NORME D’AUDIT DES SYSTÈMES D’INFORMATION IRRÉGULARITÉS ET ACTES ILLÉGAUX

DOCUMENT N° S9
Le caractère spécialisé de l’audit des systèmes d'information (SI) et les compétences requises pour effectuer un tel audit rendent nécessaire la mise en œuvre de normes spécifiquement adaptées à cette discipline. L’un des objectifs de l’ISACA® (Information Systems Audit and Control Association® – Association de l’audit et du contrôle des systèmes d’information) est de proposer des normes mondialement applicables conformes à son optique. Le développement et la promulgation de Normes d’audit des SI sont des pierres angulaires de la contribution de l’ISACA à la communauté des auditeurs. La structure des Normes d’audit des SI fournit de nombreux niveaux d’assistance : Les Normes définissent des exigences obligatoires en matière d’audit des SI et de reporting. Elles informent : – Les auditeurs des SI sur le niveau minimum de performances requis pour satisfaire aux responsabilités stipulées dans le Code d’éthique professionnelle de l’ISACA – Les dirigeants d’entreprise et les autres parties concernées sur les attentes de la profession en matière d’agissements des praticiens ® ® – Les titulaires de la certification CISA (Certified Information Systems Auditor – Auditeur informatique certifié) sur les exigences de leur charge. Toute incapacité à mettre en œuvre ces normes peut entraîner une enquête sur la conduite du titulaire de la certification CISA par le Conseil d’administration de l’ISACA ou tout autre Comité approprié et, en définitive, des actions disciplinaires. Les Directives apportent des instructions sur l’application des Normes d’audit des SI. L’auditeur des SI doit s’y référer au moment de mettre en œuvre les normes, faire appel à son jugement professionnel avant de les appliquer et se préparer à justifier tout écart vis-àvis d’elles. Les Directives d’audit des SI visent à fournir de plus amples informations sur la manière de se conformer aux normes applicables. Les Procédures constituent des exemples de méthodes qu’un auditeur des SI peut appliquer lors d’une mission d’audit. La documentation des procédures contient des informations sur la mise en œuvre des normes d’audit des SI, mais ne fixe pas d’obligations. Les Procédures d’audit des SI visent à fournir de plus amples informations sur la manière de se conformer aux normes applicables. Les ressources du COBIT® constituent un modèle de bonnes pratiques. La structure du COBIT précise : « Les dirigeants ont pour responsabilité de préserver l’ensemble des actifs de l’entreprise. Pour exercer cette responsabilité et atteindre ses objectifs, les dirigeants doivent établir un système de contrôle interne adapté. » Le référentiel COBIT fournit un ensemble détaillé de contrôles et de techniques de contrôle destiné aux environnements de gestion des systèmes d’information. Dans le COBIT, le choix des éléments les plus pertinents pour un audit particulier est basé sur la sélection de processus TI spécifiques et sur la prise en compte des critères d’information du COBIT. Comme le précise la structure du COBIT, chacun des éléments suivants est organisé par processus de gestion TI. Le modèle COBIT est destiné aux dirigeants et aux responsables des TI, mais aussi aux auditeurs des SI. Par conséquent, son utilisation permet de comprendre les objectifs de l’entreprise, de faire connaître les meilleures pratiques et d’émettre des recommandations autour d’une référence normative comprise et respectée de tous. Le COBIT inclut : Des objectifs de contrôle — Déclarations génériques détaillées et de haut niveau pour un contrôle de qualité minimale Des pratiques de contrôle — Justifications pratiques et instructions de mise en œuvre pour les objectifs de contrôle Des directives d’audit — Instructions relatives à chaque zone de contrôle sur la manière de comprendre les problématiques, d’évaluer chaque contrôle, de mesurer la conformité et de quantifier le risque de contrôles non satisfaisants Des directives de gestion — Instructions sur la manière d’évaluer et d’améliorer les performances des processus TI à l’aide de la métrologie, de modèles de maturité et de facteurs de succès essentiels. Elles constituent une structure orientée gestion pour l’autoévaluation des contrôles continus et proactifs spécifiquement centrée sur : – La mesure des performances — Jusqu’à quel point la fonction TI répond-elle aux besoins de l’entreprise ? Les directives de gestion permettent de mettre en œuvre des ateliers d’auto-évaluation, mais aussi d’assurer l’application par les dirigeants de procédures de vérification et d’amélioration continues dans le cadre d’un plan de gouvernance TI. – Définition du profil des contrôles TI — Quels sont les processus TI importants ? Quels sont les facteurs de succès essentiels d’un contrôle ? – Sensibilisation — Quels sont les risques que les objectifs ne soient pas atteints ? – Étalonnage concurrentiel — Que font les autres ? Comment mesurer et comparer les résultats ? Les directives de gestion proposent des exemples de métrologie au service de l’évaluation des performances TI en entreprise. Les indicateurs d’objectifs essentiels soulignent et mesurent les résultats des processus TI et les indicateurs de performances essentiels évaluent l’efficacité des processus en quantifiant les éléments favorables. Les modèles et attributs de maturité assurent l’évaluation des capacités et l’étalonnage concurrentiel. Ils aident les dirigeants à mesurer les capacités de contrôle, mais aussi à identifier les besoins de vérification et les stratégies d’amélioration. Un glossaire est à disposition sur le site Internet de l’ISACA à l’adresse www.isaca.org/glossary. Dans ce glossaire, les termes « audit » et « review » sont interchangeables. Exclusion de responsabilité : L’ISACA a conçu ces directives comme le niveau minimum de performances requis pour satisfaire aux responsabilités stipulées dans son Code d’éthique professionnelle. L’ISACA ne saurait garantir que l’utilisation de ce produit constitue une assurance de résultat. La présente publication ne saurait être considérée comme incluant l’ensemble des procédures et tests adaptés ou comme excluant d’autres procédures et tests susceptibles de conduire raisonnablement à des résultats similaires. Au moment de

évaluations et conclusions liés aux irrégularités matérielles et aux actes illégaux signalés à la direction. planifications. Avant d’éditer ses documents. Il peut également envisager de se retirer de sa mission. Par exemple. dévoiler à l’auditeur des SI tout résultat d’une évaluation des risques indiquant une possible anomalie significative issue d’une irrégularité ou d’un acte illégal . S9 – Irrégularités et actes illégaux Introduction 01 Les Normes de l’ISACA contiennent des principes de base et des procédures essentielles obligatoires. 11 Si l’auditeur des SI identifie une irrégularité matérielle ou un acte illégal. des autorités de réglementation et autres. en particulier dans les déclarations de la direction.déterminer la propriété d’une procédure ou d’un test spécifique. 04 L’auditeur des SI doit conserver une attitude de scepticisme professionnel au cours de l’audit. 06 Il doit collecter des éléments probants suffisants et pertinents pour déterminer si la direction ou d’autres personnes dans l’entreprise ont connaissance d’irrégularités ou d’actes illégaux avérés. Envoyer les suggestions par courrier électronique (standards@isaca. 05 L’auditeur des SI doit comprendre l’entreprise et son environnement. 02 La présente Norme ISACA a pour objectif l’établissement et la promulgation d’instructions concernant les irrégularités et les actes illégaux que l’auditeur des SI doit prendre en compte durant le processus d’audit. il doit avertir en temps utile le niveau hiérarchique approprié de la direction. Il doit admettre la possibilité que des anomalies significatives dues à des irrégularités ou des actes illégaux puissent exister. voire aux personnes chargées de la gouvernance ou aux autorités de réglementation. 13 L’auditeur des SI doit avertir le niveau hiérarchique approprié de la direction et les personnes chargées de la gouvernance en cas de faiblesse matérielle décelée dans la conception et la mise en œuvre des contrôles internes. il doit évaluer si elle constitue un signe d’irrégularité ou d’acte illégal. Page 2 – Norme d’audit des SI – Irrégularités et actes illégaux . l’auditeur des SI doit envisager les implications dans d’autres aspects de l’audit. des ex-collaborateurs. le Comité de normalisation publie des exposés-sondages à l’échelle internationale pour recueillir les avis du grand public. indiqués en caractères gras. le Comité de normalisation consulte également des personnalités dont l’expertise ou l’intérêt dans le domaine abordé est susceptible d’apporter un éclairage utile. ceci afin de prévenir et de repérer les irrégularités et les actes illégaux qui auront été portés à sa connaissance durant l’audit. Directives et Procédures d’audit des SI. Dans le cadre de son programme de développement continu. ou plus souvent si la mission d’audit le prévoit. ou s’il obtient des informations sur des faits de ce type. 12 Si l’auditeur des SI identifie une irrégularité matérielle ou un acte illégal impliquant la direction ou des collaborateurs de l’entreprise qui jouent un rôle important dans les contrôles internes. informer l’auditeur des SI des irrégularités ou actes illégaux touchant à l’entreprise dont elle a pris connaissance et liés à : – la direction – les personnes qui jouent un rôle important dans les contrôles internes informer l’auditeur des SI des irrégularités ou actes illégaux allégués ou suspectés touchant à l’entreprise dont elle a pris connaissance et révélés par des collaborateurs. Si tel est le cas. 15 L’auditeur des SI doit documenter l’ensemble des communications. 09 Lorsque l’auditeur des SI identifie une anomalie. 07 Lorsqu’il met en œuvre les procédures d’audit pour comprendre l’entreprise et son environnement. quelle que soit sa propre évaluation du risque en la matière. à l’attention du directeur de la recherche er normative et des relations avec les universités. il doit prendre en compte les responsabilités juridiques et professionnelles applicables en pareil cas. par télécopie (+1 847 253 1443) ou par courrier postal (adresse à la fin de ce document) au siège international de l’ISACA. ainsi que les instructions associées. il doit avertir en temps utile les personnes chargées de la gouvernance. Norme 03 Pendant la planification et l’exécution du contrôle visant à réduire les risques d’audit au minimum. Le Comité de normalisation de l’ISACA s’engage à réaliser une vaste consultation pour préparer les Normes. Date de publication du présent document : 1 juillet 2005. résultats. 14 Si l’auditeur des SI rencontre des circonstances exceptionnelles qui affectent sa capacité à poursuivre l’audit en raison d’une anomalie significative ou d’un acte illégal. La direction doit : reconnaître sa responsabilité dans l’élaboration et la mise en œuvre de contrôles internes visant à prévenir et à repérer les irrégularités ou les actes illégaux . suspectés ou allégués. aux autorités de réglementation et autres. le Comité de normalisation encourage les membres de l’ISACA et toutes les parties intéressées à lui signaler les problèmes émergents qui nécessitent l’établissement de nouvelles normes. l’auditeur des SI doit prendre en compte la possibilité d’irrégularités et d’actes illégaux. il peut se demander s’il est soumis à l’obligation de signaler ces circonstances aux commanditaires de sa mission. aux personnes chargées de la gouvernance. Si nécessaire. 08 L’auditeur des SI doit élaborer et appliquer des procédures visant à vérifier la pertinence des contrôles internes et le risque de voir la direction passer outre ces contrôles. le professionnel du contrôle doit faire appel à son propre jugement professionnel en fonction des circonstances.org). 10 Au minimum une fois par an. la direction doit remettre une déclaration écrite à l’auditeur des SI. des systèmes impliqués ou de l’environnement technologique. notamment ses contrôles internes. l’auditeur des SI doit tenir compte des relations inhabituelles ou inattendues susceptibles d’indiquer un risque d’anomalies significatives résultant d’irrégularités ou d’actes illégaux.

21 Se référer aux instructions suivantes pour plus d’informations sur les irrégularités et les actes illégaux : Directive d’audit des SI n° G5. l’auditeur des SI doit vérifier l’absence d’anomalies significatives dues à des irrégularités ou des actes illégaux. 20 Pour évaluer le risque d’irrégularités matérielles et d’actes illégaux. PCP Brisbane City Council. il n’est pas possible à l’auditeur des SI d’obtenir une certitude absolue. CISA. CPA AmerisourceBergen. Australie John G. CISA. aux déclarations de la direction et aux approbations des contrôles internes . pour obtenir une définition de ce qui constitue une irrégularité et un acte illégal. États-Unis Thomas Thompson. les actes illégaux peuvent s’accompagner de manœuvres complexes visant à dissimuler les faits ou les fausses déclarations intentionnelles à l’auditeur des SI.. DS11 et PO6 Loi « Sarbanes-Oxley Act » de 2002 Loi « Foreign Corrupt Practices Act » de 1977 Date de prise d’effet er 22 La présente Norme ISACA s’appliquera à tous les audits de systèmes d’information débutant à compter du 1 septembre 2005 inclus. Meera. Italie Christina Ledesma.1545 Télécopie : +1. CISM. CFE. Sergio Fleginsky.847.D. ACS. Uruguay Andrew MacLeod.org Norme d’audit des SI – Irrégularités et actes illégaux – Page 3 . Association de l’audit et du contrôle des systèmes d’information 2004-2005 Comité de normalisation Président. ISCA Ikanos Communications. à l’évaluation par la direction du risque d’irrégularités et d’actes illégaux. 18 Le risque de ne pas déceler une anomalie significative due à un acte illégal est plus important que celui de ne pas déceler une anomalie significative due à une irrégularité ou une erreur. aux informations obtenues après demande de renseignements auprès de la direction . 19 L’auditeur des SI doit s’appuyer sur sa connaissance et son expérience de l’entreprise pour réaliser l’audit. CA. FCA. CISA Ernst & Young. Suite 1010 Rolling Meadows. aux procédures que la direction a mises en œuvre pour identifier ce risque et aux contre-mesures qu’elle a prévues le cas échéant. l’auditeur des SI et l’équipe de mission doivent discuter de la sensibilité de l’entreprise aux irrégularités et aux actes illégaux. CISA. Ott. Émirats Arabes Unis © Copyright 2005 Information Systems Audit and Control Association 3701 Algonquin Road. Inde Peter Niblett. CISA. DS9.847. par exemple l’utilisation de son jugement. En effet. 17 Dans la limite du raisonnable.isaca. CIA. CISM. Uruguay Svein Aldal Aldal Consulting. l’auditeur des SI ne doit pas occulter complètement toute expérience passée.Commentaire 16 L’auditeur des SI doit se référer à la Directive d’audit des SI n° G19.253. Lorsqu’il demande des renseignements et applique les procédures d’audit. Les éléments probants mis à la disposition de l’auditeur des SI pendant le contrôle doivent être de nature « convaincante » plutôt que « concluante ». Irrégularités et actes illégaux. mais doit faire montre d’un certain scepticisme professionnel. IL 60008 États-Unis Téléphone : +1. CIA. CQA Office of the Massachusetts State Auditor. CISSP Tangerine Consulting. CIA. à toute autre information fiable obtenue au cours de l’audit . CISA.1443 E-mail : standards@isaca. Charte d’audit Structure COBIT. l’auditeur des SI doit faire appel : à sa connaissance et son expérience de l’entreprise (notamment son expérience de l’honnêteté et de l’intégrité de la direction et des personnes chargées de la gouvernance) . États-Unis Ravi Muthukrishnan. DS5. CISA. États-Unis Claudio Cilli. CISM Citibank NA Sucursal. L’auditeur des SI ne doit pas se satisfaire d’éléments probants qui ne seraient pas au minimum convaincants au motif qu’il considère la direction et les personnes chargées de la gouvernance comme honnêtes et intègres. CWA Microsoft Corporation. CGFM. Dans le cadre du processus de planification et au cours de l’audit lui-même. Norvège John Beveridge. En raison de divers facteurs.253. CISM.org Site Web : www. CISA. FCPA. CISA ICI Paints. objectifs de contrôle DS3. CISM. l’étendue de l’audit et les limites inhérentes aux contrôles internes. CISM. Australie V. CISA. FCPA WHK Day Neilson. Ph.

Sign up to vote on this title
UsefulNot useful