 L'approche d'audit  3. Identification des contrôles

Contrôl e correcti f
r CORRECTIF
– Pl an de conti nui té
– Procédure de backup
– Procédure de « re-run »
– . . .
r Réduit l'impact de la menace
r Corrige les erreurs découvertes par les contrôles détectifs
r Modifie le déroulement opérationnel afin de réduite le nombre
d'occurences futures d'un problème
r ...
 L'approche d'audit  3. Identification des contrôles

Caractéri sti que du contrôl e
r I denti fi er l e contrôl e et comprendre son foncti onnement
– Desi gn
– Poi nt de foncti onnement

dans l e temps,

étape de l a procédure,

. . .
– Effi caci té
r Habi tuel l ement, au mi ni mum 2 contrôl es pour couvri r
adéquatement un ri sque
 L'approche d'audit  3. Identification des contrôles

Appréci ati on des contrôl es
r Tests de conformi té du
contrôl e
– Détermi ne si l es contrôl es
i nternes sont appl i qués
dans l a mani ère décri te
dans l a documentati ons et
en accord avec l es
i ntenti ons du
management
– Teste l e processus
 L'approche d'audit  3. Identification des contrôles
r Tests de val i dati on du
contrôl e
– Confi rme l 'i ntégri té du
résul tat sur l a base du
foncti onnement réel du
contrôl e
– Teste l a val eur

Appréci ati on des contrôl es: Tests
processus processus
SYSTEME DE SYSTEME DE
CONTROLE CONTROLE
I NTERNE I NTERNE



INPUT
OUTPUT
processus processus
SYSTEME DE SYSTEME DE
CONTROLE CONTROLE
I NTERNE I NTERNE



INPUT
OUTPUT
TESTS DE CONFORMITE TESTS DE VALIDATION
 L'approche d'audit  3. Identification des contrôles

Ni veau de contrôl e
Contrôles Risque



 L'approche d'audit  3. Identification des contrôles

Communi cati on des résul tats
 L'approche d'audit
Comprendre
l ' envi ronnement
ri sques?
control es?
effi caces?
Tests de
conformi té
Tests de
val i dati on
Communi quer
Rapporter
non
oui
oui
non
non
oui
Plus de tests
Moins de tests

Communi cati on
Réf. Normes d'Audi t Sui sse, édi ti on 2004, Chambre fi duci ai re sui sse

Communi cati on
r Communi quer
– Constats et recommandati ons (i mportance et pri ori êÐeÐs –––
r

Coð_oÐti nBanda n nI o°Ðñ»•nê q ri êÐeÐs rDDDDDDDDDDDDDDDDDD r

Sui vi des constatati ons
r S' assurer de l a mi se en
oeuvre des recommandati ons
sel on l es dél ai s convenus
 L'approche d'audit
PLAN
PLAN
DO
DO
CHECK
CHECK
ACT
ACT

Conclusion

Concl usi on
r Pour l e chef de proj et, l ' audi t permet de
– S' assurer de l a bonne couverture de l a gesti on des ri sques
– S' assurer de l a bonne appréci ati on des ri sques du proj et
– Val i der l e desi gn et l ' effi caci té des contrôl es mi s en pl ace
pour l e pi l otage du proj et
– I denti fi er l es fai bl esses éventuel l es
– Obteni r une nouvel l e vi si on du proj et (consei l / advi sory)
– Di scuter / échanger avec un spéci al i ste « i ndépendant »
– . . .

Merci pour votre attention
Marc Barbezat
Email: marc. barbezat@b3b. ch
Site: http: //www. b3b. ch/
Blog: http: //bl og. b3b. ch/

Références uti l es
r Recommandati ons des contrôl es des fi nances à l ’ égard des proj ets i nformati ques
http: //www. i saca. ch/fi l es/Novena_V2_f. pdf
r Normes d' Audi t Sui sse, Chambre fi duci ai re
http: //www. treuhand-kammer. ch/pi x/fi l es/neu_ps_fr1 . pdf
r Formati on CI SA en Sui sse Romande
http: //www. i sei g. ch/cours/aff_cnnx. php?cnnx_nRef=97&cnnx_nLi en=2
r I SACA, I nformati on Systems Audi t and Control Associ ati on
http: //www. i saca. ch/ , http: //www. i saca. org/
r Banque Cantonal e Vaudoi se
http: //www. bcv. ch/
r Wi ki pedi a, L’ encycl opédi e l i bre
http: //www. wi ki pedi a. org/

Marc Barbezat ...
 Auditeur interne IT, Groupe Banque Cantonale Vaudoise  Représentant romand du comité de l'association suisse des auditeurs informatiques ISACA  Initiateur et coordinateur de la formation certifiante d'audit informatique CISA en Suisse romande  Créateur et responsable de la cellule d'intelligence économique pour la banque et la finance B3B.ch

http://www.bcv.ch/

http://www.isaca.ch/

http://www.iseig.ch/

Programme – Les questions

 Quels sont les objectifs d'un audit de projet ?

 L'audit: Définition, terminologie et principes
 Comment préparer et accompagner le déroulement d'un audit de projet ?  Quelles informations issues de l'audit peuvent être exploitées pour le pilotage du projet ?

 Présentation de l'approche d'audit Focalisé sur la gestion de projet

L'audit

Définition et contexte d'intervention Terminologie Construction du risque Gestion du risque versus contrôle du risque

indépendant et documenté permettant de recueillir des informations objectives pour déterminer dans quelle mesure les exigences satisfont aux référentiels du domaine concerné. Objectifs des audits:  Fournir au management l'assurance que les objectifs de contrôle relevant sont atteints  Identifier les faiblesses significatives dans ces contrôles  Documenter le risque connecté avec de telles faiblesses  Conseiller le management sur les mesures à implémenter . est un processus méthodique. exercé par un auditeur.Définition  L'audit  L'audit.

Définition  L'audit Pour l'auditeur:  L'audit est le processus permettant la vérification de l'information et déterminer la précision et la fiabilité des assertions du rapport – La vérification est le processus de collecte d'évidence suffisante permettant à l'auditeur de confirmer l'exactitude de ses constatations. in extenso de sa prise de position ● Les évidences d'audit sont toutes les informations qu'un auditeur utilise pour démontrer ses constats .

Code d'éthique professionnel  L'audit  Définition Conformité avec les standards et les meilleures pratiques Diligence et professionnalisme Servir l'intérêt des actionnaires de manière honnête et respectueuse des lois Respect de la confidentialité et des affaires privées Maintien des compétences Informer et communiquer de manière appropriée Eduquer et sensibiliser les actionnaires .

) – Audit de forensic (cas de fraude) – ... démarche standardisée.Types d'audit  L'audit  Définition Quelques exemples:  Audit financier  Audit opérationnel  Audit de conformité (lois. règlements)  Autres audits spécifiques: – Audit intégré (combinant les aspects financiers et opérationnels – Audit administratifs (évaluation de l'efficacité opérationnelle / productivité) – Audit du système d'information – Audit spécialisé (domaine spécifique.. ...

.Contexte d'intervention  L'audit ACTIONS Personnes et organisation objectifs Stratégie de l'entreprise   Processus et fonctionnement PLAN ACT CHECK DO  objectifs Pilotage d'un projet   objectifs .  Outils et technologie PRINCIPE D'INDEPENDANCE ..

. PRINCIPE D'INDEPENDANCE Opérationnel Focalisation sur les domaines à haut risque de la société    Conformité Processus d'audit Financier .Contexte d'intervention  L'audit  Contexte d'intervention ACTIONS objectifs Stratégie de l'entreprise PLAN ACT CHECK DO  objectifs Pilotage d'un projet   objectifs ..

..Principe de planification des audits  L'audit  Contexte d'intervention  Planification à long terme – Par exemple triennale – Lié à la planification stratégique de l'entreprise – Facteurs à considérer ● ● ● ● ● Changements de technologies Nouveau principes de contrôle Modification de processus opérationnels Nouvelles contraintes réglementaires .  Planification à court terme – Annuelle – Lié à la planification des ressources .

Terminologie  L'audit inhérent contrôle impact MENACES fréquence RISQUE détection efficacité détectif VULNERABILITE SYSTEME DE CONTRÔLE INTERNE design correctif CONTRÔLE préventif .

le design. un système. événement.… . situation. pouvant être à l'origine de dégâts ou de dommages sur un bien ou à une personne physique ou morale.  Vulnérabilité – Une vulnérabilité est une faille dans une procédure. les logiciels et applications. les systèmes. l'implémentation d'un contrôle qui peut être exploitée pour abuser la sécurité ou empêcher d'atteindre les objectifs de la société – Inhérente à l’environnement de la société.Menace et vulnérabilité  L'audit  Terminologie  Menace – Tout acte. Une vulnérabilité peut concerné les bâtiments et les locaux.

Risque  L'audit  Terminologie MENACE VULNERABILITE RISQUE I M P A C T VALEUR OPERATIONNELLE DE L'ACTIF FREQUENCE DE SURVENANCE .

Risque et contrôle  L'audit  Terminologie  Risque – Evènement qui est susceptible d’entraîner des dommages et/ou des pertes pour l’entreprise concernée  Contrôle – Les contrôles sont des politiques. des procédures. des pratiques et des structures organisationnelles désignées pour mettre à disposition une assurance raisonnable que les objectifs business seront atteints et que les événements non souhaités pourront être prévenus ou détectés et corrigés .

Système de contrôle interne SCI  L'audit  Terminologie  Système de contrôle interne – Ensemble des contrôle (méthodes et procédures) utilisés dans une société ● ● ● ● ● ● pour la protection des actifs de l'entreprises Comptabilité correcte et conforme Management efficace de la société Conformité avec la stratégie opérationnelle Prévention et la détection d'erreurs et d'irrégularités .. ..

Risque  L'audit  Terminologie MENACE VULNERABILITE    IMPACT VALEUR OPERATIONNELLE RISQUE FREQUENCE DE SURVENANCE SYSTEME DE CONTROLE INTERNE .

Construction du risque  L'audit Menaces Vulnérabilités Impact Fréquence de survenance Risque inhérent Préventif Détectif Correctif Risque de contrôle Processus d’appréciation des risques Risque de détection Risque final couverture d’audit (domaine. temps) . processus. technologie.

Préventif Détectif Correctif Processus d’appréciation des risques Risque de contrôle Risque de détection Risque final couverture d’audit (domaine..Risques inhérents  L'audit  Construction du risque Menaces Vulnérabilités Impact Fréquence de survenance Risque inhérent  Risque inhérent: – Type de produits ou de services – Situation de concurrence – Industrie – Développement technologique – Environnement informatique – . processus. technologie. temps) – Taille et états financiers de la sociétés ..

technologie.Risques de contrôle  L'audit  Construction du risque Menaces Vulnérabilités Impact Fréquence de survenance Risque inhérent  Culture d'entreprise  Activités / industries  Réorganisation.. acquisition. personnes et organisation  Gestion des changements  Manque de directives et de documentations  Ségrégation des tâches  . outsourcing  Staff.. processus. fusions. temps) . Préventif Détectif Correctif Processus d’appréciation des risques Risque de contrôle Risque de détection Risque final couverture d’audit (domaine.

. technologie. processus.Risques de détection  L'audit  Construction du risque Menaces Vulnérabilités Impact Fréquence de survenance Risque inhérent  Erreur non détectée  Indicateurs inefficaces  Planning d'audit inadéquat  Résultats d'audit interprété de manière incorrecte  Constats non pondérés de manière correcte  . Préventif Détectif Correctif Processus d’appréciation des risques Risque de contrôle Risque de détection Risque final couverture d’audit (domaine. temps) ..

L'approche audit ● Compréhension de l'environnement Identification des risques Identification des contrôles Appréciation des risques Communication des résultats Suivi des constatations ● ● ● ● ● .

Compréhension de l'environnement  L'approche d'audit Dimensions à considérer Personnes et organisation  Identifié?   Processus et fonctionnement  +  Défini?  Validé?  Documenté?  Implémenté?  Surveillé?  Revu? Outils et technologie .1.

standards et procédures – Mode d'emploi – ..  Observation – Mode opératoire – Responsabilité. limites d'activités – ...Techniques et outils  L'approche d'audit  1. Qualité de l'information et quantité d'information . Compréhension de l'environnement  Interviews – Direction – Personnes clés – Employés Processus de documentation  Revue de documentation (papier et électronique) – Politiques..

Quantité et qualité de l'information collectée  L'approche d'audit  1. etc. Compréhension de l'environnement  Pertinente – Alignée sur les objectifs de l'audit – En relation logique avec les constatations et les conclusions  Reliable – Valide (temps. domaine.) – Factuelle – Objective (interprétation)  Suffisante – Complète – Adéquate – Convaincante  Conduirait un autre auditeur aux mêmes conclusions . source indépendante.

Identification des risques  L'approche d'audit Menaces Vulnérabilités Impact Fréquence de survenance Risque inhérent Analyse de risques Qualitative Qualitative  Aide à la planification de l'évaluation des contrôles  Confirme les objectifs d'audit .2.

Gestion du rique vs contrôle du risque  L'audit  2. Identification des risques Analyse de risques Opérationnel Gestion de projet Temps Qualité Coûts Temps Audit Qualité Coûts Cohérence des risques identifiés Gestion des risques Controle des risques Cohérence de l'appréciation des risques    Principe d'indépendance .

) Normes..... ITsec... Identification des risques Normes assurance qualité (ISO.) Cohérence de l'identification et de l'appréciation des risques Normes de sécurité (ISO 27001...Référentiels et outils  L'approche d'audit  2. ITIL. COBIT.) Normes d'audit (NAS. PRINCE2 . référentiels métier . COSO..

Identification des risques .Référentiels et outils: COBIT  L'approche d'audit  2.

ISACA . Identification des risques  COBIT  4 domaines – Planning & Organisation – Acquisition & Implementation – Delivery & Support – Monitor & Evaluate  34 Macro-processus PO-10 Manage Projet Réf. COBIT: Control Objectives for Information and related Technology.Vue globale du référentiel  L'approche d'audit  2.

COBIT: Control Objectives for Information and related Technology. Identification des risques  COBIT Processus Objectifs business Objectifs IT Objectifs de contrôles Métriques et indicateurs Réf. ISACA .Processus PO 10 – Manage projects (1/3)  L'approche d'audit  2.

COBIT: Control Objectives for Information and related Technology.. enforced and integrated into the culture of the entire organisation. Réf. full life cycle project and programme methodology is implemented..Processus PO 10 – Manage projects (2/3)  L'approche d'audit  2. Identification des risques  COBIT  0 Non-existent – Project management techniques are not used and the organisation does not consider business impacts associated with project mismanagement and development project failures.. ISACA ..  .  5 Optimised – A proven. An ongoing initiative to identify and institutionalise best project management practices has been implemented. An .

Contrôle Fédérale des Finances) . Identification des risques  COBIT Réf.Processus PO 10 – Manage projects (3/3)  L'approche d'audit  2. Recommandations à l’égard des responsables de projet informatique.

3.SCI . Identification des contrôles  L'approche d'audit  RISQUE Contrôle préventif Contrôle détectif   Contrôle correctif Système de contrôle interne .

.. .. Identification des contrôles  PREVENTIF – Politiques. directives. les omissions. standards – Formation – Sensibilisation – Ségrégation des tâches – Logiciel de contrôle d'accès – .Contrôle préventif  L'approche d'audit  3. les actes malicieux  .. –  Détecte les problèmes avant qu'ils surviennent  Prévient les erreurs.

reconciliations – Messages d'erreur – Rapport – Indicateurs de tableau de bord – . les omissions. ..Contrôle détectif  L'approche d'audit  3..  Détecte et reporte le problème. Identification des contrôles  DETECTIF – Contrôle de totaux. tels que les erreurs.. les actes malicieux  ..

Contrôle correctif  L'approche d'audit  3..  Réduit l'impact de la menace  Corrige les erreurs découvertes par les contrôles détectifs  Modifie le déroulement opérationnel afin de réduite le nombre d'occurences futures d'un problème  .. ... Identification des contrôles  CORRECTIF – Plan de continuité – Procédure de backup – Procédure de « re-run » – .

au minimum 2 contrôles pour couvrir adéquatement un risque .Caractéristique du contrôle  L'approche d'audit  3. . Identification des contrôles  Identifier le contrôle et comprendre son fonctionnement – Design – Point de fonctionnement ● ● ● dans le temps... étape de la procédure. – Efficacité  Habituellement.

Appréciation des contrôles  L'approche d'audit  3. Identification des contrôles  Tests de conformité du contrôle – Détermine si les contrôles internes sont appliqués dans la manière décrite dans la documentations et en accord avec les intentions du management – Teste le processus  Tests de validation du contrôle – Confirme l'intégrité du résultat sur la base du fonctionnement réel du contrôle – Teste la valeur .

Identification des contrôles TESTS DE CONFORMITE INPUT TESTS DE VALIDATION INPUT    processus    processus SYSTEME DE CONTROLE INTERNE SYSTEME DE CONTROLE INTERNE OUTPUT OUTPUT .Appréciation des contrôles: Tests  L'approche d'audit  3.

Identification des contrôles   Risque Contrôles  .Niveau de contrôle  L'approche d'audit  3.

Communication des résultats  L'approche d'audit Comprendre l'environnement risques? oui controles? oui Tests de conformité efficaces? oui Moins de tests non non non Plus de tests Tests de validation Communiquer Rapporter .

édition 2004. Normes d'Audit Suisse.Communication Réf. Chambre fiduciaire suisse .

Communication  Communiquer – Constats et recommandations (importance et priori êÐe Ðs nBanda Coð_n Ð Ðtn Io°Ðñ»•n ê Ð) Ð o iq 0Ð .

Suivi des constatations  L'approche d'audit  S'assurer de la mise en oeuvre des recommandations selon les délais convenus PLAN ACT CHECK DO .

Conclusion .

...Conclusion  Pour le chef de projet. l'audit permet de – S'assurer de la bonne couverture de la gestion des risques – S'assurer de la bonne appréciation des risques du projet – Valider le design et l'efficacité des contrôles mis en place pour le pilotage du projet – Identifier les faiblesses éventuelles – Obtenir une nouvelle vision du projet (conseil / advisory) – Discuter / échanger avec un spécialiste « indépendant » – .

Merci pour votre attention Marc Barbezat Email: Site: Blog: marc.b3b.b3b.ch http://www.ch/ .ch/ http://blog.barbezat@b3b.

L’encyclopédie libre http://www.treuhand-kammer.iseig.bcv.pdf  Normes d'Audit Suisse.Références utiles  Recommandations des contrôles des finances à l’égard des projets informatiques http://www.org/ .ch/ .org/  Banque Cantonale Vaudoise http://www.ch/cours/aff_cnnx.php?cnnx_nRef=97&cnnx_nLien=2  ISACA.isaca.pdf  Formation CISA en Suisse Romande http://www.isaca.ch/pix/files/neu_ps_fr1.wikipedia.ch/files/Novena_V2_f. http://www.ch/  Wikipedia. Chambre fiduciaire http://www. Information Systems Audit and Control Association http://www.isaca.

Sign up to vote on this title
UsefulNot useful