Mon Manuel CISA FR

Prévia do material em texto

<p>Manuel d’examen 27 e édition</p><p>1 | P a g e</p><p>By BlackHavok</p><p>Manuel d’examen 27 e édition</p><p>2 | P a g e</p><p>By BlackHavok</p><p>À propos d'ISACA</p><p>Maintenant dans son 50 e anniversaire, ISACA® ( isaca.org) est une association mondiale</p><p>qui aide les particuliers et les entreprises à exploiter le potentiel positif de la</p><p>technologie. Le monde d'aujourd'hui est propulsé par l'information et la technologie, et</p><p>l'ISACA fournit aux professionnels les connaissances, les diplômes, l'éducation et la</p><p>communauté pour faire avancer leur carrière et transformer leurs organisations. Parmi</p><p>ces références, ISACA fait progresser et valide les compétences et les connaissances</p><p>essentielles à l'entreprise par le biais du Certified Information Systems Auditor®</p><p>(CISA®), mondialement reconnu, du Certified in Risk and Information Systems Control</p><p>™ (CRISC ™), du Certified Information Security Manager® (CISM®) et certifié dans la</p><p>gouvernance des informations d'identification Enterprise IT® (CGEIT®). L'ISACA</p><p>s'appuie sur l'expertise de ses 460 000 professionnels engagés - dont ses 140 000</p><p>membres - dans les domaines de l'information et de la cybersécurité, de la gouvernance,</p><p>de l'assurance, du risque et de l'innovation, ainsi que de sa filiale de performance</p><p>d'entreprise, le CMMI® Institute, pour contribuer à faire progresser l'innovation grâce à</p><p>la technologie. ISACA est présente dans plus de 188 pays, dont plus de 220 sections</p><p>dans le monde et des bureaux aux États-Unis et en Chine.</p><p>Avertissement</p><p>ISACA a conçu et créé CISA® Manuel d’examen 27 e édition principalement comme une</p><p>ressource éducative pour aider les personnes qui se préparent à passer l'examen de</p><p>certification CISA. Il a été produit indépendamment de l'examen CISA et du comité de</p><p>certification CISA, qui n'a aucune responsabilité quant à son contenu. Des copies</p><p>d'examens passés ne sont pas rendues publiques et n'ont pas été mises à la disposition</p><p>de l'ISACA pour la préparation de cette publication. ISACA ne fait aucune représentation</p><p>ou garantie que ce soit en ce qui concerne ces publications ou d'autres publications ISACA</p><p>garantissant le passage des candidats à l'examen CISA.</p><p>Réserve de droits</p><p>© 2019 ISACA. Tous les droits sont réservés. Aucune partie de cette publication ne peut</p><p>être utilisée, copiée, reproduite, modifiée, distribuée, affichée, stockée dans un système</p><p>de recherche ou transmise sous quelque forme que ce soit (électronique, mécanique,</p><p>photocopie, enregistrement ou autre) sans l'autorisation écrite préalable de l'ISACA .</p><p>ISACA</p><p>1700 E. Golf Road, bureau 400</p><p>Schaumburg, IL 60173 États-Unis</p><p>Tél: +1.847.660.5505</p><p>Télécopie: +1.847.253.1755</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://isaca.org/</p><p>Manuel d’examen 27 e édition</p><p>3 | P a g e</p><p>By BlackHavok</p><p>Contactez-nous: https://support.isaca.org Site</p><p>Web: www.isaca.org</p><p>Participez aux forums en ligne de l'ISACA: https://engage.isaca.org/onlineforums</p><p>Twitter: www.twitter.com/ISACANews</p><p>LinkedIn: www.linkd.in/ISACAOfficial</p><p>Facebook: www.facebook.com/ISACAHQ</p><p>Instagram: www.instagram.com/isacanews</p><p>ISBN 978-1-60420-767-5</p><p>Manuel d'examen CISA® 27 e édition</p><p>CRISC est une marque commerciale / marque de service d'ISACA. La marque a été</p><p>demandée ou enregistrée dans des pays du monde entier.</p><p>CISA Review Manual 27 e édition</p><p>L'ISACA est heureuse d'offrir la 27 e édition du Manuel de révision CISA® . Le but de ce</p><p>manuel est de fournir aux candidats au titre de vérificateur certifié des systèmes</p><p>d'information (CISA) les informations techniques et les documents de référence pour les</p><p>aider à se préparer à l'examen du vérificateur certifié des systèmes d'information.</p><p>Le contenu de ce manuel est basé sur les pratiques professionnelles CISA, disponibles</p><p>sur www.isaca.org/cisajobpractice . Cette pratique professionnelle est la base de</p><p>l'examen CISA. Le développement de la pratique professionnelle implique des milliers</p><p>de personnes certifiées CISA et d'autres professionnels de l'industrie dans le monde</p><p>entier qui servent de membres de comité, de participants aux groupes de discussion,</p><p>d'experts en la matière et de répondants au sondage.</p><p>Le Manuel de révision CISA® est mis à jour pour suivre le rythme des changements</p><p>rapides dans les professions d'audit, de contrôle et de sécurité des systèmes</p><p>d'information (SI). Comme pour les manuels précédents, la 27 e édition est le résultat</p><p>des contributions de nombreuses autorités qualifiées qui ont généreusement donné leur</p><p>temps et leur expertise. Nous respectons et apprécions leurs contributions et espérons</p><p>que leurs efforts apporteront une grande valeur éducative aux lecteurs du Manuel de</p><p>révision CISA® .</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=https://support.isaca.org/</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=https://engage.isaca.org/onlineforums</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.twitter.com/ISACANews</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.linkd.in/ISACAOfficial</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.facebook.com/ISACAHQ</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.instagram.com/isacanews</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/cisajobpractice</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/cisajobpractice</p><p>Manuel d’examen 27 e édition</p><p>4 | P a g e</p><p>By BlackHavok</p><p>La certification a eu un impact positif sur de nombreuses carrières; la désignation CISA</p><p>est respectée et reconnue par des organisations du monde entier. Nous vous souhaitons</p><p>de réussir l'examen CISA. Votre engagement à poursuivre la certification leader en audit,</p><p>assurance, contrôle et sécurité des SI est exemplaire.</p><p>Remerciements</p><p>La 27 e édition du Manuel de révision CISA® est le résultat des efforts collectifs de</p><p>nombreux bénévoles. Des membres de l'ISACA issus des professions mondiales de</p><p>l'audit, du contrôle et de la sécurité des SI y ont participé, offrant généreusement leur</p><p>talent et leur expertise. Cette équipe internationale a fait preuve d'un esprit et d'un</p><p>altruisme qui sont devenus la marque de fabrique des contributeurs à ce manuel. Leur</p><p>participation et leur perspicacité sont vraiment appréciées.</p><p>Remerciements particuliers à Pamela J. Nigro, CISA, CGEIT, CRISC, directrice principale</p><p>GRC, Information Security, Health Care Service Corporation, États-Unis ; Deborah A.</p><p>Oetjen, États-Unis ; et Terry Trsar, USA, pour leur aide dans le développement du</p><p>contenu de la mise à jour.</p><p>Contributeurs</p><p>Ian Cooke, CISA, CRISC, CGEIT, CIPT, évaluateur et exécutant COBIT,</p><p>CFE, CPTE, DipFM, Fondation ITIL, Six Sigma Green</p><p>Ceinture, An Post, Irlande</p><p>Zou Guodong, CISA, CISM, CGEIT, CRISC, Chine</p><p>Rudy Matiska, CISA, PwC, États-Unis</p><p>Patricia North-Martino, CISA, MSCIS, États-Unis</p><p>Pavel Strongin, CISA, CISM, CPA, États-Unis Lisa</p><p>Fengping Yip, CISA, États-Unis</p><p>Réviseurs experts</p><p>Sanjiv Agarwala, MD, CISA, CISM, CGEIT, Oxygen Consulting Services Pvt Ltd, Inde</p><p>Akinwale Akindiya, CISA, ACA, Royalway Consulting, Nigéria</p><p>Sunil Bhaskar Bakshi CISA, CISM, CGEIT, CRISC, AMIIB, BS 25999 LI,</p><p>CEH, CISSP, ISO 27001 LA, MCA, PMP, Inde</p><p>Konstantinos Baliotis, CISA, Grèce</p><p>Zsolt Bederna, CISA, CISM, CGEIT, C | EH, CISSP, ITIL 2011 Foundation,</p><p>Fondation TOGAF 9, Hongrie</p><p>Anupma Bhatia, CISA, CRISC, États-Unis</p><p>Ishwar Chandra, CISA, FCA, IC & Associates, comptables agréés, Inde</p><p>Mouhamed Diop, CISA, CISM, CGEIT, CRISC, Sénégal</p><p>Ahmad ElGhazouly, DBA, CISA, CISM, CRISC, ACP, PBA, PMP, RMP, TOGAF, PGESCo, Égypte</p><p>Marco Ermini, PhD, CISA, CISM, CISSP, ITILv3, GCIH, RCSS, Allemagne</p><p>Shigeto Fukuda, CISA, EYACC, Japon</p><p>réside à un niveau plus abstrait.</p><p>D. L' applicabilité des normes, directives et procédures d'audit des SI est</p><p>universelle pour toute mission d'audit et n'est pas influencée par des</p><p>problèmes à court et à long terme.</p><p>1-7 A. Les examens informels par les pairs ne seraient pas aussi efficaces car ils ne</p><p>permettraient pas nécessairement d'identifier et d'évaluer tous les problèmes de</p><p>contrôle.</p><p>B. Les ateliers animés fonctionnent bien dans les petites unités</p><p>commerciales.</p><p>C. Les récits de flux de processus ne seraient pas aussi efficaces car ils ne</p><p>permettraient pas nécessairement d'identifier et d'évaluer tous les</p><p>problèmes de contrôle.</p><p>D. Les diagrammes de flux de données ne seraient pas aussi efficaces car ils ne</p><p>permettraient pas nécessairement d'identifier et d'évaluer tous les</p><p>problèmes de contrôle.</p><p>1-8 A. La définition des livrables d'audit dépend de la compréhension approfondie des</p><p>objectifs et du but de l'entreprise.</p><p>B. La finalisation de la portée et des objectifs de l'audit dépend de la</p><p>compréhension approfondie des objectifs et du but de</p><p>l'entreprise.</p><p>C. La première étape de la planification de l'audit consiste à acquérir une</p><p>compréhension de la mission, des objectifs et du but de l'entreprise</p><p>- qui, à son tour, identifie les politiques, normes, directives,</p><p>procédures et structure organisationnelle pertinentes.</p><p>D. L' élaboration de l'approche ou de la stratégie d'audit dépend de la</p><p>compréhension approfondie des objectifs et du but de</p><p>l'entreprise.</p><p>1-9 A. La planification de l'audit nécessite une approche basée sur les</p><p>risques.</p><p>B. L'importance relative se rapporte aux faiblesses ou absences potentielles des</p><p>contrôles lors de la planification d'une mission spécifique, et si de telles</p><p>faiblesses ou absences des contrôles pourraient entraîner une déficience</p><p>importante ou une faiblesse importante.</p><p>C. Le suivi de la fraude concerne l'identification des transactions et des schémas</p><p>liés à la fraude et peut jouer un rôle dans la planification de l'audit, mais</p><p>uniquement en ce qui concerne le risque organisationnel.</p><p>D. Le caractère suffisant des éléments probants se rapporte à l'évaluation du</p><p>caractère suffisant des éléments probants obtenus pour étayer les</p><p>conclusions et atteindre les objectifs spécifiques de la mission.</p><p>1-10 A. Les contrôles préventifs sont ceux qui évitent les problèmes avant qu'ils ne</p><p>surviennent. Les bandes de sauvegarde ne peuvent pas être utilisées pour éviter</p><p>Manuel d’examen 27 e édition</p><p>34 | P a g e</p><p>By BlackHavok</p><p>d'endommager les fichiers et ne peuvent donc pas être classées comme contrôle</p><p>préventif.</p><p>B. Les contrôles de gestion modifient les systèmes de traitement pour minimiser</p><p>la répétition du problème. Les bandes de sauvegarde ne modifient pas les</p><p>systèmes de traitement et, par conséquent, ne correspondent pas à la</p><p>définition d'un contrôle de gestion.</p><p>C. Un contrôle correctif permet de corriger ou de minimiser l'impact d'un</p><p>problème. Les bandes de sauvegarde peuvent être utilisées pour</p><p>restaurer les fichiers en cas d'endommagement des fichiers,</p><p>réduisant ainsi l'impact d'une interruption.</p><p>D. Les contrôles de détection aident à détecter et à signaler les problèmes lorsqu'ils</p><p>surviennent. Les bandes de sauvegarde ne permettent pas de détecter les</p><p>erreurs.</p><p>PARTIE A: PLANIFICATION</p><p>1.0 INTRODUCTION</p><p>Les audits sont effectués pour diverses raisons. Un audit peut aider une organisation à</p><p>assurer un fonctionnement efficace, à confirmer sa conformité aux différentes</p><p>réglementations et à confirmer que l'entreprise fonctionne bien et est prête à relever les</p><p>défis potentiels. Un audit peut également aider à obtenir une assurance sur le niveau de</p><p>protection disponible pour les actifs informationnels. Plus important encore, un audit peut</p><p>garantir aux parties prenantes le bien-être financier, opérationnel et éthique de</p><p>l'organisation. Les audits des SI soutiennent tous ces résultats, avec un accent particulier</p><p>sur les systèmes d'information et connexes dont la plupart des entreprises et des</p><p>institutions publiques dépendent pour leur avantage concurrentiel.</p><p>L'audit SI est l'examen formel et / ou le test des systèmes d'information pour déterminer</p><p>si:</p><p>• Les systèmes d'information sont conformes aux lois, réglementations, contrats et / ou</p><p>directives de l'industrie applicables.</p><p>• Les systèmes d'information et les processus connexes sont conformes aux critères de</p><p>gouvernance et aux politiques et procédures connexes et pertinentes.</p><p>• Les données et informations du SI présentent des niveaux appropriés de confidentialité,</p><p>d'intégrité et de disponibilité.</p><p>• Les opérations du SI sont réalisées de manière efficace et les objectifs d'efficacité sont</p><p>atteints.</p><p>Au cours du processus d'audit, un auditeur du SI examine le cadre de contrôle, recueille</p><p>des éléments probants, évalue les forces et les faiblesses des contrôles internes sur la</p><p>base des éléments probants et prépare un rapport d'audit qui présente les faiblesses et</p><p>des recommandations de correction de manière objective aux parties prenantes.</p><p>De manière générale, le processus d'audit type se compose de trois phases principales</p><p>( figure 1.1 ):</p><p>• Planification</p><p>• Travail sur le terrain / documentation</p><p>Manuel d’examen 27 e édition</p><p>35 | P a g e</p><p>By BlackHavok</p><p>• Rapports / suivi</p><p>Source: ISACA, Audit des systèmes d'information: outils et techniques - Création de</p><p>programmes d'audit , États-Unis, 2016</p><p>Ces phases principales peuvent être encore décomposées en sous-phases; par exemple,</p><p>la phase de reporting peut être décomposée en rédaction et publication de rapports, suivi</p><p>des problèmes et clôture d' audit . L'organisation et la convention de dénomination de</p><p>ces phases peuvent être personnalisées tant que les procédures et les résultats sont</p><p>conformes aux normes d'audit applicables telles que l'ITAF.</p><p>Remarque: Les systèmes d'information sont définis comme la combinaison des</p><p>activités stratégiques, managériales et opérationnelles et des processus connexes</p><p>impliqués dans la collecte, le traitement, le stockage, la distribution et l'utilisation de</p><p>l'information et de ses technologies connexes. Les systèmes d'information se</p><p>distinguent des technologies de l'information (TI) en ce qu'un système d'information</p><p>comporte un composant informatique qui interagit avec les composants du</p><p>processus. L'informatique est définie comme le matériel, les logiciels, les</p><p>communications et les autres installations utilisées pour entrer, stocker, traiter,</p><p>transmettre et produire des données sous quelque forme que ce soit. Par conséquent,</p><p>les termes «IS» et «IT» seront utilisés conformément à ces définitions tout au long</p><p>du manuel.</p><p>1.1 LES NORMES, LIGNES DIRECTRICES ET CODES D'ÉTHIQUE D'AUDIT</p><p>La crédibilité de toute activité d'audit des SI est largement déterminée par son respect</p><p>des normes communément admises. Les éléments fondamentaux de l'audit des SI sont</p><p>définis et fournis dans les normes et lignes directrices d'audit et d'assurance des SI de</p><p>l'ISACA. Le code d'éthique professionnelle de l'ISACA guide la conduite professionnelle</p><p>et personnelle des membres de l'ISACA et des titulaires de certification.</p><p>1.1.1 ISACA EST DES NORMES D'AUDIT ET D'ASSURANCE</p><p>Les normes d'audit et d'assurance des SI ISACA définissent les exigences obligatoires</p><p>pour l'audit et les rapports des SI et informent une variété de publics d'informations</p><p>critiques, telles que les suivantes:</p><p>• Pour les auditeurs SI, le niveau minimum de performance acceptable requis pour</p><p>s'acquitter des responsabilités professionnelles définies dans le Code d'éthique</p><p>professionnelle ISACA</p><p>Manuel d’examen 27 e édition</p><p>36 | P a g e</p><p>By BlackHavok</p><p>• Pour la direction et les autres parties intéressées, les attentes de la profession</p><p>concernant le travail des praticiens.</p><p>• Pour les titulaires du titre CISA, leurs exigences de performance professionnelle.</p><p>Le cadre des normes d'audit et d'assurance ISAC IS prévoit plusieurs niveaux de</p><p>documents:</p><p>• Les normes définissent les exigences obligatoires pour l'audit, l'assurance et les</p><p>rapports du SI.</p><p>• Les lignes directrices fournissent des conseils sur l'application des normes d'audit et</p><p>d'assurance des SI. L'auditeur du SI doit les prendre en considération pour déterminer</p><p>comment réaliser la mise en œuvre des normes ci-dessus, faire appel à un jugement</p><p>professionnel dans leur application et être prêt à justifier tout écart par rapport aux</p><p>normes.</p><p>• Les outils et techniques fournissent des exemples de processus qu'un auditeur SI peut</p><p>suivre dans une mission d'audit. Les documents sur les outils et techniques fournissent</p><p>des informations sur la façon de respecter les normes lors de la réalisation des travaux</p><p>d'audit des SI, mais ne fixent pas d'exigences.</p><p>Les normes d'audit et d'assurance ISAC IS sont divisées en trois catégories: général,</p><p>performance et reporting:</p><p>• Général - Fournit les principes directeurs en vertu desquels la profession d'assurance</p><p>des SI opère. Ils s'appliquent à la conduite de toutes les missions et traitent de</p><p>l' éthique, de l'indépendance, de l'objectivité et de la diligence raisonnable d'un</p><p>auditeur SI ainsi que des connaissances, des compétences et des compétences.</p><p>• Performance - Gérer la conduite de la mission, comme la planification et la</p><p>supervision, la portée, les risques et l'importance relative, la mobilisation des</p><p>ressources, la supervision et la gestion des missions, les éléments probants et</p><p>d'audit,</p><p>et l'exercice du jugement professionnel et de la diligence requise</p><p>• Rapports - Abordez les types de rapports, les moyens de communication et les</p><p>informations communiquées</p><p>1.1.2 ISACA EST DES LIGNES DIRECTRICES D'AUDIT ET D'ASSURANCE</p><p>Les lignes directrices d'audit et d'assurance ISACA IS fournissent des conseils et des</p><p>informations supplémentaires sur la manière de se conformer aux normes ISACA IS</p><p>d'audit et d'assurance. Un auditeur SI doit faire ce qui suit:</p><p>• Les considérer pour déterminer comment mettre en œuvre les normes d'audit et</p><p>d'assurance ISACA.</p><p>• Faites preuve de jugement professionnel en les appliquant à des audits spécifiques.</p><p>• Être en mesure de justifier tout écart par rapport aux normes d'audit et d'assurance</p><p>ISACA.</p><p>Remarque: Le candidat CISA ne devrait pas connaître la norme ISACA et la</p><p>numérotation des directives spécifiques ni mémoriser une norme ou une directive</p><p>d'audit et d'assurance ISACA IS spécifique. Cependant, l'examen testera la capacité</p><p>d'un candidat CISA à appliquer ces normes et directives dans le cadre du processus</p><p>Manuel d’examen 27 e édition</p><p>37 | P a g e</p><p>By BlackHavok</p><p>d'audit. Les normes ISACA d'audit et d'assurance IS et les directives ISACA d'audit et</p><p>d'assurance IS sont des documents évolutifs. Les documents les plus récents peuvent</p><p>être consultés sur: www.isaca.org/standards et www.isaca.org/guidelines .</p><p>1.1.3 CODE D'ÉTHIQUE PROFESSIONNELLE ISACA</p><p>Le code d'éthique professionnelle de l'ISACA guide la conduite professionnelle et</p><p>personnelle des membres de l'ISACA et des titulaires de certification.</p><p>Les membres de l'ISACA et les titulaires de certification doivent:</p><p>1. Soutenir la mise en œuvre et encourager le respect des normes et procédures</p><p>appropriées pour la gouvernance et la gestion efficaces des systèmes et technologies</p><p>de l'information d'entreprise, y compris l'audit, le contrôle, la sécurité et la gestion</p><p>des risques.</p><p>2. Accomplir ses tâches avec objectivité, diligence raisonnable et soin professionnel,</p><p>conformément aux normes professionnelles.</p><p>3. Servir dans l'intérêt des parties prenantes de manière licite, tout en maintenant des</p><p>normes élevées de conduite et de caractère, sans discréditer leur profession ou</p><p>l'Association.</p><p>4. Maintenir la confidentialité et la confidentialité des informations obtenues dans le cadre</p><p>de leurs activités, sauf si la divulgation est requise par l'autorité légale. Ces</p><p>informations ne doivent pas être utilisées à des fins personnelles ou divulguées à des</p><p>parties inappropriées.</p><p>5. Maintenir la compétence dans leurs domaines respectifs et accepter d'entreprendre</p><p>uniquement les activités qu'ils peuvent raisonnablement s'attendre à accomplir avec</p><p>les compétences, connaissances et compétences nécessaires.</p><p>6. Informer les parties concernées des résultats des travaux effectués, y compris la</p><p>divulgation de tous les faits importants dont ils ont connaissance et qui, s'ils ne sont</p><p>pas divulgués, peuvent fausser la communication des résultats.</p><p>7. Soutenir la formation professionnelle des parties prenantes en améliorant leur</p><p>compréhension de la gouvernance et de la gestion des systèmes et des technologies</p><p>de l'information d'entreprise, y compris l'audit, le contrôle, la sécurité et la gestion</p><p>des risques.</p><p>Remarque: Un candidat CISA ne devrait pas mémoriser le Code d' éthique</p><p>professionnelle de l'ISACA ( www.isaca.org/certification/code-of-</p><p>professionalethics ) . L'examen testera la compréhension et l'application du code</p><p>par un candidat .</p><p>1.1.4 ITAF ™</p><p>L'ITAF est un modèle de référence complet et de mise en place de bonnes pratiques qui</p><p>fait ce qui suit:</p><p>• Établit des normes qui traitent des rôles et responsabilités des auditeurs</p><p>SI; connaissances et compétences; et exigences de diligence, de conduite et de</p><p>déclaration</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/standards</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/guidelines</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/guidelines</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/certification/code-of-professional-ethics</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/certification/code-of-professional-ethics</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/certification/code-of-professional-ethics</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/certification/code-of-professional-ethics</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/certification/code-of-professional-ethics</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/certification/code-of-professional-ethics</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/certification/code-of-professional-ethics</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/certification/code-of-professional-ethics</p><p>Manuel d’examen 27 e édition</p><p>38 | P a g e</p><p>By BlackHavok</p><p>• Définit les termes et concepts spécifiques à l'assurance SI</p><p>• Fournit des conseils et des outils et techniques sur la planification, la conception, la</p><p>conduite et le rapport des missions d'audit et d'assurance des SI</p><p>Remarque: Un candidat CISA ne sera pas testé sur l'organisation ou l'arrangement</p><p>du cadre ITAF. Cependant, l'application des normes d'audit et d'assurance est testée.</p><p>1.2 PROCESSUS D'AFFAIRES</p><p>Un auditeur SI doit comprendre et être capable d'évaluer les processus métier de</p><p>l'organisation qu'il audite. Cela comprend un test et une évaluation de la conception et</p><p>de la mise en œuvre du fonctionnement des contrôles ainsi que le suivi et les tests des</p><p>preuves pour garantir que les contrôles internes au sein des processus</p><p>opérationnels</p><p>fonctionnent efficacement.</p><p>Un processus métier est un ensemble interdépendant d'activités ou d'événements</p><p>interfonctionnels qui aboutit à la livraison d'un produit ou d'un service spécifique à un</p><p>client. Il est contrôlé par des politiques, des procédures, des pratiques et des structures</p><p>organisationnelles conçues pour fournir une assurance raisonnable qu'un processus</p><p>opérationnel atteindra ses objectifs. Un propriétaire de processus métier est la personne</p><p>chargée d'identifier les exigences des processus, d'approuver la conception des processus</p><p>et de gérer la performance des processus, et doit être à un niveau suffisamment élevé</p><p>dans une organisation pour avoir le pouvoir d'engager des ressources dans des activités</p><p>de gestion des risques spécifiques aux processus.</p><p>1.2.1 EST LA FONCTION D'AUDIT INTERNE</p><p>Le rôle de la fonction d'audit interne du SI devrait être défini par une charte d'audit</p><p>approuvée par le conseil d'administration et le comité d'audit (direction générale, si ces</p><p>entités n'existent pas). Les professionnels doivent avoir un mandat clair pour exécuter</p><p>la fonction d'audit des SI, ce qui peut être indiqué dans la charte d'audit.</p><p>Charte d'audit</p><p>L'audit des SI peut faire partie de l'audit interne, fonctionner comme un groupe</p><p>indépendant ou être intégré dans un audit financier et opérationnel pour fournir une</p><p>assurance de contrôle informatique aux auditeurs financiers ou de gestion. Par</p><p>conséquent, la charte d'audit peut inclure l'audit SI en tant que fonction de support</p><p>d'audit.</p><p>La charte devrait énoncer clairement la responsabilité et les objectifs de la direction et la</p><p>délégation de pouvoir à la fonction d'audit des SI. Le plus haut niveau de direction et le</p><p>comité d'audit, s'il en existe un, devraient approuver cette charte. Une fois établie, cette</p><p>charte ne devrait être modifiée que si le changement peut être et est parfaitement</p><p>justifié.</p><p>La responsabilité, l'autorité et la responsabilité de la fonction d'audit des SI doivent être</p><p>documentées de manière appropriée dans une charte d'audit ou une lettre de</p><p>mission. Une charte d'audit est un document général qui couvre l'ensemble du champ</p><p>Manuel d’examen 27 e édition</p><p>39 | P a g e</p><p>By BlackHavok</p><p>des activités d'audit dans une entité tandis qu'une lettre de mission est davantage axée</p><p>sur un exercice d'audit particulier qui doit être initié dans une organisation avec un</p><p>objectif spécifique en tête. Si les services d'audit des SI sont fournis par un cabinet</p><p>externe, la portée et les objectifs de ces services doivent être documentés dans un</p><p>contrat officiel ou un énoncé des travaux entre l'organisation contractante et le</p><p>prestataire de services. Dans les deux cas, la fonction d'audit interne doit être</p><p>indépendante et faire rapport à un comité d'audit, s'il en existe un, ou au plus haut niveau</p><p>de gestion tel que le conseil d'administration.</p><p>Remarque: Pour des conseils supplémentaires, voir la norme 1001 Charte d'audit et</p><p>la directive 2001 Charte d'audit.</p><p>1.2.2 GESTION DE LA FONCTION D'AUDIT IS</p><p>La fonction d'audit des SI doit être gérée et dirigée de manière à garantir que les diverses</p><p>tâches effectuées et réalisées par l'équipe d'audit remplissent les objectifs de la fonction</p><p>d'audit, tout en préservant l'indépendance et la compétence de l'audit. En outre, la</p><p>gestion de la fonction d'audit des SI devrait garantir des contributions à valeur ajoutée</p><p>à la direction dans la gestion efficace des TI et la réalisation des objectifs commerciaux.</p><p>Remarque: Pour des conseils supplémentaires, voir les normes 1002 Organisationnelles</p><p>Indépendance, 1003 Indépendance professionnelle, 1004 Attente raisonnable et 1005</p><p>Soin professionnel dû, ainsi que les directives connexes: 2002, 2003, 2004 et 2005.</p><p>Gestion des ressources d'audit des SI</p><p>La technologie SI est en constante évolution. Par conséquent, il est important que les</p><p>auditeurs SI maintiennent leurs compétences grâce à la mise à jour des compétences</p><p>existantes et obtiennent une formation orientée vers les nouvelles techniques d'audit et</p><p>les nouveaux domaines technologiques. Un auditeur SI doit être techniquement</p><p>compétent, avoir les compétences et les connaissances nécessaires pour effectuer un</p><p>travail d'audit. En outre, un auditeur SI doit maintenir ses compétences techniques grâce</p><p>à une formation professionnelle continue appropriée. Les compétences et les</p><p>connaissances doivent être prises en considération lors de la planification des audits et</p><p>de l'affectation du personnel à des missions d'audit spécifiques.</p><p>De préférence, un plan détaillé de formation du personnel devrait être élaboré pour</p><p>l'année en fonction de l'orientation de l'organisation en termes de technologie et des</p><p>risques associés qui doivent être traités. Ceci devrait être revu périodiquement pour</p><p>s'assurer que les efforts de formation et les résultats sont alignés sur la direction que</p><p>prend l'organisation d'audit. En outre, la direction de l'audit des SI devrait également</p><p>fournir les ressources informatiques nécessaires pour effectuer correctement les audits</p><p>des SI de nature hautement spécialisée (par exemple, outils, méthodologie, programmes</p><p>de travail).</p><p>Remarque: Pour des conseils supplémentaires, voir la norme 1006 Proficiency et la</p><p>directive 2006 Proficiency.</p><p>Manuel d’examen 27 e édition</p><p>40 | P a g e</p><p>By BlackHavok</p><p>1.2.3 PLANIFICATION DE L'AUDIT</p><p>La planification de l'audit est réalisée au début du processus d'audit pour établir la</p><p>stratégie d'audit globale et détailler les procédures spécifiques à mettre en œuvre pour</p><p>mettre en œuvre la stratégie et achever l'audit. Cela comprend une planification à court</p><p>et à long terme. La planification à court terme prend en compte les problèmes d'audit</p><p>qui seront couverts au cours de l'année, tandis que la planification à long terme concerne</p><p>les plans d'audit qui prendront en compte les problèmes liés aux risques concernant les</p><p>changements dans l'orientation stratégique informatique de l'organisation qui affecteront</p><p>l'environnement informatique de l'organisation.</p><p>Tous les processus pertinents qui représentent le schéma directeur des activités de</p><p>l'entreprise doivent être inclus dans l'univers d'audit. L'univers d'audit répertorie</p><p>idéalement tous les processus qui peuvent être pris en compte pour l'audit. Chacun de</p><p>ces processus peut subir une évaluation qualitative ou quantitative des risques en</p><p>évaluant le risque par rapport à des facteurs de risque définis et pertinents. Les facteurs</p><p>de risque sont les facteurs qui influencent la fréquence et / ou l'impact commercial des</p><p>scénarios de risque. Par exemple, pour une entreprise de vente au détail, la réputation</p><p>peut être un facteur de risque critique. L'évaluation du risque devrait idéalement être</p><p>basée sur les contributions des propriétaires de processus métier. L'évaluation des</p><p>facteurs de risque doit être basée sur des critères objectifs, bien que la subjectivité ne</p><p>puisse pas être complètement évitée. Par exemple, en ce qui concerne le facteur de</p><p>réputation, les critères (en fonction des intrants qui peuvent être sollicités auprès de</p><p>l'entreprise) peuvent être notés comme:</p><p>• Élevé: un problème de processus peut endommager la réputation de l'organisation et</p><p>sa restauration prendra plus de six mois.</p><p>• Moyen: un problème de processus peut endommager la réputation de l'organisation</p><p>et sa restauration prendra moins de six mois mais plus de trois mois.</p><p>• Faible: un problème de processus peut endommager la réputation de l'organisation et</p><p>sa restauration prendra moins de trois mois.</p><p>Dans cet exemple, le délai défini représente l'aspect objectif des critères, et l'aspect</p><p>subjectif des critères peut être trouvé dans la détermination du délai par les propriétaires</p><p>du processus métier, qu'il soit supérieur à six mois ou inférieur à trois mois. . Une fois le</p><p>risque évalué pour chaque facteur pertinent, un critère global peut être défini pour</p><p>déterminer</p><p>le risque global de chacun des processus.</p><p>Le plan d'audit peut ensuite être construit pour inclure tous les processus jugés «élevés»,</p><p>ce qui représenterait le plan d'audit annuel idéal. Cependant, dans la pratique, les</p><p>ressources disponibles ne sont souvent pas suffisantes pour exécuter l'ensemble du plan</p><p>idéal. Cette analyse aidera la fonction d'audit à démontrer à la haute direction le manque</p><p>de ressources et à donner à la haute direction une bonne idée du niveau de risque que</p><p>la direction accepte si elle n'ajoute pas ou n'augmente pas les ressources d'audit</p><p>existantes.</p><p>L'analyse des problèmes à court et à long terme devrait avoir lieu au moins une fois par</p><p>an. Cela est nécessaire pour prendre en compte les nouveaux problèmes de contrôle; les</p><p>changements dans l'environnement des risques, les technologies et les processus</p><p>commerciaux; et des techniques d'évaluation améliorées. Les résultats de cette analyse</p><p>pour la planification des activités d'audit futures devraient être examinés par la haute</p><p>Manuel d’examen 27 e édition</p><p>41 | P a g e</p><p>By BlackHavok</p><p>direction de l'audit et approuvés par le comité d'audit, le cas échéant, ou par le conseil</p><p>d'administration et communiqués aux niveaux de direction concernés. La planification</p><p>annuelle doit être mise à jour si des aspects clés de l'environnement de risque ont changé</p><p>(par exemple, acquisitions, nouveaux problèmes réglementaires, conditions du marché).</p><p>Remarque: Pour des conseils supplémentaires, voir les normes 1007 Assertions et</p><p>1008 Criteria et les lignes directrices connexes 2007 et 2008.</p><p>Attributions d'audit individuelles</p><p>En plus de la planification annuelle globale, chaque mission d'audit individuelle doit être</p><p>correctement planifiée. Un auditeur SI doit comprendre que d'autres considérations,</p><p>telles que les résultats des évaluations périodiques des risques, les changements dans</p><p>l'application de la technologie et l'évolution des problèmes de confidentialité et des</p><p>exigences réglementaires, peuvent avoir une incidence sur l'approche globale de</p><p>l'audit. Un auditeur SI doit également prendre en compte les délais de mise en œuvre /</p><p>mise à niveau du système, les technologies actuelles et futures, les exigences des</p><p>propriétaires de processus métier et les limites des ressources SI.</p><p>Lors de la planification d'un audit, un auditeur SI doit comprendre l'environnement global</p><p>examiné. Cela devrait comprendre une compréhension générale des diverses pratiques</p><p>et fonctions commerciales liées au sujet de l'audit, ainsi que des types de systèmes</p><p>d'information et de technologies soutenant l'activité. Par exemple, un auditeur SI doit</p><p>être familier avec l'environnement réglementaire dans lequel l'entreprise opère.</p><p>Pour effectuer la planification de l'audit, un auditeur SI doit effectuer les étapes indiquées</p><p>dans la figure 1.2 .</p><p>Figure 1.2 - Étapes pour effectuer la planification de l'audit</p><p>• Acquérir une compréhension de la mission, des objectifs, du but et des processus</p><p>de l'organisation, qui comprennent les exigences en matière d'information et de</p><p>traitement telles que la disponibilité, l'intégrité, la sécurité, la technologie</p><p>d'entreprise et la confidentialité des informations.</p><p>• Acquérir une compréhension de la structure de gouvernance de l'organisation et</p><p>des pratiques liées aux objectifs de l'audit.</p><p>• Comprendre les changements dans l'environnement commercial de l'audité.</p><p>• Examiner les documents de travail antérieurs.</p><p>• Identifier le contenu déclaré tel que les politiques, les normes et les directives,</p><p>procédures et structure organisationnelle requises.</p><p>• Effectuer une analyse des risques pour aider à la conception du plan d'audit.</p><p>• Définir la portée et les objectifs de l'audit.</p><p>• Développer l'approche d'audit ou la stratégie d'audit.</p><p>• Affecter des ressources humaines à l'audit.</p><p>• Abordez la logistique de l'engagement.</p><p>Remarque: Pour des conseils supplémentaires, voir la norme 1201 Planification de</p><p>l'engagement et la directive 2201 Planification de l'engagement.</p><p>Manuel d’examen 27 e édition</p><p>42 | P a g e</p><p>By BlackHavok</p><p>1.2.4 EFFET DES LOIS ET RÈGLEMENTS SUR LA PLANIFICATION DE L'AUDIT</p><p>Chaque organisation, quelle que soit sa taille ou le secteur dans lequel elle opère, devra</p><p>se conformer à un certain nombre d'exigences gouvernementales et externes liées aux</p><p>pratiques et contrôles des SI et à la manière dont les données sont utilisées, stockées et</p><p>sécurisées. De plus, les réglementations de l'industrie peuvent avoir un impact sur la</p><p>manière dont les données sont traitées, transmises et stockées (bourse, banques</p><p>centrales, etc.). Une attention particulière devrait être accordée à ces questions dans les</p><p>secteurs étroitement réglementés.</p><p>En raison de la dépendance à l'égard des systèmes d'information et des technologies</p><p>connexes, plusieurs pays s'efforcent d'ajouter des réglementations juridiques concernant</p><p>l'audit et l'assurance des SI. Le contenu de ces dispositions légales concerne:</p><p>• Etablissement des exigences</p><p>réglementaires</p><p>• Responsabilités attribuées aux entités correspondantes</p><p>• Fonctions d'audit financier, opérationnel et SI</p><p>La direction à tous les niveaux doit être consciente des exigences externes relatives aux</p><p>objectifs et aux plans de l'organisation, ainsi qu'aux responsabilités et activités du</p><p>département / de la fonction / de l'activité des services d'information.</p><p>Il existe deux principaux sujets de préoccupation:</p><p>1. Exigences légales (c.-à-d. Lois, accords réglementaires et contractuels) imposées à</p><p>l'audit ou à l'audit des SI</p><p>2. Obligations légales imposées à l'audité et à ses systèmes, gestion des données,</p><p>reporting, etc.</p><p>Ces domaines ont une incidence sur la portée et les objectifs de l'audit. Cette dernière</p><p>est importante pour les professionnels de l'audit et de l'assurance internes et</p><p>externes. Les questions juridiques ont également un impact sur les opérations</p><p>commerciales de l'organisation en termes de respect des réglementations ergonomiques.</p><p>Un auditeur SI effectuera les étapes suivantes pour déterminer le niveau de conformité</p><p>d'une organisation aux exigences externes:</p><p>• Identifier les exigences gouvernementales ou autres exigences externes pertinentes</p><p>concernant:</p><p>- Données électroniques, données personnelles, droits d'auteur, commerce</p><p>électronique, signatures électroniques, etc.</p><p>- Pratiques et contrôles des systèmes d'information</p><p>- La manière dont les ordinateurs, les programmes et les données sont stockés</p><p>- L'organisation ou les activités des services informatiques - Audits SI</p><p>• Documenter les lois et réglementations applicables.</p><p>• Évaluer si la direction de l'organisation et la fonction informatique ont pris en compte</p><p>les exigences externes pertinentes lors de l'élaboration des plans et de la définition</p><p>des politiques, des normes et des procédures, ainsi que des fonctionnalités des</p><p>applications métier.</p><p>• Examiner les documents internes du service informatique / de la fonction / de l'activité</p><p>qui traitent du respect des lois applicables à l'industrie.</p><p>Manuel d’examen 27 e édition</p><p>43 | P a g e</p><p>By BlackHavok</p><p>• Déterminer le respect des procédures établies qui répondent à ces exigences.</p><p>• Déterminer si des procédures sont en place pour garantir que les contrats ou accords</p><p>avec les prestataires de services informatiques externes reflètent les exigences légales</p><p>liées aux responsabilités.</p><p>Remarque: Un candidat CISA ne sera pas interrogé sur des lois ou des</p><p>réglementations spécifiques, mais peut être interrogé sur la façon dont on vérifierait</p><p>la conformité aux lois et réglementations.</p><p>1.2.5 APPLICATIONS ET CONTRÔLES DES PROCESSUS D'AFFAIRES</p><p>Dans un environnement d'application intégré, les contrôles sont intégrés et conçus dans</p><p>l'application métier qui prend en charge les processus. L'assurance du contrôle des</p><p>processus métier</p><p>implique l'évaluation des contrôles au niveau des processus et des</p><p>activités. Ces commandes peuvent être une combinaison de commandes de gestion,</p><p>programmées et manuelles. En plus d'évaluer les contrôles généraux qui affectent les</p><p>processus, les contrôles spécifiques aux propriétaires de processus métier, tels que</p><p>l'établissement d'une sécurité et d'une séparation des tâches (SoD) appropriées,</p><p>l'examen et l'approbation périodiques de l'accès et les contrôles d'application dans le</p><p>processus métier, sont évalués.</p><p>Pour auditer efficacement les systèmes d'application métier, un auditeur SI doit acquérir</p><p>une compréhension claire du système d'application en cours d'examen.</p><p>Remarque: Le contenu qui suit comprend des exemples de systèmes et</p><p>d’architectures d’applications d’entreprise, de processus connexes et de risques. Un</p><p>candidat CISA doit être familier avec ces systèmes et architectures d'applications</p><p>commerciales, les processus, les risques et les contrôles associés, ainsi que les</p><p>implications et les pratiques d'audit des SI.</p><p>De nombreuses fonctions financières et opérationnelles sont informatisées dans le but</p><p>d'améliorer l'efficacité et d'augmenter la fiabilité des informations. Ces applications vont</p><p>du traditionnel (y compris le grand livre général, les comptes créditeurs et la paie) au</p><p>secteur spécifique (comme les prêts bancaires, la compensation commerciale et la</p><p>planification des besoins en matériaux). Compte tenu de leurs caractéristiques uniques,</p><p>les systèmes d'application informatisés ajoutent de la complexité aux efforts d'audit. Ces</p><p>caractéristiques peuvent inclure des pistes d'audit limitées, une mise à jour instantanée</p><p>et une surcharge d'informations. Les systèmes d'application peuvent résider dans les</p><p>divers environnements qui suivent.</p><p>Commerce électronique</p><p>Le commerce électronique est l'achat et la vente de marchandises en ligne. En règle</p><p>générale, un acheteur achète des biens et des services sur un site Web et fournit les</p><p>détails de livraison et de paiement, y compris les virements ou les ordres de paiement. Le</p><p>site Web peut recueillir des informations sur les clients et proposer d'autres éléments</p><p>Manuel d’examen 27 e édition</p><p>44 | P a g e</p><p>By BlackHavok</p><p>susceptibles de vous intéresser. Le terme ebusiness comprend l'achat et la vente en ligne</p><p>ainsi que le support client ou les relations entre entreprises.</p><p>Le commerce électronique, en tant que modèle général, utilise la technologie pour</p><p>améliorer les processus de transactions commerciales entre une entreprise, ses clients</p><p>et ses partenaires commerciaux. La technologie utilisée peut inclure Internet, le</p><p>multimédia, les navigateurs Web, les réseaux propriétaires, les guichets automatiques</p><p>bancaires (GAB) et les services bancaires à domicile, ainsi que l'approche traditionnelle</p><p>de l'échange électronique de données (EDI).</p><p>Les types de commerce électronique sont les suivants:</p><p>• Business-to-business (B-to-B) - Affaires menées entre les organisations</p><p>• Business-to-consumer (B-to-C) - Affaires menées entre une organisation et ses</p><p>clients</p><p>• Consumer-to-consumer (C-to-C) —Affaires menées entre clients, principalement à</p><p>l'aide d'une plateforme tierce</p><p>• Consumer-to-business (C-to-B) - Affaires menées entre un consommateur et une</p><p>entreprise. C'est lorsque les consommateurs vendent leurs produits ou services à une</p><p>entreprise.</p><p>• Business-to-government (B-to-G) - Affaires menées entre une organisation et une</p><p>administration publique (par exemple, des organisations gouvernementales) où</p><p>l'organisation gouvernementale favorise la sensibilisation et la croissance du</p><p>commerce électronique. Outre les marchés publics, les administrations peuvent</p><p>également offrir la possibilité d'un échange électronique pour des transactions telles</p><p>que les déclarations de TVA et le paiement de l'impôt sur les sociétés.</p><p>• Consommateur à gouvernement (C-à-G) - Affaires menées entre un</p><p>consommateur et une administration publique ou un gouvernement. Un exemple est</p><p>la déclaration de revenus électronique.</p><p>Les architectures de commerce électronique typiques incluent les types suivants:</p><p>• L'architecture à un niveau est une application cliente exécutée sur un seul</p><p>ordinateur.</p><p>• L' architecture à deux niveaux est composée du client et du serveur.</p><p>• L' architecture à trois niveaux comprend les éléments suivants:</p><p>- Le niveau de présentation affiche des informations auxquelles les utilisateurs peuvent</p><p>accéder directement, comme une page Web ou l'interface utilisateur graphique d'un</p><p>système d'exploitation (OS).</p><p>- Le niveau application (logique métier / applications) contrôle la fonctionnalité d'une</p><p>application en effectuant un traitement détaillé.</p><p>- Le niveau de données est généralement composé des serveurs de base de données,</p><p>des partages de fichiers, etc. et de la couche d'accès aux données qui encapsule les</p><p>mécanismes de persistance et expose les données.</p><p>Le défi de l'intégration de diverses technologies au sein et au-delà de l'entreprise a</p><p>conduit de plus en plus d'entreprises à passer à des systèmes basés sur des composants</p><p>qui utilisent une infrastructure middleware basée sur un serveur d'applications. Cela</p><p>prend en charge les tendances actuelles dans l'évolution du développement logiciel:</p><p>construire des systèmes à partir de composants de qualité et catalogués, tout comme le</p><p>matériel est construit. Bien que cela ne soit pas encore entièrement réalisé, les modèles</p><p>Manuel d’examen 27 e édition</p><p>45 | P a g e</p><p>By BlackHavok</p><p>de composants, notamment Microsoft Component Object Model (COM) et Oracle</p><p>Enterprise</p><p>JavaBeans - sont largement utilisés et relèvent du regroupement de «code mobile». Le</p><p>code mobile est un logiciel transféré entre systèmes (c.-à-d. Transféré sur un réseau) et</p><p>exécuté sur un système local à l'aide de code multiplateforme sans installation explicite</p><p>par l'ordinateur destinataire (par exemple, Adobe® Flash®, Shockwave®, applets Java,</p><p>VBScripts, ActiveX ). L'adoption continue du code mobile apporte un autre vecteur de</p><p>propagation de logiciels malveillants via des vecteurs de diffusion en constante évolution,</p><p>allant de la messagerie électronique aux sites Web malveillants et aux applications pour</p><p>appareils mobiles.</p><p>Les composants souvent vus dans un système B-to-C comprennent les composants de</p><p>marketing, de vente et de service client (par exemple, personnalisation, adhésion,</p><p>catalogue de produits, commande client, facturation, expédition, remplacement</p><p>d'inventaire, formation en ligne et notification de problème). Les serveurs d'applications</p><p>prennent en charge un modèle de composant particulier et fournissent des services (tels</p><p>que la gestion des données, la sécurité et la gestion des transactions) directement ou via</p><p>une connexion à un autre service ou produit middleware.</p><p>Les serveurs d'applications, conjointement avec d'autres produits middleware,</p><p>fournissent des systèmes à plusieurs niveaux (une transaction commerciale peut</p><p>s'étendre sur plusieurs plates-formes et couches logicielles). Par exemple, la couche de</p><p>présentation d'un système sera généralement constituée d'un navigateur ou d'une autre</p><p>application client. Un serveur Web sera utilisé pour gérer le contenu Web et les</p><p>connexions, la logique métier et d'autres services seront fournis par le serveur</p><p>d'applications et une ou plusieurs bases de données seront utilisées pour le stockage des</p><p>données.</p><p>Les bases de données jouent un rôle clé dans la plupart des systèmes de commerce</p><p>électronique, en conservant les données des pages du site Web, en accumulant les</p><p>informations sur les clients et en stockant les données du flux de clics pour analyser</p><p>l'utilisation du site Web. Pour fournir toutes les fonctionnalités et réaliser des économies</p><p>en back-end, un système de commerce électronique peut impliquer des connexions à des</p><p>systèmes internes hérités (comptabilité, gestion des stocks ou</p><p>système de planification</p><p>des ressources d'entreprise (ERP)) ou des systèmes de partenaires commerciaux. Ainsi,</p><p>d'autres niveaux de logique métier et de persistance des données sont ajoutés.</p><p>Pour des raisons de sécurité, les données client persistantes ne doivent pas être stockées</p><p>sur des serveurs Web exposés directement à Internet. Le langage de balisage extensible</p><p>(XML) est également susceptible de constituer une partie importante de l'architecture de</p><p>commerce électronique globale d'une organisation. Bien qu'initialement conçu comme</p><p>une technique pour faciliter la publication électronique, XML a rapidement été utilisé</p><p>comme support pouvant stocker et enfermer tout type d'informations structurées, de</p><p>sorte qu'il pouvait être transmis entre différents systèmes informatiques. XML est devenu</p><p>un moyen clé pour échanger une grande variété de données sur le Web et ailleurs. En</p><p>plus du XML de base, une variété de normes associées a été et continue d'être</p><p>développée. Certains d'entre eux comprennent:</p><p>• Langage de feuille de style extensible (XSL): définit la façon dont un document XML</p><p>doit être présenté (par exemple, sur une page Web)</p><p>Manuel d’examen 27 e édition</p><p>46 | P a g e</p><p>By BlackHavok</p><p>• Requête XML (XQuery): permet de rechercher des données au format XML</p><p>• Cryptage XML: permet de crypter, décrypter et signer numériquement des documents</p><p>XML</p><p>Les services Web constituent une émanation particulièrement importante de XML. Les</p><p>services Web représentent un moyen d'utiliser des informations au format XML pour</p><p>appeler à distance le traitement. Étant donné qu'un message de services Web peut</p><p>contenir à la fois un document XML et un schéma correspondant définissant le document,</p><p>en théorie, il est auto-descriptif et aide à atteindre l'objectif de «couplage lâche». Si le</p><p>format d'un message de services Web change, les services Web de réception</p><p>continueront de fonctionner, à condition que le schéma d'accompagnement soit mis à</p><p>jour. Cet avantage, combiné à la prise en charge des services Web, signifie que les</p><p>services Web sont désormais le middleware clé pour connecter les systèmes Web</p><p>distribués.</p><p>Il est nécessaire de parvenir à un accord sur les définitions de métadonnées pour les</p><p>services Web afin de permettre un traitement coopératif au-delà des frontières</p><p>organisationnelles. Les métadonnées sont des données sur les données, et le terme est</p><p>désigné dans les normes des services Web comme l'ontologie. Les services Web peuvent</p><p>être appelés avec succès et les données XML résultantes peuvent être analysées avec</p><p>succès par le programme appelant, mais pour utiliser ces données efficacement, il est</p><p>nécessaire de comprendre la signification commerciale des données. Cela est similaire</p><p>aux tentatives précédentes d'informatique interorganisationnelle (comme l'EDI), dans</p><p>lesquelles il était nécessaire de s'entendre à l'avance sur les formats et les significations</p><p>des documents électroniques.</p><p>Risque de commerce électronique</p><p>Le commerce électronique, comme toute autre forme de commerce, dépend de</p><p>l'existence d'un niveau de confiance entre les deux parties. Par exemple, Internet</p><p>présente un défi entre l'acheteur et le vendeur, semblable à ceux auxquels un détaillant</p><p>de catalogue ou de publipostage est confronté. Les défis prouvent aux acheteurs que les</p><p>vendeurs sont qui ils disent être et que leurs informations personnelles, telles que les</p><p>numéros de carte de crédit (et autres informations personnelles identifiables), resteront</p><p>confidentielles; et que les vendeurs ne peuvent pas réfuter ultérieurement l'occurrence</p><p>d'une transaction valide. Certains des éléments à risque les plus importants sont:</p><p>• Confidentialité - Les consommateurs potentiels sont soucieux de fournir aux</p><p>vendeurs inconnus des informations personnelles (parfois sensibles) pour un certain</p><p>nombre de raisons, y compris le vol possible des informations de carte de crédit du</p><p>vendeur après un achat. La connexion à Internet via un navigateur nécessite</p><p>l'exécution d'un logiciel sur l'ordinateur qui a été développé par une personne inconnue</p><p>de l'organisation. De plus, le support d'Internet est un réseau de diffusion, ce qui</p><p>signifie que tout ce qui y est placé est acheminé sur des chemins étendus et</p><p>essentiellement incontrôlés. La tendance actuelle à l'externalisation et à l'hébergement</p><p>de services sur le cloud étend le périmètre de risque au-delà des frontières de l'entité</p><p>de transaction. Il est important de prendre en considération l'importance des questions</p><p>de sécurité qui vont au-delà des objectifs de confidentialité.</p><p>• Intégrité - Les données, à la fois en transit et en stockage, peuvent être susceptibles</p><p>d'être modifiées ou supprimées sans autorisation (c'est-à-dire que le piratage ou le</p><p>Manuel d’examen 27 e édition</p><p>47 | P a g e</p><p>By BlackHavok</p><p>système de commerce électronique lui-même pourrait avoir des problèmes de</p><p>conception ou de configuration).</p><p>• Disponibilité : Internet permet aux clients de faire des affaires 24 heures sur 24, 7</p><p>jours sur 7. Par conséquent, la haute disponibilité est importante, la défaillance de tout</p><p>système devenant immédiatement évidente pour les clients ou les partenaires</p><p>commerciaux.</p><p>• Authentification et non-répudiation : les parties à une transaction électronique</p><p>doivent être dans une relation commerciale connue et de confiance, ce qui exige</p><p>qu’elles prouvent leurs identités respectives avant d’exécuter la transaction pour</p><p>empêcher les attaques de l’intermédiaire (c’est-à-dire empêcher le vendeur de être un</p><p>imposteur). Ensuite, après coup, il doit exister un moyen de garantir que les parties à</p><p>la transaction ne peuvent nier que la transaction a été conclue et les conditions dans</p><p>lesquelles elle a été conclue.</p><p>• Passage de pouvoir aux clients : Internet offre aux consommateurs un accès</p><p>inégalé aux informations du marché et facilite généralement le passage d'un</p><p>fournisseur à l'autre. Les organisations participant au commerce électronique doivent</p><p>rendre leurs offres attrayantes et homogènes en termes de prestation de services. Cela</p><p>impliquera non seulement la conception du système, mais également la réingénierie</p><p>des processus métier. Les processus de support back-end doivent être aussi efficaces</p><p>que possible car, dans de nombreux cas, faire des affaires sur Internet fait baisser les</p><p>prix (par exemple, le courtage d'actions en ligne). Pour éviter de perdre leur avantage</p><p>concurrentiel de faire des affaires en ligne, les organisations doivent améliorer leurs</p><p>services, se différencier de la concurrence et créer de la valeur ajoutée. Cela explique</p><p>la volonté de personnaliser les sites Web en ciblant le contenu en fonction du</p><p>comportement du client analysé et en permettant un contact direct avec le personnel</p><p>grâce à la technologie de messagerie instantanée et d'autres moyens.</p><p>Exigences de commerce électronique</p><p>Certaines exigences en matière de commerce électronique sont les suivantes:</p><p>• Construire une analyse de rentabilisation (l'informatique en tant que catalyseur)</p><p>• Développer un objectif commercial clair</p><p>• Utiliser la technologie pour d'abord améliorer les coûts</p><p>• Construire une analyse de rentabilité autour des quatre C: clients, coûts, concurrents</p><p>et capacités</p><p>Les autres exigences pour le commerce électronique comprennent:</p><p>• Engagement de haut niveau - En raison de l'ampleur des changements requis (c.-</p><p>à-d. Processus commerciaux, culture d'entreprise, technologie et limites des clients),</p><p>le commerce électronique ne peut réussir sans une vision claire et un engagement</p><p>ferme de la part d'une organisation.</p><p>• Reconfiguration des processus commerciaux - La technologie n'est pas</p><p>l'innovation clé nécessaire pour faire fonctionner le commerce électronique, mais c'est</p><p>l'ingéniosité nécessaire pour envisager comment cette technologie peut permettre à</p><p>l'entreprise de reconfigurer fondamentalement certains</p><p>de ses processus commerciaux</p><p>de base. Pour cela, il faut penser en dehors de la boîte et hors des murs (c'est-à-dire</p><p>regarder à l'extérieur de l'organisation et comprendre ce que font les clients et</p><p>comment les changements dans le processus global peuvent créer une nouvelle valeur</p><p>pour eux).</p><p>Manuel d’examen 27 e édition</p><p>48 | P a g e</p><p>By BlackHavok</p><p>• Liens avec les anciens systèmes: les organisations doivent prendre au sérieux la</p><p>nécessité d'accélérer les temps de réponse, de fournir une véritable interaction aux</p><p>clients et de personnaliser les réponses de chaque client. Plus précisément, lors de</p><p>l'application de l'intégration d'applications d'entreprise (EAI), les organisations doivent</p><p>créer des interfaces en ligne et s'assurer que ces interfaces communiquent avec les</p><p>bases de données et les systèmes existants pour le service client et le traitement des</p><p>commandes.</p><p>Un terme souvent mentionné dans l'établissement de cette communication est</p><p>«Middleware», qui est défini comme un logiciel et des services indépendants que les</p><p>applications commerciales distribuées utilisent pour partager des ressources</p><p>informatiques entre des technologies hétérogènes. Une gamme de technologies</p><p>middleware - courtiers de messages, passerelles, gestionnaires de processus, logiciels</p><p>de transformation de données et transfert de fichiers - sont susceptibles d'être</p><p>déployées pour créer une infrastructure d'intégration. De plus en plus, l'intégration</p><p>sera considérée non pas comme la responsabilité d'une équipe de développement</p><p>d'applications individuelle, mais comme quelque chose à gérer dans toute</p><p>l'organisation en utilisant une approche et des technologies standard.</p><p>Rôle de l'auditeur SI dans le processus commercial de commerce électronique</p><p>Un auditeur SI doit examiner les éléments suivants:</p><p>• Accords d'interconnexion préparés avant de s'engager dans un accord de commerce</p><p>électronique. Ces accords peuvent être aussi simples que d'accepter des conditions</p><p>d'utilisation à des termes et conditions détaillés à mettre en place avant l'établissement</p><p>des interconnexions de commerce électronique.</p><p>• Mécanismes et procédures de sécurité qui, pris ensemble, constituent une architecture</p><p>de sécurité pour le commerce électronique (par exemple, pare-feu Internet,</p><p>infrastructure à clé publique [PKI], chiffrement, certificats, conformité PCI DSS et</p><p>gestion des mots de passe)</p><p>• Mécanismes de pare-feu en place pour assurer la médiation entre le réseau public</p><p>(Internet) et le réseau privé d'une organisation</p><p>• Un processus par lequel les participants à une transaction de commerce électronique</p><p>peuvent être identifiés de manière unique et positive (par exemple, un processus</p><p>d'utilisation de certains</p><p>combinaison de chiffrement de clés publiques et privées et de paires de clés de</p><p>certification)</p><p>• Procédures en place pour contrôler les modifications apportées à une présence de</p><p>commerce électronique</p><p>• Journaux des applications de commerce électronique, qui sont surveillés par un</p><p>personnel responsable. Cela comprend les journaux du système d'exploitation et les</p><p>messages de la console, les messages de gestion du réseau, les journaux et les alertes</p><p>du pare-feu, les messages de gestion du routeur, les alarmes de détection d'intrusion,</p><p>les statistiques des applications et des serveurs et les vérifications de l'intégrité du</p><p>système.</p><p>• Méthodes et procédures pour reconnaître les failles de sécurité lorsqu'elles se</p><p>produisent (réseau et systèmes de détection d'intrusion basés sur l'hôte [IDS])</p><p>• Fonctionnalités dans les applications de commerce électronique pour reconstruire</p><p>l'activité effectuée par l'application</p><p>Manuel d’examen 27 e édition</p><p>49 | P a g e</p><p>By BlackHavok</p><p>• Protections en place pour garantir que les données collectées sur les individus ne soient</p><p>pas divulguées sans le consentement des individus ni utilisées à des fins autres que</p><p>celles pour lesquelles elles sont collectées</p><p>• Moyens pour assurer la confidentialité des données communiquées entre les clients et</p><p>les fournisseurs (protection des ressources telles que par le biais de Secure Sockets</p><p>Layer [SSL] crypté)</p><p>• Mécanismes pour protéger la présence du commerce électronique et soutenir les</p><p>réseaux privés contre les virus informatiques et pour les empêcher de propager des</p><p>virus aux clients et aux fournisseurs</p><p>• Des fonctionnalités au sein de l'architecture de commerce électronique pour empêcher</p><p>tous les composants de tomber en panne et leur permettre de se réparer eux-mêmes,</p><p>en cas de défaillance</p><p>• Plans et procédures pour poursuivre les activités de commerce électronique en cas de</p><p>panne prolongée des ressources nécessaires au traitement normal</p><p>• Pratiques et procédures communément comprises pour définir les intentions de la</p><p>direction en matière de sécurité du commerce électronique</p><p>• Responsabilités partagées au sein d'une organisation pour la sécurité du commerce</p><p>électronique</p><p>• Communications des fournisseurs aux clients sur le niveau de sécurité dans une</p><p>architecture de commerce électronique</p><p>• Programmes réguliers d'audit et d'évaluation de la sécurité des environnements et des</p><p>applications de commerce électronique pour garantir que les contrôles sont présents</p><p>et efficaces</p><p>Échange électronique de données</p><p>L'EDI a remplacé l'échange traditionnel de documents papier, comme les réclamations et</p><p>les dossiers médicaux, les bons de commande, les factures ou les calendriers de diffusion</p><p>des documents. Par conséquent, des contrôles et des modifications appropriés doivent</p><p>être créés dans le système d'application de chaque organisation pour permettre cette</p><p>communication.</p><p>Exigences générales</p><p>Un système EDI nécessite un logiciel de communication, un logiciel de traduction et un</p><p>accès aux normes. Le logiciel de communication déplace les données d'un point à un</p><p>autre, marque le début et la fin d'une transmission EDI et détermine comment les</p><p>accusés de réception sont transmis et rapprochés. Un logiciel de traduction permet de</p><p>créer une carte et montre comment les champs de données de l'application</p><p>correspondent aux éléments d'une norme EDI. Plus tard, il utilise cette carte pour</p><p>convertir les données entre les formats d'application et EDI.</p><p>Pour construire une carte, une norme EDI appropriée au type de données EDI à</p><p>transmettre est sélectionnée (par exemple, des normes spécifiques pour les réclamations</p><p>médicales, les dossiers des patients, les factures, les bons de commande, les avis</p><p>d'expédition à l'avance.). La dernière étape consiste à écrire un profil de partenaire qui</p><p>indique au système où envoyer chaque transaction et comment gérer les erreurs et les</p><p>exceptions.</p><p>Manuel d’examen 27 e édition</p><p>50 | P a g e</p><p>By BlackHavok</p><p>Le logiciel système EDI comprend la transmission, la traduction et le stockage des</p><p>transactions initiées par ou destinées au traitement des demandes. L'EDI est également</p><p>un système d'application dans la mesure où les fonctions qu'il exécute sont basées sur</p><p>les besoins et les activités de l'entreprise. Les applications, les transactions et les</p><p>partenaires commerciaux pris en charge changeront au fil du temps, et le mélange des</p><p>transactions, des bons de commande, des avis d'expédition, des factures et des</p><p>paiements dans le processus EDI nécessite d'inclure des procédures de traitement des</p><p>demandes et des contrôles dans le processus EDI.</p><p>Lors de l'examen de l'EDI, un auditeur des SI doit être conscient des deux approches</p><p>liées à l'EDI: la version propriétaire traditionnelle de l'EDI utilisée par les grandes</p><p>entreprises et les parties gouvernementales, et le développement de l'EDI via</p><p>l'infrastructure commerciale accessible au public offerte via Internet. La différence entre</p><p>les approches est liée au coût, où l'utilisation d'une infrastructure commerciale publique</p><p>comme Internet permet de réduire</p><p>considérablement les coûts par rapport au</p><p>développement d'une approche propriétaire personnalisée. Du point de vue de la</p><p>sécurité, le risque associé à l'absence d'une relation totalement digne de confiance</p><p>survient dans la gestion de la sécurité et des risques Internet.</p><p>EDI traditionnel</p><p>Le déplacement des données dans un processus de transmission par lots via le processus</p><p>EDI traditionnel implique généralement trois fonctions au sein du système informatique</p><p>de chaque partenaire commercial:</p><p>1. Gestionnaire de communications - Processus de transmission et de réception de</p><p>documents électroniques entre partenaires commerciaux via des lignes commutées,</p><p>un réseau public, plusieurs lignes dédiées ou un réseau à valeur ajoutée (VAN). Les</p><p>VAN utilisent des capacités informatisées de commutation et de stockage des</p><p>messages pour fournir des services de boîtes aux lettres électroniques similaires à un</p><p>bureau de poste. Le VAN reçoit toutes les transactions sortantes d'une organisation,</p><p>les trie par destination et les transmet aux destinataires lorsqu'ils se connectent pour</p><p>vérifier leur boîte aux lettres et recevoir des transmissions. Ils peuvent également</p><p>fournir des services de traduction et de vérification. Les VAN spécialisés dans les</p><p>applications EDI fournissent un support technique, un service d'assistance et une</p><p>assistance de dépannage pour les problèmes EDI et de télécommunications. Les VAN</p><p>aident à la configuration des logiciels, offrent des mises à niveau de la connectivité</p><p>des télécommunications, assurent la sécurité des données et des ordinateurs,</p><p>vérifient et tracent les transactions, récupèrent les données perdues et confirment la</p><p>fiabilité et la disponibilité des services.</p><p>2. Interface EDI : fonction d' interface qui manipule et achemine les données entre le</p><p>système d'application et le gestionnaire de communications. L'interface se compose</p><p>de deux composants:</p><p>• Traducteur EDI: cet appareil convertit les données entre le format standard (ANSI</p><p>X12) et le format propriétaire d'un partenaire commercial.</p><p>• Interface d'application: cette interface déplace les transactions électroniques vers</p><p>ou depuis les systèmes d'application et effectue le mappage des</p><p>données. L'interface EDI peut générer et envoyer des accusés de réception</p><p>fonctionnels, vérifier l'identité des partenaires et vérifier la validité des transactions</p><p>en comparant les informations de transmission avec un fichier maître de partenaire</p><p>commercial. Les accusés de réception fonctionnels sont des transactions EDI</p><p>Manuel d’examen 27 e édition</p><p>51 | P a g e</p><p>By BlackHavok</p><p>standard qui indiquent aux partenaires commerciaux que leurs documents</p><p>électroniques ont été reçus et peuvent servir de piste d'audit pour les transactions</p><p>EDI.</p><p>3. Système d'application - Les programmes qui traitent les données envoyées ou</p><p>reçues du partenaire commercial. Bien que de nouveaux contrôles doivent être</p><p>développés pour l'interface EDI, les contrôles des applications existantes, s'ils ne sont</p><p>pas modifiés, ne sont généralement pas affectés.</p><p>Les transactions initiées par l'application (telles que les bons de commande du système</p><p>d'achat) sont transmises à une interface d'application commune pour le stockage et</p><p>l'interprétation. Toutes les transactions sortantes sont formatées selon une norme définie</p><p>en externe et regroupées par destination et type de transaction par le traducteur. Les</p><p>lots de transactions, comme les groupes fonctionnels, sont acheminés vers le processeur</p><p>de communication pour transmission. L'ensemble de ce processus est inversé pour les</p><p>transactions entrantes, y compris les factures destinées aux systèmes d'achat et de</p><p>comptabilité fournisseurs. Les contrôles doivent reconnaître et traiter les conditions</p><p>d'erreur et fournir une rétroaction sur le processus pour que le système EDI soit considéré</p><p>comme bien géré.</p><p>EDI basé sur le Web</p><p>L'EDI sur le Web a pris de l'importance parce que:</p><p>• L'accès via les fournisseurs de services Internet (FAI) offre un accès réseau générique</p><p>(c'est-à-dire non spécifique à l'EDI) pour tous les ordinateurs connectés, tandis que</p><p>les services VAN ont généralement utilisé un réseau propriétaire ou une passerelle</p><p>réseau liée à un ensemble spécifique de réseaux propriétaires. Il en résulte un coût</p><p>considérablement réduit pour les applications EDI.</p><p>• Il peut attirer de nouveaux partenaires via des sites Web pour échanger des</p><p>informations, prendre des commandes et relier le site Web au traitement des</p><p>commandes et aux systèmes financiers principaux via EDI.</p><p>• De nouveaux produits de sécurité sont disponibles pour résoudre les problèmes de</p><p>confidentialité, d'authentification, d'intégrité des données et de non-répudiation</p><p>d'origine et de retour.</p><p>• Les améliorations apportées aux techniques de négociation EDI basées sur le Web</p><p>standard de formatage EDI X12 visent à améliorer l'échange d'informations entre les</p><p>partenaires commerciaux, les fournisseurs et les clients en abaissant les frontières qui</p><p>restreignent la façon dont ils interagissent et font des affaires entre eux. Par exemple,</p><p>le service ISP peut fournir des fonctions similaires à celles des VAN plus traditionnels,</p><p>mais avec une gamme beaucoup plus large de services disponibles (c'est-à-dire, le</p><p>traitement des transactions de tous types via Internet). Cela est particulièrement</p><p>avantageux pour les petites organisations qui souhaitent pénétrer le marché EDI du</p><p>commerce électronique, car les FAI disposent d'une infrastructure réseau prête de</p><p>serveurs offrant des services de messagerie, des services Web et un réseau de</p><p>routeurs, et des modems connectés à une connexion permanente à Internet haut</p><p>débit.</p><p>Risques et contrôles EDI</p><p>La nature hybride de l'EDI ajoute une nouvelle dimension à la conception et à l'audit des</p><p>Processus EDI. Les procédures traditionnelles d'implémentation gérée et contrôlée des</p><p>logiciels système, telles que la définition des exigences, l'identification des versions et</p><p>Manuel d’examen 27 e édition</p><p>52 | P a g e</p><p>By BlackHavok</p><p>des versions, les tests et l'implémentation limitée avec une stratégie de secours,</p><p>s'appliquent aux logiciels utilisés pour l'EDI. De plus, il existe des problèmes et des</p><p>risques propres à l'EDI.</p><p>L'autorisation de transaction est le plus grand risque EDI. Étant donné que l'interaction</p><p>entre les parties est électronique, aucune authentification inhérente ne se produit.</p><p>Les données informatisées peuvent être identiques quelle que soit la source et ne</p><p>contiennent aucun élément ou signature humaine distinctif.</p><p>Lorsque les responsabilités des partenaires commerciaux ne sont pas clairement définies</p><p>par un accord de partenariat commercial, il peut y avoir une incertitude liée à une</p><p>responsabilité juridique spécifique. Par conséquent, il est important que, pour protéger</p><p>les deux parties, tout accord soit codifié légalement dans ce que l'on appelle un accord</p><p>de partenaire commercial. Un autre risque est la perte de continuité des activités. La</p><p>corruption des applications EDI, qu'elle soit faite de manière innocente ou délibérée,</p><p>pourrait affecter chaque transaction EDI entreprise par une entreprise. Cela aurait un</p><p>impact négatif sur les relations avec les clients et les fournisseurs. Dans une situation</p><p>extrême, cela pourrait en fin de compte affecter la capacité d'une entreprise à rester en</p><p>activité.</p><p>Les types de risques de sécurité supplémentaires incluent:</p><p>• Accès non autorisé aux transactions électroniques</p><p>• Suppression ou manipulation de transactions avant ou après l'établissement des</p><p>contrôles d'application</p><p>• Perte ou duplication des transmissions EDI</p><p>• Perte de confidentialité et distribution incorrecte des transactions EDI en possession de</p><p>tiers</p><p>Contrôles de processus EDI</p><p>Le risque de sécurité peut être résolu en appliquant des contrôles généraux et en</p><p>établissant une couche supplémentaire</p><p>de procédures de contrôle des applications sur le</p><p>processus EDI qui peut prendre le relais là où les contrôles d'applications traditionnels</p><p>s'arrêtent. Ces contrôles doivent sécuriser l'activité EDI actuelle ainsi que les activités</p><p>historiques qui peuvent être appelées à justifier des transactions commerciales en cas</p><p>de litige.</p><p>Pour protéger les transmissions EDI, le processus EDI devrait inclure les mesures</p><p>électroniques suivantes:</p><p>• Des normes doivent être établies pour indiquer que le format et le contenu des</p><p>messages sont valides pour éviter les erreurs de transmission.</p><p>• Des contrôles doivent être en place pour garantir que les transmissions standard sont</p><p>correctement converties pour le logiciel d'application par l'application de traduction.</p><p>• L'organisme récepteur doit avoir des contrôles en place pour tester le caractère</p><p>raisonnable des messages reçus. Cela devrait être basé sur l'historique des</p><p>transactions d'un partenaire commercial ou sur la documentation reçue qui justifie des</p><p>situations particulières.</p><p>• Des contrôles doivent être mis en place pour éviter la manipulation des données dans</p><p>les transactions, fichiers et archives actifs. Les tentatives de modification des</p><p>Manuel d’examen 27 e édition</p><p>53 | P a g e</p><p>By BlackHavok</p><p>enregistrements doivent être enregistrées par le système pour examen et attention</p><p>par la direction.</p><p>• Des procédures doivent être établies pour déterminer que les messages proviennent</p><p>uniquement de parties autorisées et que les transmissions sont correctement</p><p>autorisées.</p><p>• Des canaux de transmission directs ou dédiés entre les parties devraient exister pour</p><p>réduire le risque de puiser dans les lignes de transmission.</p><p>• Les données doivent être cryptées à l'aide d'algorithmes convenus par les parties</p><p>concernées.</p><p>• Des signatures électroniques devraient figurer dans les transmissions pour identifier la</p><p>source et la destination.</p><p>• Des codes d'authentification de message doivent exister pour garantir que ce qui est</p><p>envoyé est bien reçu.</p><p>Le processus EDI doit pouvoir détecter et traiter les transactions qui ne sont pas</p><p>conformes au format standard ou qui proviennent de / vers des parties non</p><p>autorisées. Les options de gestion des erreurs détectées incluent la demande de</p><p>retransmissions ou la modification manuelle des données.</p><p>La nature critique de nombreuses transactions EDI, telles que les commandes et les</p><p>paiements, exige qu'il y ait une assurance positive que les transmissions ont été</p><p>effectuées. Les transactions doivent être transmises avec succès de l'application</p><p>informatique d'origine à l'organisation de destination. Les méthodes permettant de</p><p>fournir ces garanties comprennent la vérification totale des lots en interne, l'équilibrage</p><p>du nombre d'enregistrements de transmission et d'exécution et l'utilisation de</p><p>transactions d'accusé de réception spéciales pour les accusés de réception fonctionnels.</p><p>Les organisations désireuses d'échanger des transactions à l'aide de l'EDI établissent une</p><p>nouvelle relation commerciale. Cette relation commerciale doit être définie afin que les</p><p>deux parties puissent mener leurs activités de manière cohérente et confiante. Cette</p><p>relation est généralement définie dans un document juridique appelé accord de</p><p>partenaire commercial. Le document doit définir les transactions à utiliser, les</p><p>responsabilités des deux parties dans le traitement et le traitement des transactions,</p><p>ainsi que les conditions commerciales écrites associées aux transactions.</p><p>Réception des transactions entrantes</p><p>Les contrôles doivent garantir que toutes les transactions EDI entrantes sont</p><p>correctement et entièrement reçues (phase de communication), traduites (phase de</p><p>traduction), transmises à une application (phase d'interface d'application) et traitées une</p><p>seule fois.</p><p>Les considérations de contrôle pour la réception des transactions entrantes sont les</p><p>suivantes:</p><p>• Utiliser des techniques de cryptage appropriées lors de l'utilisation des infrastructures</p><p>Internet publiques pour la communication afin d'assurer la confidentialité,</p><p>l'authenticité et l'intégrité des transactions.</p><p>• Effectuez des vérifications de modification pour identifier les transactions erronées,</p><p>inhabituelles ou non valides avant de mettre à jour une application.</p><p>Manuel d’examen 27 e édition</p><p>54 | P a g e</p><p>By BlackHavok</p><p>• Effectuer des vérifications informatisées supplémentaires pour évaluer le caractère</p><p>raisonnable, la validité des transactions, etc. (Envisager des systèmes frontaux</p><p>experts pour les comparaisons complexes.)</p><p>• Enregistrez chaque transaction entrante à réception.</p><p>• Utiliser les totaux de contrôle à la réception des transactions pour vérifier le nombre et</p><p>la valeur des transactions à transmettre à chaque application; réconcilier les totaux</p><p>entre les applications et avec les partenaires commerciaux.</p><p>• Les totaux du nombre de segments sont intégrés dans la fin du jeu de transactions par</p><p>l'expéditeur.</p><p>• Utiliser des techniques de contrôle dans le traitement des transactions individuelles</p><p>telles que les chiffres de contrôle (ajoutés aux données pour garantir que les données</p><p>originales n'ont pas été modifiées et utilisées pour détecter les erreurs de transposition</p><p>et de transcription) sur les champs de contrôle, les comptages en boucle ou les</p><p>répétitions.</p><p>• Assurer l'échange des totaux de contrôle des transactions envoyées et reçues entre</p><p>partenaires commerciaux à des intervalles prédéfinis.</p><p>• Tenir un registre du nombre de messages reçus / envoyés et les valider périodiquement</p><p>avec les partenaires commerciaux.</p><p>• Organisez la sécurité des fichiers temporaires et du transfert de données pour vous</p><p>assurer que les transactions entrantes ne sont pas modifiées ou effacées entre le</p><p>moment de la réception de la transaction et les mises à jour de l'application.</p><p>Transactions sortantes</p><p>Les contrôles doivent garantir que seules les transactions sortantes correctement</p><p>autorisées sont traitées. Cela inclut les objectifs selon lesquels les messages EDI sortants</p><p>sont initiés sur autorisation, qu'ils ne contiennent que des types de transaction pré-</p><p>approuvés et qu'ils sont envoyés uniquement à des partenaires commerciaux valides.</p><p>Les considérations de contrôle pour les transactions sortantes sont les suivantes:</p><p>• Contrôlez la configuration et le changement des détails du partenaire commercial.</p><p>• Comparez les transactions avec les profils de transaction des partenaires</p><p>commerciaux.</p><p>• Faites correspondre le numéro du partenaire commercial au fichier principal de</p><p>négociation (avant la transmission).</p><p>• Limitez le droit des utilisateurs au sein de l'organisation à lancer des transactions EDI</p><p>spécifiques.</p><p>• Séparer les responsabilités de lancement et de transmission pour les transactions à</p><p>haut risque.</p><p>• Approbation de la gestion des documents sur les procédures programmées et les</p><p>modifications ultérieures.</p><p>• Enregistrez toutes les transactions de paiement dans un fichier distinct, qui est examiné</p><p>pour autorisation avant la transmission.</p><p>• Séparez les tâches dans le cycle de transaction, en particulier lorsque les transactions</p><p>sont générées automatiquement par le système.</p><p>• Séparez l'accès aux différents processus d'autorisation dans un cycle de transaction.</p><p>• Signalez les transactions importantes (valeur) ou inhabituelles pour examen avant ou</p><p>après la transmission.</p><p>Manuel d’examen 27 e édition</p><p>55 | P a g e</p><p>By BlackHavok</p><p>• Enregistrez les transactions sortantes dans un fichier temporaire sécurisé jusqu'à ce</p><p>qu'elles soient autorisées et dues pour transmission.</p><p>• Exiger une autorisation sans papier qui établirait un accès spécial aux champs</p><p>d'autorisation (probablement deux niveaux, nécessitant l'intervention d'utilisateurs</p><p>différents) dans</p><p>le système informatique.</p><p>Rôle de l'auditeur SI dans le processus opérationnel EDI</p><p>Un auditeur SI doit évaluer l'EDI pour s'assurer que toutes les transactions EDI entrantes</p><p>sont reçues et traduites avec précision, transmises à une application et traitées une seule</p><p>fois.</p><p>Pour atteindre cet objectif, un auditeur SI doit examiner:</p><p>• Processus de cryptage Internet mis en place pour garantir l'authenticité, l'intégrité, la</p><p>confidentialité et la non-répudiation des transactions</p><p>• Modifier les chèques pour identifier les transactions erronées, inhabituelles ou invalides</p><p>avant de mettre à jour l'application</p><p>• Vérification informatisée supplémentaire pour évaluer le caractère raisonnable et la</p><p>validité des transactions</p><p>• Chaque transaction entrante pour vous assurer qu’elle est enregistrée à la réception</p><p>• L'utilisation de totaux de contrôle à la réception des transactions pour vérifier le nombre</p><p>et la valeur des transactions à transmettre à chaque application et rapprocher les</p><p>totaux entre les applications et avec les partenaires commerciaux</p><p>• Totaux de comptage de segments intégrés dans les remorques de jeux de transactions</p><p>par l'expéditeur</p><p>• Totaux du nombre de jeux de transactions intégrés dans les en-têtes de groupe</p><p>fonctionnel par l'expéditeur</p><p>• Totaux de contrôle des lots intégrés dans les en-têtes des groupes fonctionnels par</p><p>l'expéditeur</p><p>• La validité de l'expéditeur par rapport aux coordonnées du partenaire commercial:</p><p>- L'utilisation de champs de contrôle dans un message EDI au niveau de la transaction,</p><p>de la fonction, du groupe ou de l'échange (souvent dans l'en-tête EDI, la fin ou</p><p>l'enregistrement de contrôle)</p><p>- L'utilisation de numéros de contrôle séquentiels VAN ou de rapports (le cas</p><p>échéant)</p><p>- L'envoi d'une transaction d'accusé de réception pour informer l'expéditeur de la</p><p>réception du message. L'expéditeur doit ensuite faire correspondre cela avec un</p><p>fichier / journal des messages EDI envoyés.</p><p>Les audits EDI impliquent également:</p><p>• Moniteurs d'audit: des périphériques peuvent être installés sur les postes de travail</p><p>EDI pour capturer les transactions au fur et à mesure de leur réception. Ces</p><p>transactions peuvent être stockées dans un fichier protégé à l'usage de l'auditeur. Il</p><p>convient de tenir compte des exigences de stockage pour les volumes volumineux de</p><p>données.</p><p>• Systèmes experts - Dans le contexte de l'utilisation du système informatique pour</p><p>les vérifications du contrôle interne, il faudrait envisager de demander aux contrôleurs</p><p>d'audit d'évaluer les transactions reçues. Sur la base de règles de jugement, le</p><p>Manuel d’examen 27 e édition</p><p>56 | P a g e</p><p>By BlackHavok</p><p>système peut déterminer l'importance de l'audit de ces transactions et fournir un</p><p>rapport à l'usage de l'auditeur.</p><p>Email</p><p>Le courrier électronique peut être la fonctionnalité la plus utilisée d'Internet ou des</p><p>réseaux locaux dans une organisation. Au niveau le plus élémentaire, le processus de</p><p>courrier électronique peut être divisé en deux composants principaux:</p><p>• Serveurs de messagerie: hôtes qui remettent, transfèrent et stockent le courrier</p><p>• Clients —Interface avec les utilisateurs, permettant aux utilisateurs de lire, composer,</p><p>envoyer et stocker des e-mails</p><p>Lorsqu'un utilisateur envoie un e-mail, celui-ci est d'abord décomposé par le</p><p>TCP (Transmission Control Protocol) en paquets IP (Internet Protocol). Ces paquets sont</p><p>ensuite envoyés à un routeur interne, qui examine l'adresse et décide si le courrier doit</p><p>être livré à l'intérieur ou à l'extérieur du réseau. Si le courrier est destiné à un client</p><p>interne, le courrier lui est remis. Si le courrier doit être livré en dehors du réseau, il peut</p><p>passer par un pare-feu, qui déterminera s'il peut être envoyé ou reçu.</p><p>Une fois sur Internet, le message est envoyé à un routeur Internet, qui examine l'adresse</p><p>et détermine où le message doit être envoyé. Une passerelle sur le réseau de réception</p><p>reçoit le message électronique, qui utilise TCP pour reconstruire les paquets IP en un</p><p>message complet et traduit le message dans le protocole utilisé par le réseau cible. Le</p><p>message peut également être nécessaire pour passer à travers un pare-feu sur le réseau</p><p>de réception. Le réseau récepteur examine l'adresse e-mail et envoie le message à une</p><p>boîte aux lettres spécifique.</p><p>Les fichiers binaires peuvent être joints à un e-mail à l'aide de l'encodage. Le récepteur</p><p>devra décoder le fichier une fois qu'il sera reçu. Les progiciels de messagerie électronique</p><p>effectuent automatiquement l'encodage pour l'utilisateur et le décodage côté réception.</p><p>Dans un réseau fermé, un e-mail doit traverser une série de réseaux avant d'atteindre le</p><p>destinataire. Ces réseaux peuvent utiliser différents formats de messagerie. Les</p><p>passerelles effectuent le travail de traduction des formats de courrier électronique d'un</p><p>réseau à un autre, afin que les messages puissent se frayer un chemin à travers tous les</p><p>réseaux.</p><p>Les protocoles suivants sont les protocoles principaux qu'un auditeur SI devra connaître</p><p>lors de l'examen des services de messagerie:</p><p>• Courriel sortant</p><p>- SMTP (Simple Mail Transport Protocol)</p><p>• E-mails entrants</p><p>- Protocole Post Office (POP)</p><p>- Protocole Internet Message Access Protocol (IMAP)</p><p>- Protocole de transfert hypertexte (HTTP) - Également appelé «courrier électronique</p><p>sur le Web» - Interface de programmation d'application de messagerie (MAPI) -</p><p>Utilisé avec Outlook conjointement avec un serveur de messagerie Microsoft</p><p>Exchange Server; très proche d'IMAP mais a des fonctionnalités étendues pour</p><p>interagir avec d'autres applications</p><p>Manuel d’examen 27 e édition</p><p>57 | P a g e</p><p>By BlackHavok</p><p>De nombreuses organisations déplacent leurs systèmes de messagerie vers le cloud. Cela</p><p>sous-traite essentiellement de nombreux problèmes de maintenance et de gestion de la</p><p>sécurité associés à la maintenance des serveurs de messagerie et transfère les dépenses</p><p>des investissements en capital aux dépenses opérationnelles. Il offre également une</p><p>évolutivité et une disponibilité supplémentaires, ce qui serait plus difficile à réaliser dans</p><p>les petites opérations informatiques. Cependant, les auditeurs SI doivent être conscients</p><p>des exigences réglementaires de leur organisation.</p><p>Systèmes de point de vente</p><p>Les systèmes de point de vente (POS) permettent la capture des données au moment et</p><p>au lieu où les transactions de vente ont lieu. Les instruments de paiement les plus</p><p>courants pour fonctionner avec les points de vente sont les cartes de crédit et de</p><p>débit. Les terminaux de point de vente peuvent avoir des équipements périphériques</p><p>connectés, tels que des scanners optiques pour lire les codes à barres, des lecteurs de</p><p>cartes magnétiques pour les cartes de crédit ou de débit ou des lecteurs électroniques</p><p>pour les cartes à puce, afin d'améliorer l'efficacité et la précision du processus</p><p>d'enregistrement des transactions.</p><p>Il est très important pour un auditeur SI de déterminer si des données de titulaire de</p><p>carte, telles que les numéros de compte principal (PAN) ou les numéros d'identification</p><p>personnels (PIN), sont stockées sur le système de point de vente local. Ces informations,</p><p>si elles sont stockées sur le système de point de vente, doivent être cryptées à l'aide de</p><p>méthodes de cryptage solides. Certaines données, telles que les numéros de valeur de</p><p>vérification de carte (CVV), ne peuvent jamais être stockées sur ces appareils.</p><p>Sytème bancaire électronique</p><p>Les institutions financières fournissent des services électroniques à distance aux</p><p>consommateurs et aux entreprises depuis de nombreuses années. Le risque associé aux</p><p>activités bancaires électroniques (ebanking) comprend les risques stratégiques, de</p><p>réputation, opérationnels (y compris les risques de sécurité - parfois appelés</p><p>transactionnels - et</p><p>Sarada Ganti, CISA, CISM, Allergan Pharma, États-Unis</p><p>Mohamed Gohar, CISA, CISM, CRISC, CGEIT, CEH, CISSP, CLPTP,</p><p>COBIT 5, ISO 21500 LPM, ISO / IEC 20000 LI, ISO / IEC 24762 IT DRM,</p><p>ISO / IEC 27001 LA / LI, ISO / IEC 27005 LRM, ISO / IEC 27032 LCM,</p><p>ISO / IEC 27034 App Sec LI, ISO / IEC 38500 IT CGM, ITIL</p><p>Manuel d’examen 27 e édition</p><p>5 | P a g e</p><p>By BlackHavok</p><p>Praticien / Expert, PMP, Praticien Resilia, SSGB, Praticien TOGAF, Egypte</p><p>Shruti Shrikant Kulkarni, CISA, CRISC, CCSK, CISSP, Expert ITIL V3, Interpublic Group,</p><p>Royaume-Uni</p><p>S. Krishna Kumar, CISA, CISM, CGEIT, Inde</p><p>Vivian Mojuetan, CISA, CRISC, Vocalink, Royaume-Uni</p><p>Juan Carlos Morales, CISA, CISM, CGEIT, CRISC, Guatemala</p><p>Mukesh Nathani, CISA, PMP, Deloitte, Canada</p><p>Dapo Ogunkola, CISA, CRISC, ACA, CFE, CFSA, EY, Royaume-Uni</p><p>Ganiyu Oladimeji, CISA, CISM, CRISC, Moshood Abiola Polytechnic, Nigéria</p><p>Opeyemi Onifade, CISA, CISM, CGEIT, BRMP, CCSP, CISSP, ISO</p><p>27001LA, PCI-QSA, Afenoid Enterprise Limited, Nigéria</p><p>Teju Oyewole, CISA, CISM, CRISC, CCSP, CISSP, PMP, Indigo Books & Music, Canada</p><p>Vaibhav Patkar, CISA, CISM, CGEIT, CRISC, CISSP, Inde</p><p>Esteban Pizzini, CISA, Argentine</p><p>Robert Prince, CISA, CISSP, Sempra Energy, États-Unis</p><p>Shahid Qureshi, CISA, CGA, CIA (USA), CPA, FCCA (UK), FCMA, FCIS, FCSM, Canada</p><p>Sreekrishna Rao, CISA, Royaume-Uni</p><p>Salah Riahi, CISA, CGEIT, CIA, CPA, Audit Risk Consulting, Tunisie</p><p>Anamika Roy, CISA, CA, CIA, SFC, BDO USA LLP, États-Unis</p><p>Markus Schiemer, CISA, CGEIT, CRISC, Microsoft, Autriche</p><p>Xitij U. Shukla, Ph.D., CISA, Anand Agricultural University, Inde</p><p>Vivek Silla, CISA, CISM, CRISC, CEH, CHFI, CICA, CIPM, CISSP, ISO</p><p>27001 Lead Auditor, ITIL Foundation, SCF, The Saudi Investment Bank, Arabie</p><p>Saoudite</p><p>Bhavani Suresh, CISA, CISM, CGEIT, évaluateur certifié COBIT, Nbiz Infosol, EAU</p><p>Katalin Szenes, CISA, CISM, CGEIT, CISSP, Obuda University, Hongrie</p><p>Vikrant V. Tanksale, CISA, Oman</p><p>Luong Trung Thanh, CISA, CISM, CGEIT, Vietnam</p><p>Ross E. Wescott, CISA, CCP, CIA (ret.), CUERME, Wescott and Associates,</p><p>Etats-Unis</p><p>Prométhée Yang, CISA, CISM, CRISC, Taiwan</p><p>L'ISACA a commencé à planifier la prochaine édition du Manuel de révision CISA® . La</p><p>participation des bénévoles est le moteur du succès du manuel. Si vous souhaitez devenir</p><p>membre du groupe restreint de professionnels impliqués dans ce projet mondial, veuillez</p><p>visiter engage.isaca.org .</p><p>Nouveau — CISA Job Practice</p><p>À partir de 2019, l'examen Certified Information Systems Auditor (CISA) teste la nouvelle</p><p>pratique professionnelle CISA.</p><p>Une analyse internationale des pratiques de travail est effectuée périodiquement pour</p><p>maintenir la validité du programme de certification CISA. Une nouvelle pratique</p><p>professionnelle constitue la base de la CISA.</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://engage.isaca.org/</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://engage.isaca.org/</p><p>Manuel d’examen 27 e édition</p><p>6 | P a g e</p><p>By BlackHavok</p><p>La pratique professionnelle se concentre principalement sur les tâches actuelles</p><p>exécutées et les connaissances utilisées par les CISA. En rassemblant des preuves des</p><p>pratiques de travail actuelles des CISA, l'ISACA garantit que le programme CISA continue</p><p>de répondre aux normes élevées de certification des professionnels à travers le monde.</p><p>Les résultats de l'analyse des pratiques de travail CISA sont soigneusement examinés et</p><p>influencent directement le développement de nouvelles spécifications de test pour</p><p>s'assurer que l'examen CISA reflète les meilleures pratiques les plus récentes.</p><p>La nouvelle pratique professionnelle reflète les domaines d'études à tester et est</p><p>comparée ci-dessous à la pratique professionnelle précédente. La pratique complète du</p><p>CISA est disponible sur www.isaca.org/cisajobpractice .</p><p>Table des matières</p><p>À propos de ce manuel</p><p>Présentation Format de ce manuel Préparation à l'examen CISA</p><p>Commencer</p><p>Utilisation du manuel d'examen CISA</p><p>Caractéristiques manuelles</p><p>Utilisation du manuel de révision CISA et d'autres ressources ISACA</p><p>À propos des produits de la CISA Review Questions, Answers and Explanations</p><p>Chapitre 1:</p><p>Processus d'audit du système d'information</p><p>Aperçu</p><p>Contenu de l'examen du domaine 1 Aperçu des objectifs d'apprentissage /</p><p>énoncés des tâches Ressources suggérées pour une étude plus approfondie</p><p>Questions d'auto-évaluation Réponses aux questions d'auto-évaluation</p><p>Partie A: Planification</p><p>1.0 Introduction 1.1 Normes d'audit, directives et codes d'éthique des SI</p><p>1.1.1 Normes d'audit et d'assurance ISAC IS</p><p>1.1.2 ISACA IS Audit and Assurance Guidelines</p><p>1.1.3 Code d'éthique professionnelle de l'ISACA</p><p>1.1.4 ITAF ™</p><p>1.2 Processus commerciaux</p><p>1.2.1 Fonction d'audit interne du SI</p><p>Charte d'audit</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/cisajobpractice</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/cisajobpractice</p><p>Manuel d’examen 27 e édition</p><p>7 | P a g e</p><p>By BlackHavok</p><p>1.2.2 Gestion de la fonction d'audit des SI Gestion des</p><p>ressources d'audit des SI</p><p>1.2.3 Planification de l'audit</p><p>Attributions d'audit individuelles</p><p>1.2.4 Effet des lois et règlements sur la planification de l'audit des SI</p><p>1.2.5 Applications et contrôles des processus d'affaires</p><p>Commerce électronique</p><p>Échange électronique de données</p><p>Email</p><p>Systèmes de point de vente</p><p>Système bancaire électronique</p><p>Transfert électronique de fonds</p><p>Guichet automatique</p><p>Finance électronique</p><p>Systèmes de fabrication intégrés</p><p>Réponse vocale interactive</p><p>Système de comptabilité d'achat</p><p>Traitement d'image</p><p>Systèmes de contrôle industriels</p><p>Intelligence artificielle et systèmes experts</p><p>Gestion de la chaîne logistique</p><p>Gestion de la relation client</p><p>1.2.6 Recours aux services d'autres auditeurs et experts</p><p>1.3 Types de contrôles</p><p>1.3.1 Objectifs de contrôle et mesures de contrôle Objectifs de</p><p>contrôle des SI</p><p>1.3.2 Évaluation de l'environnement de contrôle</p><p>1.3.3 Contrôles généraux</p><p>1.3.4 Contrôles spécifiques au SI</p><p>1.4 Planification de la vérification fondée sur les risques</p><p>1.4.1 Risque d'audit et importance relative</p><p>1.4.2 Évaluation des risques</p><p>1.4.3 Techniques d'évaluation des risques d'audit des SI</p><p>1.4.4 Analyse des risques</p><p>1.5 Types de vérifications et d'évaluations</p><p>Partie B: Exécution</p><p>1.6 Gestion de projet d'audit</p><p>1.6.1 Objectifs de l'audit</p><p>1.6.2 Phases d'audit</p><p>1.6.3 Programmes d'audit</p><p>Compétences minimales pour élaborer un programme d'audit</p><p>1.6.4 Documents de travail d'audit</p><p>1.6.5 Fraude, irrégularités et actes illégaux</p><p>1.7 Méthodologie d'échantillonnage</p><p>1.7.1 Conformité et tests de corroboration</p><p>Manuel d’examen 27 e édition</p><p>8 | P a g e</p><p>By BlackHavok</p><p>1.7.2 Échantillonnage Risque</p><p>d'échantillonnage</p><p>1.8 Techniques de collecte des éléments probants</p><p>1.8.1 Interviewer et observer le personnel dans l'exercice de ses fonctions</p><p>1.9 Analyse des données</p><p>1.9.1 Techniques d'audit assistées par ordinateur</p><p>Les CAAT comme approche d'audit en ligne continue</p><p>1.9.2 Audit et surveillance continus</p><p>1.9.3 Techniques d'audit continu</p><p>1.10 Techniques de communication et de communication</p><p>1.10.1 Communication des résultats de l'audit</p><p>1.10.2 Objectifs du rapport d'audit</p><p>1.10.3 Structure et contenu du rapport d'audit</p><p>1.10.4 Documentation d'audit</p><p>1.10.5 Activités de suivi</p><p>1.10.6 Types de rapports d'audit des SI</p><p>1.11 Assurance qualité et amélioration du processus d'audit</p><p>1.11.1 Auto-évaluation du contrôle</p><p>Objectifs de l'ASC</p><p>Avantages de l'ASC</p><p>Inconvénients de CSA</p><p>Rôle de l'auditeur SI au sein de l'ASC</p><p>1.11.2 Audit intégré</p><p>Étude de cas</p><p>Réponses aux questions des études de cas</p><p>Chapitre 2:</p><p>Gouvernance et gestion des TI</p><p>Aperçu</p><p>Contenu de l'examen du domaine 2 Aperçu des objectifs d'apprentissage /</p><p>énoncés des tâches Ressources suggérées pour une étude plus approfondie</p><p>juridiques), de crédit, de prix, de change, de taux d'intérêt et de</p><p>liquidité. Les activités d'eBanking n'augmentent pas le risque qui n'était pas déjà identifié</p><p>dans la banque traditionnelle, mais l'ebanking augmente et modifie certains types de</p><p>risques traditionnels. Le cœur de métier et l'environnement informatique sont</p><p>étroitement liés, influençant ainsi le profil de risque global de l'ebanking.</p><p>Un auditeur SI s'intéresse davantage aux risques stratégiques, opérationnels et de</p><p>réputation, car ces domaines de risque sont directement liés aux menaces à la fiabilité</p><p>du flux de données et au risque opérationnel et sont certainement renforcés par</p><p>l'introduction rapide et la complexité technologique sous-jacente de l'ebanking.</p><p>Défis de la gestion des risques</p><p>Ebanking présente un certain nombre de défis en matière de gestion des risques:</p><p>• La rapidité des changements liés à l'innovation technologique et aux services dans</p><p>l'ebanking augmente le défi de garantir qu'une évaluation stratégique, une analyse des</p><p>risques et des revues de sécurité adéquates sont effectuées avant la mise en œuvre</p><p>de nouvelles applications d'ebanking.</p><p>• Les sites Web de transactions bancaires en ligne et les applications commerciales de</p><p>détail et de gros associées sont généralement intégrés autant que possible aux</p><p>Manuel d’examen 27 e édition</p><p>58 | P a g e</p><p>By BlackHavok</p><p>systèmes informatiques existants pour permettre un traitement plus direct des</p><p>transactions électroniques. Un tel traitement automatisé direct réduit les risques</p><p>d'erreur humaine et de fraude inhérents aux processus manuels, mais il augmente</p><p>également la dépendance vis-à-vis de la conception et de l'architecture du système,</p><p>ainsi que l'interopérabilité et l'évolutivité opérationnelle du système.</p><p>• Ebanking accroît la dépendance d'une banque vis-à-vis des technologies de</p><p>l'information, augmentant ainsi la complexité technique de nombreux problèmes</p><p>opérationnels et de sécurité et favorisant une tendance vers davantage de</p><p>partenariats, d'alliances et d'accords d'impartition avec des tiers tels que les</p><p>fournisseurs de services Internet, les sociétés de télécommunications et d'autres</p><p>entreprises technologiques.</p><p>• Internet accroît considérablement l'importance des contrôles de sécurité, des</p><p>techniques d'authentification des clients, de la protection des données, des procédures</p><p>de piste d'audit et des normes de confidentialité des clients.</p><p>Contrôles de gestion des risques pour Ebanking</p><p>Les contrôles de gestion des risques efficaces pour l'ebanking comprennent les contrôles</p><p>suivants:</p><p>• Surveillance du conseil d'administration et de la direction:</p><p>1. Contrôle efficace de la gestion des activités de banque en ligne</p><p>2. Mise en place d'un processus complet de contrôle de sécurité</p><p>3. Processus complet de diligence raisonnable et de supervision de la gestion pour</p><p>l'externalisation des relations et autres dépendances avec des tiers</p><p>• Contrôles de sécurité:</p><p>1. Authentification des clients ebanking</p><p>2. Non-répudiation et responsabilité des transactions bancaires</p><p>3. Mesures appropriées pour assurer le SoD</p><p>4. Contrôles d'autorisation appropriés dans les systèmes, bases de données et</p><p>applications de banque en ligne</p><p>5. Intégrité des données des transactions bancaires, des enregistrements et des</p><p>informations</p><p>6. Etablissement de pistes d'audit claires pour les transactions bancaires</p><p>7. Confidentialité des informations bancaires clés • Gestion des risques juridiques</p><p>et de réputation:</p><p>1. Divulgation appropriée des services bancaires électroniques</p><p>2. Confidentialité des informations client</p><p>3. Capacité, continuité des activités et planification d'urgence pour garantir la</p><p>disponibilité des systèmes et services bancaires en ligne</p><p>4. Planification de la réponse aux incidents</p><p>5. Conformité aux directives du secteur bancaire (par exemple, accords de Bâle)</p><p>Transfert électronique de fonds</p><p>L'EFT est le transfert électronique de fonds entre un acheteur, un vendeur et leurs</p><p>institutions financières respectives. L'EFT permet aux parties de transférer de l'argent</p><p>d'un compte à un autre, remplaçant les procédures traditionnelles de rédaction de</p><p>chèques et de collecte d'espèces. Les transactions par TEF fonctionnent généralement</p><p>via un virement bancaire interne d'un compte à un autre ou via un réseau de chambre</p><p>de compensation.</p><p>Manuel d’examen 27 e édition</p><p>59 | P a g e</p><p>By BlackHavok</p><p>Les transactions proviennent d'un ordinateur dans une institution (emplacement) et sont</p><p>transmises à un ordinateur dans une autre institution (emplacement) avec le montant</p><p>monétaire enregistré dans les comptes de l'organisation respective. En raison du volume</p><p>potentiellement élevé d'argent échangé, ces systèmes peuvent être dans une catégorie</p><p>à très haut risque. Par conséquent, la sécurité d'accès et l'autorisation de traitement sont</p><p>des contrôles importants. En ce qui concerne les transactions TEF, les exigences de la</p><p>banque centrale doivent être revues pour être appliquées dans ces processus.</p><p>Rôle de l'auditeur du SI dans le processus opérationnel de l'EFT</p><p>L'accès individuel des consommateurs à un système EFT peut être contrôlé par une carte</p><p>en plastique et un code PIN ou par d'autres moyens qui contournent le besoin d'une</p><p>carte. Un auditeur SI doit examiner la sécurité physique des cartes en plastique non</p><p>émises, les procédures utilisées pour générer les codes PIN, les procédures utilisées pour</p><p>émettre les cartes et les codes PIN, et les conditions dans lesquelles le consommateur</p><p>utilise les dispositifs d'accès.</p><p>La sécurité dans un environnement EFT garantit que:</p><p>• Tous les équipements et les liaisons de communication sont testés pour transmettre et</p><p>recevoir des données de manière efficace et fiable.</p><p>• Chaque partie utilise des procédures de sécurité qui sont raisonnablement suffisantes</p><p>pour affecter la transmission autorisée de données et pour protéger les</p><p>enregistrements commerciaux et les données d'un accès inapproprié.</p><p>• Il existe des directives pour la réception des données et pour garantir que la date et</p><p>l'heure de réception des données transmises sont la date et l'heure de réception des</p><p>données.</p><p>• À la réception des données, la partie réceptrice transmet immédiatement un accusé de</p><p>réception ou une notification pour informer l'expéditeur qu'une transmission a</p><p>réussi.</p><p>• Des normes de chiffrement des données sont définies.</p><p>• Des normes pour les transmissions inintelligibles sont établies.</p><p>• Les exigences réglementaires concernant le caractère exécutoire des données</p><p>électroniques transmises et reçues sont explicitement énoncées.</p><p>Un auditeur SI doit s'assurer que des méthodes d'authentification raisonnables sont</p><p>requises pour l'accès aux systèmes EFT. Le réseau de communication doit être conçu</p><p>pour offrir une sécurité maximale. Le chiffrement des données est recommandé pour</p><p>toutes les transactions; cependant, un auditeur SI doit déterminer toutes les conditions</p><p>dans lesquelles le code PIN peut être accessible en mode clair.</p><p>Un commutateur EFT impliqué dans le réseau est également une préoccupation d'audit</p><p>du SI. Un commutateur EFT est l'installation qui fournit la liaison de communication pour</p><p>tous les équipements du réseau. Un auditeur SI doit revoir le contrat avec le</p><p>commutateur et l'audit tiers des opérations du commutateur. Si aucun audit tiers n'a été</p><p>effectué, l'auditeur du SI doit envisager de visiter l'emplacement du commutateur.</p><p>Au niveau du traitement des demandes, un auditeur des SI devrait examiner l'interface</p><p>entre le système de TEF et les systèmes d'application qui traitent les comptes à partir</p><p>desquels les fonds sont transférés. La disponibilité des fonds ou l'adéquation des limites</p><p>Manuel d’examen 27 e édition</p><p>60 | P a g e</p><p>By BlackHavok</p><p>de crédit doivent</p><p>être vérifiées avant le transfert des fonds. Malheureusement, ce n'est</p><p>pas toujours le cas. En raison des pénalités imposées en cas de non-transfert en temps</p><p>opportun, un auditeur SI doit revoir les dispositions de sauvegarde ou les autres</p><p>méthodes utilisées pour assurer la continuité des opérations. Parce que l'EFT réduit le</p><p>flux de papier et par conséquent réduit les pistes d'audit normales, un auditeur SI doit</p><p>déterminer que des pistes d'audit alternatives sont disponibles.</p><p>Guichet automatique</p><p>Un GAB est une forme spécialisée du terminal de point de vente conçu pour être utilisé</p><p>sans surveillance par un client d'une institution financière. Ces machines permettent</p><p>généralement une gamme d'opérations bancaires et de débit, en particulier les dépôts</p><p>financiers et les retraits d'espèces. De nombreux guichets automatiques sont situés dans</p><p>des zones non contrôlées pour faciliter l'accès facile aux clients après les heures</p><p>d'ouverture. Ils deviennent des réseaux EFT de détail, transférant des informations et de</p><p>l'argent sur des lignes de communication. Par conséquent, le système doit fournir des</p><p>niveaux élevés de sécurité logique et physique pour le client et la machine. L'architecture</p><p>ATM comprend une couche réseau physique, un commutateur et une couche de</p><p>communication reliant les différents terminaux ATM POS.</p><p>Les directives de contrôle interne recommandées pour les guichets automatiques, en</p><p>dehors de ce qui a été fourni pour tout TEF, sont les suivantes:</p><p>• Politiques et procédures écrites couvrant le personnel, les contrôles de sécurité, les</p><p>opérations, le crédit de reprise après sinistre et l'autorisation de vérification, les limites</p><p>de plancher, les dérogations, le règlement et l'équilibrage</p><p>• Rapprochement de tous les comptes du grand livre général liés aux télévirements et</p><p>examen des postes d'exception et des comptes d'attente</p><p>• Procédures d’émission et de protection du NIP pendant le stockage</p><p>• Procédures pour la sécurité des codes PIN lors de la livraison et la restriction de l'accès</p><p>au compte d'un client après un petit nombre de tentatives infructueuses</p><p>• Systèmes conçus, testés et contrôlés pour empêcher la récupération des codes PIN</p><p>stockés sous toute forme non cryptée. Les programmes d'application et autres logiciels</p><p>contenant des formules, des algorithmes et des données utilisés pour calculer les codes</p><p>PIN doivent être soumis au plus haut niveau d'accès pour des raisons de sécurité.</p><p>• Contrôles sur l'approvisionnement en cartes plastiques, qui devraient être adéquats et</p><p>inclure un accord écrit entre le fabricant de la carte et la banque qui détaille les</p><p>procédures de contrôle et les méthodes de résolution à suivre en cas de problème.</p><p>• Contrôles et pistes d'audit des transactions qui ont été effectuées dans le GAB. Cela</p><p>devrait inclure l'enregistrement interne dans l'ATM, soit sur papier interne ou sur</p><p>support numérique, selon la réglementation ou les lois de chaque pays et sur les hôtes</p><p>impliqués dans la transaction.</p><p>Rôle de l'auditeur du SI dans l'utilisation des distributeurs automatiques de</p><p>billets</p><p>Pour effectuer un audit des distributeurs automatiques de billets, un auditeur SI doit</p><p>entreprendre les actions suivantes:</p><p>• Examiner la sécurité physique pour empêcher l'introduction de logiciels</p><p>malveillants.</p><p>Manuel d’examen 27 e édition</p><p>61 | P a g e</p><p>By BlackHavok</p><p>• Revoir les mesures pour établir une identification correcte des clients et maintenir leur</p><p>confidentialité.</p><p>• Examiner le système de maintenance et de conservation des fichiers pour suivre les</p><p>transactions.</p><p>• Examiner les rapports d'exception pour fournir une piste d'audit.</p><p>• Examiner le rapprochement quotidien des transactions ATM, notamment:</p><p>- Revoir SoD dans l'ouverture du GAB et recomptage du dépôt. - Revoir les procédures</p><p>effectuées pour les cartes conservées.</p><p>• Passez en revue les procédures de gestion des modifications de clés de chiffrement.</p><p>- Revoir les mesures de sécurité physiques pour garantir la sécurité du GAB et de</p><p>l'argent contenu dans le GAB.</p><p>- Passez en revue la fente pour carte ATM, le clavier et le boîtier pour éviter</p><p>l'écrémage</p><p>des données de la carte et saisie du code PIN lors de la saisie.</p><p>Finance électronique</p><p>La finance électronique (efinance) fait partie intégrante du secteur des services financiers</p><p>et permet aux fournisseurs d'émerger à l'intérieur et à travers les pays, y compris les</p><p>banques en ligne, les maisons de courtage et les entreprises qui permettent aux</p><p>consommateurs de comparer les services financiers tels que les prêts hypothécaires et</p><p>les polices d'assurance. Des entités non financières sont également entrées sur le</p><p>marché, notamment des sociétés de télécommunications et de services publics qui</p><p>proposent des services de paiement et d'autres services.</p><p>Les avantages de cette approche pour les consommateurs sont:</p><p>• Coûts réduits</p><p>• Ampleur et qualité accrues</p><p>• Élargir l'accès aux services financiers</p><p>• Asynchronie (découplée dans le temps)</p><p>• Atopie (découplée en fonction de l'emplacement)</p><p>En utilisant le pointage de crédit et d'autres techniques d'exploration de données, les</p><p>fournisseurs peuvent créer et personnaliser des produits sur Internet sans intervention</p><p>humaine et à un coût très faible. Les fournisseurs peuvent mieux stratifier leur clientèle</p><p>en analysant les données collectées sur Internet et permettre aux consommateurs de</p><p>créer des profils de préférences en ligne. Cela permet non seulement la personnalisation</p><p>des informations et des services, mais également une tarification plus personnalisée des</p><p>services financiers et une identification plus efficace du risque de crédit. Dans le même</p><p>temps, Internet permet aux nouveaux prestataires de services financiers de concurrencer</p><p>plus efficacement les clients car il ne fait pas de distinction entre les prestataires</p><p>traditionnels de services financiers traditionnels et ceux qui ne sont pas physiquement</p><p>présents. Toutes ces forces offrent de gros avantages aux consommateurs aux niveaux</p><p>de la vente au détail et du commerce. Ces mécanismes doivent être utilisés dans les</p><p>déclarations de lois sur la vie privée (concernant la confidentialité et l'autorisation) pour</p><p>recueillir diverses informations sur les utilisateurs et créer des profils.</p><p>Systèmes de fabrication intégrés</p><p>Manuel d’examen 27 e édition</p><p>62 | P a g e</p><p>By BlackHavok</p><p>Les systèmes de fabrication intégrés (IMS) ont une longue histoire et, par conséquent, il</p><p>existe de nombreux modèles et approches. Certains des systèmes de fabrication intégrés</p><p>comprennent la nomenclature (BOM), le traitement de la nomenclature (BOMP), la</p><p>planification des ressources de fabrication (MRP), la conception assistée par ordinateur</p><p>(CAD), la fabrication intégrée (ou intensive en informatique) (CIM), et comptabilité de</p><p>fabrication et production (MAP). Les IMS d'origine étaient basés sur BOM et BOMP et</p><p>étaient généralement pris en charge par un système de gestion de base de données</p><p>hiérarchique (SGBD).</p><p>Évolution vers une intégration plus poussée avec d'autres fonctions commerciales (p. Ex.</p><p>Enregistrement des matières premières, transactions en cours et de produits finis,</p><p>ajustements de stocks, achats, gestion des fournisseurs, ventes, comptes créditeurs,</p><p>comptes débiteurs, marchandises reçues, inspection, factures, coût comptabilité,</p><p>maintenance) a conduit au MRP (initialement pour le traitement des besoins en</p><p>matériaux, maintenant pour la planification des ressources de fabrication), qui est une</p><p>famille de normes largement utilisées et de packages basés sur des normes. MRP est un</p><p>module typique de la plupart des progiciels ERP tels que SAP ou Oracle Financials et est</p><p>généralement intégré dans les systèmes modernes de gestion de la relation client (CRM)</p><p>et de gestion de la chaîne d'approvisionnement (SCM).</p><p>La CAO, l'ingénierie</p><p>assistée par ordinateur (CAE) et la fabrication assistée par ordinateur</p><p>(FAO) - cette dernière comprenant le contrôle numérique informatisé (CNC) - ont conduit</p><p>au CIM. Le CIM est fréquemment utilisé pour faire fonctionner d'énormes usines</p><p>d'extinction, une grande partie des biens de consommation étant fabriqués dans ces</p><p>environnements.</p><p>L'importance pour un auditeur SI est le nombre élevé de systèmes et d'applications</p><p>utilisant ces technologies. Plus l'échelle d'intégration est grande, plus l'attention des</p><p>auditeurs SI est requise. Les projets CIM hautement intégrés nécessitent la même</p><p>attention d'un auditeur SI que les ERP mentionnés précédemment dans ce chapitre. Ce</p><p>sont des entreprises majeures qui devraient être fondées sur des études de faisabilité</p><p>complètes et soumises à l'approbation de la direction et à une surveillance étroite.</p><p>Réponse vocale interactive</p><p>En téléphonie, la réponse vocale interactive (RVI) est une technologie téléphonique qui</p><p>permet à un ordinateur de détecter la voix et les tonalités à l'aide d'un appel téléphonique</p><p>normal. L'appelant utilise le clavier du téléphone pour sélectionner parmi les choix de</p><p>menu prédéfinis fournis par l'IVR. Le système IVR répond ensuite par un signal audio</p><p>préenregistré ou généré dynamiquement pour diriger davantage les appelants ou</p><p>acheminer l'appelant vers un représentant du service client. Les systèmes IVR peuvent</p><p>être utilisés pour contrôler presque toutes les fonctions dans lesquelles l'interface peut</p><p>être décomposée en une série de choix de menu simples. Les systèmes IVR évoluent</p><p>généralement bien pour gérer de gros volumes d'appels.</p><p>Un auditeur SI doit s'assurer que des contrôles sur ces systèmes sont en place pour</p><p>empêcher les personnes non autorisées d'entrer des commandes au niveau du système</p><p>qui pourraient leur permettre de modifier ou de réenregistrer les options de menu.</p><p>Système de comptabilité d'achat</p><p>Manuel d’examen 27 e édition</p><p>63 | P a g e</p><p>By BlackHavok</p><p>Les transactions financières sont fréquemment traitées par plusieurs systèmes. Par</p><p>exemple, dans un magasin de détail, une vente est d'abord traitée dans le système de</p><p>comptabilité des ventes, puis traitée par le système des comptes clients (si l'achat a été</p><p>effectué par carte de crédit) et, pour les ventes au comptant ou à crédit, via le système</p><p>d'inventaire (lorsque ils sont liés). Cette même vente pourrait déclencher le système de</p><p>comptabilité d'achat pour remplacer l'inventaire épuisé. Finalement, les transactions font</p><p>partie du système du grand livre général car toutes les transactions sont enregistrées</p><p>quelque part dans ce système. Pour que l'intégration des systèmes soit efficace, le</p><p>traitement d'une transaction financière doit être complet, précis et opportun. Si ce n'est</p><p>pas le cas, un effet d'entraînement nuit à l'intégrité des données.</p><p>Les systèmes de comptabilité d'achat traitent les données des achats et des</p><p>paiements. Étant donné que les achats entraînent automatiquement des paiements, si</p><p>les achats sont correctement conclus, un contrôle partiel des paiements existe. Des</p><p>contrôles supplémentaires sur les paiements sont également nécessaires pour garantir</p><p>que chaque paiement a été effectué pour des biens et services reçus, que le même achat</p><p>n'a pas été payé deux fois et qu'ils ont effectivement été payés. La plupart des systèmes</p><p>de comptabilité d'achat remplissent trois fonctions comptables de base:</p><p>1. Traitement des comptes fournisseurs - Enregistrement des transactions dans les</p><p>registres des comptes fournisseurs</p><p>2. Traitement des marchandises reçues - Enregistrement des détails des</p><p>marchandises reçues mais non encore facturées</p><p>3. Traitement des commandes - Enregistrement des marchandises commandées mais</p><p>pas encore reçues</p><p>Traitement d'image</p><p>Certains des nombreux algorithmes utilisés dans le traitement d'image incluent la</p><p>convolution (sur laquelle de nombreux autres sont basés), la transformée de Fourier</p><p>rapide (FFT), la transformée en cosinus discrète (DCT), l'amincissement (ou la</p><p>squelettisation), la détection des bords et l'amélioration du contraste. Ceux-ci sont</p><p>généralement implémentés dans un logiciel, mais peuvent également utiliser du matériel</p><p>spécial pour la vitesse.</p><p>Un système d'imagerie stocke, récupère et traite des données graphiques, telles que des</p><p>images, des tableaux et des graphiques, au lieu ou en plus des données texte. Les</p><p>capacités de stockage doivent être énormes, et la plupart des systèmes d'images incluent</p><p>un stockage sur disque optique. En plus des disques optiques, les systèmes incluent la</p><p>numérisation haute vitesse, les écrans haute résolution, la compression rapide et</p><p>puissante, les fonctions de communication et l'impression laser. Les systèmes incluent</p><p>des techniques qui peuvent identifier des niveaux de nuances et de couleurs qui ne</p><p>peuvent pas être différenciés par l'œil humain. Ces systèmes sont chers et les entreprises</p><p>n'y investissent pas à la légère.</p><p>La plupart des entreprises qui effectuent un traitement d'image tirent profit de</p><p>l'utilisation du système d'imagerie. Voici des exemples d'avantages potentiels: •</p><p>Traitement des éléments (par exemple, stockage et récupération des signatures)</p><p>• Récupération immédiate via un support de stockage optique sécurisé</p><p>• Productivité accrue</p><p>• Contrôle amélioré des fichiers papier</p><p>Manuel d’examen 27 e édition</p><p>64 | P a g e</p><p>By BlackHavok</p><p>• Réduction de la détérioration due à la manipulation</p><p>• Procédures améliorées de reprise après sinistre</p><p>Le remplacement de documents papier par des images électroniques peut avoir un impact</p><p>significatif sur la façon dont une entreprise fait des affaires. De nombreux contrôles</p><p>traditionnels pour les systèmes papier peuvent être réduits ou absents dans le flux de</p><p>travail de documentation électronique. De nouveaux contrôles doivent être développés</p><p>et intégrés au processus automatisé pour garantir que les fichiers d'images</p><p>d'informations ne peuvent pas être modifiés, effacés ou perdus.</p><p>Les domaines de risque que la direction doit aborder lors de l'installation de systèmes</p><p>d'imagerie et dont un auditeur SI doit être conscient lors de l'examen des contrôles d'un</p><p>établissement sur les systèmes d'imagerie sont:</p><p>• Planification : le manque de planification minutieuse dans la sélection et la conversion</p><p>des systèmes papier en systèmes d'imagerie documentaire peut entraîner des coûts</p><p>d'installation excessifs, la destruction des documents originaux et l'incapacité à obtenir</p><p>les avantages escomptés. Les problèmes critiques incluent la conversion des fichiers</p><p>de stockage papier existants et l'intégration du système d'imagerie dans le flux de</p><p>travail de l'organisation et le stockage des supports électroniques pour répondre aux</p><p>exigences légales d'audit et de conservation des documents.</p><p>• Audit - Les systèmes d'imagerie peuvent modifier ou éliminer les contrôles</p><p>traditionnels ainsi que les freins et contrepoids inhérents aux systèmes papier. Il peut</p><p>être nécessaire de repenser les procédures d'audit et de concevoir de nouveaux</p><p>contrôles dans le processus automatisé.</p><p>• Refonte du flux de travail: les institutions repensent ou repensent généralement les</p><p>processus de flux de travail pour bénéficier de la technologie d'imagerie.</p><p>• Périphériques de numérisation - Les périphériques de numérisation sont le point</p><p>d'entrée des documents image et une zone à risque importante dans les systèmes</p><p>d'imagerie. Ils peuvent perturber le flux de travail si l'équipement de numérisation</p><p>n'est pas adéquat pour gérer le volume de documents ou si l'équipement tombe en</p><p>panne. L'absence de contrôle sur le processus de numérisation peut entraîner</p><p>des images de mauvaise qualité , une indexation incorrecte et la saisie de documents</p><p>incomplets ou falsifiés dans le système. Des procédures doivent être mises en place</p><p>pour garantir que les documents originaux ne sont pas détruits</p><p>avant de déterminer</p><p>qu'une bonne image a été capturée.</p><p>• Sécurité logicielle: les contrôles de sécurité des documents du système d'image</p><p>sont essentiels pour protéger les institutions et les informations des clients contre les</p><p>accès et les modifications non autorisés. L'intégrité et la fiabilité de la base de données</p><p>du système d'imagerie sont directement liées à la qualité des contrôles d'accès au</p><p>système.</p><p>• Formation : une formation inadéquate du personnel chargé de la numérisation des</p><p>documents peut entraîner des images et des index de documents de mauvaise qualité</p><p>et la destruction précoce des documents originaux. L'installation et l'utilisation de</p><p>systèmes d'imagerie peuvent être un changement majeur pour le personnel du</p><p>département. Ils doivent être formés de manière adéquate pour assurer le contrôle de</p><p>la qualité de la numérisation et du stockage des documents d'imagerie ainsi que</p><p>l'utilisation du système pour maximiser les avantages de la conversion en systèmes</p><p>d'imagerie.</p><p>Manuel d’examen 27 e édition</p><p>65 | P a g e</p><p>By BlackHavok</p><p>Systèmes de contrôle industriels</p><p>Le système de contrôle industriel (ICS) est un terme général qui englobe plusieurs types</p><p>de systèmes de contrôle, y compris les systèmes de contrôle et d'acquisition de données</p><p>(SCADA), les systèmes de contrôle distribués (DCS) et d'autres configurations de</p><p>système de contrôle telles que les contrôleurs logiques programmables (PLC), que l'on</p><p>retrouve souvent dans les secteurs industriels et les infrastructures critiques.</p><p>La figure 1.3 fournit une vue d'ensemble de haut niveau des flux de processus ICS</p><p>typiques.</p><p>Source: NIST; NIST SP 800-82: Guide de la sécurité des systèmes de contrôle industriels</p><p>(ICS) , États-Unis, 2011</p><p>Facteurs de risque</p><p>Sur la base de la criticité des SCI sur la fabrication, les processus chimiques et, plus</p><p>important encore, les infrastructures critiques (production d'énergie, transmission et</p><p>contrôle, traitement de l'eau, etc.), il existe des facteurs de risque clés qu'un auditeur SI</p><p>doit prendre en compte:</p><p>• Flux d'informations bloqué ou retardé à travers les réseaux ICS, ce qui pourrait</p><p>perturber le fonctionnement de l'ICS</p><p>• Modifications non autorisées des instructions, des commandes ou des seuils d'alarme,</p><p>qui pourraient endommager, désactiver ou arrêter l'équipement, créer des impacts</p><p>environnementaux et / ou mettre en danger la vie humaine</p><p>Manuel d’examen 27 e édition</p><p>66 | P a g e</p><p>By BlackHavok</p><p>• Informations inexactes envoyées aux opérateurs du système, soit pour masquer des</p><p>modifications non autorisées, soit pour amener les opérateurs à entreprendre des</p><p>actions inappropriées, ce qui pourrait avoir divers effets négatifs</p><p>• Logiciel ICS ou paramètres de configuration modifiés, ou logiciel ICS infecté par un</p><p>logiciel malveillant, ce qui pourrait avoir divers effets négatifs</p><p>• Interférence avec le fonctionnement des systèmes de sécurité, qui pourrait mettre en</p><p>danger la vie humaine</p><p>Contrôles typiques</p><p>Pour faire face aux risques, les contrôles suivants doivent être pris en compte dans la</p><p>mise en œuvre administrative, opérationnelle et technique du SCI:</p><p>• Restriction de l'accès logique au réseau ICS et à l'activité du réseau. Cela comprend</p><p>l'utilisation d'une architecture de réseau de zone démilitarisée (DMZ) avec des pare-</p><p>feu pour empêcher le trafic réseau de passer directement entre les réseaux</p><p>d'entreprise et ICS et d'avoir des mécanismes d'authentification et des informations</p><p>d'identification distincts pour les utilisateurs des réseaux d'entreprise et ICS. L'ICS doit</p><p>également utiliser une topologie de réseau qui comporte plusieurs couches, les</p><p>communications les plus critiques se produisant dans la couche la plus sûre et la plus</p><p>fiable.</p><p>• Restreindre l'accès physique au réseau et aux périphériques ICS. L'accès physique non</p><p>autorisé aux composants peut entraîner de graves perturbations des fonctionnalités de</p><p>l'ICS. Une combinaison de contrôles d'accès physiques doit être utilisée, comme des</p><p>verrous, des lecteurs de cartes et / ou des protections.</p><p>• Protéger les composants ICS individuels contre l'exploitation. Cela comprend le</p><p>déploiement des correctifs de sécurité de la manière la plus rapide possible, après les</p><p>avoir testés dans des conditions de terrain; désactiver tous les ports et services</p><p>inutilisés; restreindre les privilèges des utilisateurs ICS à ceux qui sont requis pour le</p><p>rôle de chaque personne; suivre et surveiller les pistes d'audit; et l'utilisation de</p><p>contrôles de sécurité tels qu'un logiciel antivirus et un logiciel de vérification de</p><p>l'intégrité des fichiers, lorsque cela est techniquement possible, pour prévenir,</p><p>dissuader, détecter et atténuer les logiciels malveillants.</p><p>• Maintenir la fonctionnalité dans des conditions défavorables. Cela implique de concevoir</p><p>l'ICS de sorte que chaque composant critique ait un équivalent redondant. En outre,</p><p>si un composant échoue, il doit échouer d'une manière qui ne génère pas de trafic</p><p>inutile sur l'ICS ou d'autres réseaux, ou ne provoque pas d'autre problème ailleurs, tel</p><p>qu'un événement en cascade.</p><p>• Restauration du système après un incident. Les incidents sont inévitables et un plan de</p><p>réponse aux incidents est essentiel. Une caractéristique majeure d'un bon programme</p><p>de sécurité est la rapidité avec laquelle un système peut être récupéré après un</p><p>incident.</p><p>Intelligence artificielle et systèmes experts</p><p>L'intelligence artificielle (IA) est l'étude et l'application des principes selon lesquels:</p><p>• Les connaissances sont acquises et utilisées.</p><p>• Des objectifs sont générés et atteints.</p><p>• Les informations sont communiquées.</p><p>• La collaboration est atteinte.</p><p>• Des concepts sont formés.</p><p>Manuel d’examen 27 e édition</p><p>67 | P a g e</p><p>By BlackHavok</p><p>• Les langues sont développées.</p><p>Les domaines de l'IA comprennent, entre autres:</p><p>• Systèmes experts</p><p>• Langages naturels et artificiels (tels que la programmation)</p><p>• Réseaux de neurones</p><p>• Gestion intelligente du texte</p><p>• Preuve du théorème</p><p>• Raisonnement abstrait</p><p>• Reconnaissance de formes</p><p>• Reconnaissance vocale</p><p>• Résolution de problèmes</p><p>• Traduction automatique de langues étrangères</p><p>Les systèmes experts sont un domaine de l'IA et remplissent une fonction spécifique ou</p><p>sont répandus dans certaines industries. Un système expert permet à l'utilisateur de</p><p>spécifier certaines hypothèses ou formules de base, puis utilise ces hypothèses ou</p><p>formules pour analyser des événements arbitraires. Sur la base des informations utilisées</p><p>comme entrée dans le système, une conclusion est produite.</p><p>L'utilisation de systèmes experts présente de nombreux avantages potentiels au sein</p><p>d'une organisation, notamment:</p><p>• Capturer les connaissances et l'expérience des individus</p><p>• Partager les connaissances et l'expérience</p><p>• Amélioration de la productivité et des performances du personnel</p><p>• Automatisation de tâches hautement (statistiquement) répétitives (help desk, crédits</p><p>de score, etc.)</p><p>• Fonctionnement dans des environnements où aucun expert humain n'est disponible</p><p>(par exemple, assistance médicale à bord d'un navire, satellites)</p><p>Les systèmes experts sont constitués des principaux composants illustrés dans la figure</p><p>1.4 , appelés shells lorsqu'ils ne sont pas renseignés avec des données particulières, et</p><p>les shells sont conçus pour héberger de nouveaux systèmes experts.</p><p>Manuel d’examen 27 e édition</p><p>68 | P a g e</p><p>By BlackHavok</p><p>La base du système est la base de connaissances (KB), qui contient des informations</p><p>spécifiques ou des modèles de faits associés à un sujet particulier et les règles</p><p>d'interprétation de ces faits. La base de connaissances s'interface avec une base de</p><p>données pour obtenir des données afin d'analyser un problème</p><p>particulier et d'en tirer</p><p>une conclusion d'expert. Les informations contenues dans la base de connaissances</p><p>peuvent être exprimées de plusieurs manières:</p><p>• Arbres de décision - Utilisation de questionnaires pour guider l'utilisateur à travers</p><p>une série de choix, jusqu'à ce qu'une conclusion soit atteinte. La flexibilité est</p><p>compromise car l'utilisateur doit répondre aux questions dans un ordre exact.</p><p>• Règles: expression des connaissances déclaratives par l'utilisation de relations si-</p><p>alors. Par exemple, si la température corporelle d'un patient dépasse 39 ° C (102,2 °</p><p>F) et que son pouls est inférieur à 60, le patient peut souffrir d'une certaine</p><p>maladie.</p><p>• Réseaux sémantiques: utilisation d'un graphique dans lequel les nœuds</p><p>représentent des objets physiques ou conceptuels et les arcs décrivent la relation entre</p><p>les nœuds. Les réseaux sémantiques ressemblent à un diagramme de flux de données</p><p>et utilisent un mécanisme d'héritage pour éviter la duplication des données. De plus,</p><p>le moteur d'inférence présenté est un programme qui utilise la base de connaissances</p><p>et détermine le résultat le plus approprié en fonction des informations fournies par</p><p>l'utilisateur. De plus, un système expert comprend les composants suivants:</p><p>- Interface de connaissances —Inclusion des connaissances d'un expert dans le</p><p>système sans la médiation traditionnelle d'un ingénieur logiciel</p><p>- Interface de données - Collecte de données provenant de sources non humaines</p><p>via un système expert, comme des instruments de mesure dans une centrale</p><p>électrique</p><p>Un module d'explication axé sur l'utilisateur pour résoudre le problème est analysé et la</p><p>conclusion d'expert est également fournie.</p><p>Manuel d’examen 27 e édition</p><p>69 | P a g e</p><p>By BlackHavok</p><p>Rôle de l'auditeur SI dans les systèmes experts</p><p>Des questionnaires ou des logiciels bien conçus qui intègrent et rendent compte des</p><p>paramètres du système et des ensembles de données sont disponibles pour aider les</p><p>auditeurs des SI à examiner ces systèmes. Les autres applications liées à la comptabilité</p><p>et à l'audit pour les systèmes experts comprennent la planification de l'audit, l'analyse</p><p>du contrôle interne, l'analyse des attributs de compte, l'examen de la qualité, les</p><p>décisions comptables, la planification fiscale et la formation des</p><p>utilisateurs. Conformément aux méthodologies de développement de systèmes standard,</p><p>des procédures strictes de contrôle des changements doivent être suivies car les</p><p>hypothèses et formules de base peuvent devoir être modifiées à mesure que l'on acquiert</p><p>plus d'expertise. Comme pour les autres systèmes, l'accès doit être basé sur le besoin</p><p>de savoir.</p><p>Un auditeur SI doit être bien informé sur les différentes applications d'IA et de systèmes</p><p>experts utilisées au sein de l'organisation. Un auditeur SI doit se préoccuper des</p><p>contrôles pertinents pour ces systèmes lorsqu'ils sont utilisés en tant que partie</p><p>intégrante du processus métier ou des fonctions critiques d'une organisation, et du</p><p>niveau d'expérience ou d'intelligence utilisé comme base pour développer le logiciel. Ceci</p><p>est essentiel car les erreurs produites par les systèmes d'IA peuvent avoir un impact plus</p><p>grave que celles produites par les systèmes traditionnels. Cela est particulièrement vrai</p><p>des systèmes intelligents qui facilitent le diagnostic et le traitement des blessures et des</p><p>maladies par les professionnels de la santé. Des boucles / routines d'erreur doivent être</p><p>conçues dans ces systèmes.</p><p>Plus précisément, un auditeur SI doit effectuer les activités suivantes:</p><p>• Comprendre le but et la fonctionnalité du système.</p><p>• Évaluer l'importance du système pour l'organisation et les processus commerciaux</p><p>associés ainsi que le risque potentiel associé.</p><p>• Examiner l'adhésion du système aux politiques et procédures de l'entreprise.</p><p>• Examiner la logique de décision intégrée au système pour s'assurer que les</p><p>connaissances ou les informations expertes du système sont solides et exactes. Un</p><p>auditeur SI doit s'assurer que le niveau d'expertise approprié a été utilisé dans</p><p>l'élaboration des hypothèses et formules de base.</p><p>• Passez en revue les procédures de mise à jour des informations dans la base de</p><p>connaissances.</p><p>• Passez en revue l'accès de sécurité sur le système, en particulier la base de</p><p>connaissances.</p><p>• Revoir les procédures pour s'assurer que des ressources qualifiées sont disponibles</p><p>pour la maintenance et la mise à niveau.</p><p>Gestion de la chaîne logistique</p><p>La gestion de la chaîne d'approvisionnement (SCM) relie les processus commerciaux</p><p>entre les entités liées telles que l'acheteur et le vendeur. Le lien est fourni à tous les</p><p>domaines connectés tels que la gestion de la logistique et l'échange d'informations, de</p><p>services et de marchandises entre le fournisseur, le consommateur, l'entrepôt, les</p><p>distributeurs en gros / au détail et le fabricant de marchandises.</p><p>Manuel d’examen 27 e édition</p><p>70 | P a g e</p><p>By BlackHavok</p><p>La SCM est devenue un point focal et est considérée comme un nouveau domaine dans</p><p>la gestion stratégique en raison du changement de scénario commercial à l'arrivée de la</p><p>concurrence mondiale, de la prolifération d'Internet, de la transmission instantanée</p><p>d'informations et de la présence sur le Web dans toutes les sphères d'activités</p><p>commerciales. . SCM comprend la gestion du flux de marchandises, de services et</p><p>d'informations entre fournisseurs, fabricants, grossistes, distributeurs, magasins,</p><p>consommateurs et utilisateurs finaux.</p><p>SCM déplace le focus; toutes les entités de la chaîne d'approvisionnement peuvent</p><p>travailler en collaboration et en temps réel, réduisant ainsi, dans une large mesure,</p><p>l'inventaire disponible requis. Le concept de juste-à-temps (JIT) devient possible et le</p><p>temps de cycle est réduit dans le but de réduire les stocks inutiles.</p><p>Les facteurs saisonniers (par exemple, la disponibilité et la demande) et régionaux (par</p><p>exemple, les préférences de taille, de forme, de quantité) sont traités.</p><p>Les niveaux de stock d'articles immobiles sont considérablement réduits et il existe un</p><p>flux automatisé de l'offre et de la demande. En outre, les coûts intrinsèques et les erreurs</p><p>associés aux moyens manuels tels que la télécopie, la saisie de données, les retards et</p><p>les commandes inexactes peuvent être évités.</p><p>Gestion de la relation client</p><p>La tendance commerciale axée sur le client doit se concentrer sur les désirs et les besoins</p><p>des clients. Cela souligne l'importance de se concentrer sur les informations relatives aux</p><p>données de transaction, aux préférences, aux modèles d'achat, au statut, à l'historique</p><p>des contacts, aux informations démographiques et aux tendances des services des</p><p>clients, plutôt qu'aux produits.</p><p>Tous ces facteurs conduisent au CRM, qui est une combinaison optimale de stratégie,</p><p>tactique, processus, compétences et technologie. Le CRM est devenu un facteur de</p><p>réussite stratégique pour tous les types d'entreprises, et sa compétence a un impact</p><p>significatif sur la rentabilité.</p><p>Les applications centrées sur le client se concentrent sur les processus CRM mettant</p><p>l'accent sur le client plutôt que sur le marketing, les ventes ou toute autre fonction afin</p><p>de répondre aux attentes du client. Cela comprend l'intégration de la téléphonie, des</p><p>technologies Web et de base de données, ainsi que des capacités d'intégration</p><p>interentreprises. Dans ce modèle, d'autres partenaires commerciaux peuvent partager</p><p>des informations, communiquer et collaborer avec l'organisation grâce à l'intégration</p><p>transparente des applications Web et sans changer leur réseau local et d'autres</p><p>configurations.</p><p>Il est possible de distinguer entre CRM opérationnel et CRM analytique. Le CRM</p><p>opérationnel vise à maximiser l'utilité de l'expérience de service du client tout en</p><p>capturant des données utiles sur l'interaction avec le client. CRM analytique cherche à</p><p>analyser les informations capturées par l'organisation sur ses clients et leurs interactions</p><p>avec l'organisation en informations qui permettent d'obtenir une plus grande valeur de</p><p>la base de clients. Parmi les utilisations du CRM analytique, on peut citer l'augmentation</p><p>des portefeuilles de produits clients ou la «part du portefeuille client», le transfert des</p><p>clients vers des produits à marge plus élevée, le transfert des clients vers des canaux de</p><p>Manuel d’examen 27 e édition</p><p>71 | P a g e</p><p>By BlackHavok</p><p>service à moindre coût, l'augmentation des taux de réussite marketing et la prise de</p><p>décisions en matière de prix.</p><p>1.2.6 UTILISATION DES SERVICES D'AUTRES AUDITEURS ET EXPERTS</p><p>En raison de la rareté des auditeurs SI et de la nécessité pour les spécialistes de la</p><p>sécurité informatique et autres experts en la matière d'effectuer des audits dans des</p><p>domaines hautement spécialisés, le service d'audit ou les auditeurs chargés de fournir</p><p>une assurance peuvent avoir besoin des services d'autres auditeurs ou</p><p>experts. L'externalisation des services d'assurance et de sécurité des SI devient de plus</p><p>en plus une pratique courante.</p><p>Des experts externes pourraient inclure des experts dans des technologies spécifiques</p><p>telles que la mise en réseau, les guichets automatiques, le sans fil, l'intégration de</p><p>systèmes et la criminalistique numérique, ou des experts en la matière tels que des</p><p>spécialistes dans un secteur particulier ou un domaine de spécialisation comme la</p><p>banque, le commerce des valeurs mobilières, l'assurance ou la loi. .</p><p>Lorsqu'il est proposé d'externaliser une partie ou la totalité des services d'audit des SI à</p><p>un autre audit ou à un prestataire de services externe, les éléments suivants doivent</p><p>être pris en compte en ce qui concerne l'utilisation des services d'autres auditeurs et</p><p>experts:</p><p>• Restrictions sur l'externalisation des services d'audit / de sécurité fournis par les lois et</p><p>règlements</p><p>• Charte d'audit ou stipulations contractuelles</p><p>• Impact sur les objectifs d'audit SI globaux et spécifiques</p><p>• Impact sur le risque d'audit SI et la responsabilité professionnelle</p><p>• Indépendance et objectivité des autres auditeurs et experts</p><p>• Compétence, qualifications et expérience professionnelles</p><p>• Portée des travaux proposés à externaliser et approche</p><p>• Contrôles de supervision et de gestion de l'audit</p><p>• Méthode et modalités de communication des résultats des travaux d'audit</p><p>• Conformité aux dispositions légales et réglementaires</p><p>• Conformité aux normes professionnelles applicables</p><p>En fonction de la nature de la mission, les éléments suivants peuvent également</p><p>nécessiter une attention particulière:</p><p>• Témoignages / références et vérifications des antécédents</p><p>• Accès aux systèmes, locaux et archives</p><p>• Restrictions de confidentialité pour protéger les informations relatives aux clients</p><p>• Utilisation de techniques d'audit assistées par ordinateur (CAAT) et d'autres outils à</p><p>utiliser par le prestataire de services d'audit externe</p><p>• Normes et méthodologies pour l'exécution des travaux et la documentation • Accords</p><p>de non-divulgation</p><p>L'auditeur ou l'entité externalisant les services d'audit doit surveiller la relation pour</p><p>garantir l'objectivité et l'indépendance pendant toute la durée de l'accord. Il est</p><p>important de comprendre que même si une partie ou la totalité du travail d'audit peut</p><p>Manuel d’examen 27 e édition</p><p>72 | P a g e</p><p>By BlackHavok</p><p>être déléguée à un prestataire de services externe, la responsabilité professionnelle</p><p>correspondante n'est pas nécessairement déléguée. Par conséquent, il est de la</p><p>responsabilité de l'auditeur du SI ou de l'entité faisant appel aux services de prestataires</p><p>de services externes de procéder comme suit:</p><p>• Communiquer clairement les objectifs, la portée et la méthodologie de l'audit par le</p><p>biais d'une lettre de mission officielle.</p><p>• Établir un processus de suivi pour un examen régulier du travail du prestataire de</p><p>services externe en ce qui concerne la planification, la supervision, l'examen et la</p><p>documentation. Par exemple, les documents de travail des autres auditeurs ou experts</p><p>des SI doivent être examinés pour confirmer que le travail a été correctement planifié,</p><p>supervisé, documenté et examiné et pour examiner la pertinence et la suffisance des</p><p>éléments probants fournis. De même, les rapports des autres auditeurs ou experts SI</p><p>doivent être examinés pour confirmer la portée spécifiée dans la charte d'audit, le</p><p>mandat ou la lettre d'engagement a été respectée, que toutes les hypothèses</p><p>importantes utilisées par d'autres auditeurs ou experts SI ont été identifiées, et les</p><p>constatations et conclusions présentées ont été approuvées par la direction.</p><p>• Évaluer l'utilité et la pertinence des rapports de ces prestataires externes et évaluer</p><p>l'impact des constatations importantes sur les objectifs globaux de l'audit.</p><p>Remarque: L'auditeur IS doit être familier avec ISACA Audit and Assurance</p><p>Norme 1203 Performance et Supervision et Audit SI et</p><p>Directive d'assurance 2206 utilisant les travaux d'autres experts, en se concentrant sur</p><p>les droits d'accès aux travaux d'autres experts.</p><p>1.3 TYPES DE COMMANDES</p><p>Chaque organisation a des contrôles en place. Un contrôle efficace est un contrôle qui</p><p>prévient, détecte et / ou contient un incident et permet la récupération d'un événement</p><p>à risque. Les organisations conçoivent, développent, mettent en œuvre et contrôlent des</p><p>systèmes d'information par le biais de politiques, procédures, pratiques et structures</p><p>organisationnelles pour faire face à ces types de risques.</p><p>Les contrôles sont normalement composés de politiques, procédures, pratiques et</p><p>structures organisationnelles mises en œuvre pour réduire les risques pour</p><p>l'organisation. Des contrôles internes sont élaborés pour fournir une assurance</p><p>raisonnable à la direction que les objectifs commerciaux de l'organisation seront atteints</p><p>et que les événements à risque seront prévenus, ou détectés et corrigés. Les activités</p><p>de contrôle interne et les processus de support sont manuels ou automatisés. Les</p><p>contrôles internes opèrent à tous les niveaux d'une organisation pour atténuer son</p><p>exposition aux risques qui pourraient l'empêcher d'atteindre ses objectifs</p><p>commerciaux. Le conseil d'administration et la haute direction sont chargés d'établir la</p><p>culture appropriée pour faciliter un système de contrôle interne efficace et efficient et de</p><p>surveiller en permanence l'efficacité du système de contrôle interne, bien que chaque</p><p>individu au sein d'une organisation doive participer à ce processus.</p><p>Les contrôles doivent aborder deux aspects clés:</p><p>• Ce qui devrait être réalisé</p><p>Manuel d’examen 27 e édition</p><p>73 | P a g e</p><p>By BlackHavok</p><p>• Ce qu'il faut éviter</p><p>Les contrôles internes visent les objectifs commerciaux / opérationnels et devraient</p><p>également prendre en compte les événements indésirables par la prévention, la détection</p><p>et la correction. Les éléments des contrôles qui doivent être pris en compte lors de</p><p>l'évaluation de la force des contrôles sont classés comme de nature préventive, détective</p><p>ou corrective.</p><p>La figure 1.5 décrit les classifications, fonctions et usages des contrôles.</p><p>Remarque: Un candidat CISA doit comprendre le but et les différences entre les</p><p>contrôles préventifs, de détection et correctifs et être capable de reconnaître des</p><p>exemples de chacun.</p><p>1.3.1 OBJECTIFS ET MESURES DE CONTRÔLE</p><p>Un objectif de contrôle est défini comme un objectif d'un ou plusieurs domaine (s)</p><p>opérationnel (s) ou rôle (s) à atteindre afin de contribuer à la réalisation du ou des</p><p>objectifs stratégiques de l'entreprise. Autrement dit, l'objectif de contrôle est un tel</p><p>objectif qui est explicitement lié à la stratégie de l'entreprise.</p><p>Les objectifs de contrôle sont des énoncés du résultat ou de l'objectif</p><p>souhaité à atteindre</p><p>en mettant en œuvre des activités de contrôle (procédures). Par exemple, les objectifs</p><p>de contrôle peuvent se rapporter aux concepts suivants:</p><p>• Efficacité et efficience des opérations</p><p>Figure 1.5 - Classifications de contrôle</p><p>Classe Une fonction Exemples</p><p>Préventif • Détectez les problèmes avant</p><p>qu'ils ne surviennent</p><p>• Surveiller à la fois le</p><p>fonctionnement et les entrées</p><p>• Tenter de prévoir les problèmes</p><p>potentiels avant qu'ils ne</p><p>surviennent et de faire des</p><p>ajustements</p><p>• Empêcher une erreur, une</p><p>omission ou un acte malveillant</p><p>de se produire</p><p>• N'employer que du personnel</p><p>qualifié</p><p>• Séparation des tâches</p><p>• Contrôle de l'accès aux</p><p>installations physiques</p><p>• Documents bien conçus pour</p><p>éviter les erreurs</p><p>• Procédures appropriées pour</p><p>l'autorisation des transactions</p><p>• Contrôles d'édition</p><p>programmés</p><p>• Utilisation d'un logiciel de</p><p>contrôle d'accès qui permet</p><p>uniquement au personnel</p><p>autorisé d'accéder aux fichiers</p><p>sensibles</p><p>• Utilisation d'un logiciel de</p><p>cryptage pour empêcher la</p><p>divulgation non autorisée de</p><p>données</p><p>Manuel d’examen 27 e édition</p><p>74 | P a g e</p><p>By BlackHavok</p><p>Détective • Utilisez des contrôles qui</p><p>détectent et signalent</p><p>l'occurrence d'une erreur, d'une</p><p>omission ou d'un acte malveillant</p><p>• Totaux de hachage</p><p>• Points de contrôle dans les</p><p>travaux de production</p><p>• Contrôles d'écho dans les</p><p>télécommunications</p><p>• Messages d'erreur sur les</p><p>étiquettes de bande</p><p>• Vérification des calculs en</p><p>double</p><p>• Rapports de performance</p><p>périodiques avec écarts</p><p>• Rapports de comptes en</p><p>souffrance</p><p>• Fonctions d'audit interne</p><p>• Examen des journaux d'activité</p><p>pour détecter les tentatives</p><p>d'accès non autorisées</p><p>• Revues de code sécurisé</p><p>• Assurance qualité des logiciels</p><p>Correctif • Minimiser l'impact d'une</p><p>menace</p><p>• Résoudre les problèmes</p><p>découverts par les contrôles de</p><p>détection</p><p>• Identifier la cause d'un</p><p>problème</p><p>• Corriger les erreurs résultant</p><p>d'un problème</p><p>• Modifier le ou les systèmes de</p><p>traitement pour minimiser les</p><p>occurrences futures du</p><p>problème</p><p>• Planification d'urgence /</p><p>continuité des opérations</p><p>• Planification de reprise après</p><p>sinistre</p><p>• Planification de la réponse aux</p><p>incidents</p><p>• Procédures de sauvegarde</p><p>• Arrêter le système / réparer les</p><p>accords de niveau de service</p><p>• Fiabilité des rapports financiers</p><p>• Conformité aux lois et réglementations applicables</p><p>• Sauvegarde des actifs</p><p>Les objectifs de contrôle s'appliquent à tous les contrôles, qu'ils soient manuels,</p><p>automatisés ou combinés (par exemple, examen des journaux système). Les objectifs</p><p>de contrôle dans un environnement SI ne diffèrent pas de ceux d'un environnement</p><p>manuel; cependant, la façon dont ces contrôles sont mis en œuvre peut être</p><p>différente. Ainsi, les objectifs de contrôle doivent être abordés en fonction de processus</p><p>spécifiques liés aux SI.</p><p>Une mesure de contrôle est définie comme une activité contribuant à la réalisation d'un</p><p>objectif de contrôle. Tant l'objectif de contrôle que la mesure de contrôle servent à</p><p>décomposer les objectifs de niveau stratégique en objectifs et activités de niveau</p><p>inférieur qui peuvent être assignés en tant que tâches au personnel. Cette affectation</p><p>peut prendre la forme d'une description de rôle dans une description de poste.</p><p>Manuel d’examen 27 e édition</p><p>75 | P a g e</p><p>By BlackHavok</p><p>Objectifs de contrôle des SI</p><p>Les objectifs de contrôle des SI fournissent un ensemble complet d'exigences de haut</p><p>niveau à prendre en compte par la direction pour un contrôle efficace de chaque domaine</p><p>de processus informatique. Les objectifs de contrôle des SI sont:</p><p>• Déclarations du résultat ou de l'objectif souhaité à atteindre en mettant en œuvre des</p><p>contrôles autour des processus des systèmes d'information</p><p>• Composé de politiques, procédures, pratiques et structures organisationnelles</p><p>• Conçu pour fournir une assurance raisonnable que les objectifs commerciaux seront</p><p>atteints et que les événements indésirables seront évités ou détectés et corrigés La</p><p>direction de l'organisation doit faire des choix par rapport à ces objectifs de contrôle</p><p>en procédant comme suit:</p><p>• Sélection de ceux qui sont applicables</p><p>• Décider de ceux qui seront mis en œuvre</p><p>• Choisir comment les implémenter (fréquence, durée, automatisation, etc.)</p><p>• Accepter le risque de ne pas mettre en œuvre ceux qui peuvent s'appliquer</p><p>Les objectifs spécifiques de contrôle des SI sont les suivants:</p><p>• Sauvegarde des actifs: informations sur les systèmes automatisés mis à jour et</p><p>protégés contre les accès inappropriés</p><p>• Veiller à ce que les processus du cycle de vie du développement des systèmes (SDLC)</p><p>soient établis, en place et fonctionnent efficacement pour fournir une assurance</p><p>raisonnable que les systèmes et applications logicielles commerciales, financières et /</p><p>ou industrielles sont développés de manière reproductible et fiable pour garantir que</p><p>les objectifs commerciaux sont atteints.</p><p>• Assurer l'intégrité des environnements OS généraux, y compris la gestion du réseau et</p><p>les opérations</p><p>• Assurer l'intégrité des environnements de systèmes d'applications sensibles et</p><p>critiques, y compris les informations comptables / financières et de gestion (objectifs</p><p>d'information) et les données clients, grâce à:</p><p>- Autorisation de l'entrée. Chaque transaction est autorisée et saisie une seule fois.</p><p>- Validation de l'entrée. Chaque entrée est validée et n'aura pas d'impact négatif sur</p><p>le traitement des transactions.</p><p>- Exactitude et exhaustivité du traitement des transactions. Toutes les transactions</p><p>sont enregistrées avec précision et entrées dans le système pour la période</p><p>appropriée.</p><p>- Fiabilité de l'ensemble des activités de traitement de l'information</p><p>- Précision, exhaustivité et sécurité de la sortie</p><p>- Confidentialité, intégrité et disponibilité de la base de données</p><p>• Assurer une identification et une authentification appropriées des utilisateurs des</p><p>ressources SI (utilisateurs finaux ainsi que le support de l'infrastructure)</p><p>• Assurer l'efficience et l'efficacité des opérations (objectifs opérationnels)</p><p>• Se conformer aux exigences des utilisateurs, aux politiques et procédures</p><p>organisationnelles et aux lois et règlements applicables (objectifs de conformité)</p><p>• Assurer la disponibilité des services informatiques en développant des plans de</p><p>continuité d’activité (BCP) et des plans de reprise après sinistre (DRP) efficaces qui</p><p>incluent des processus de sauvegarde et de récupération</p><p>Manuel d’examen 27 e édition</p><p>76 | P a g e</p><p>By BlackHavok</p><p>• Amélioration de la protection des données et des systèmes en développant un plan de</p><p>réponse aux incidents</p><p>• Assurer l'intégrité et la fiabilité des systèmes en mettant en œuvre des procédures</p><p>efficaces de gestion du changement</p><p>• Veiller à ce que les processus et services SI externalisés aient des accords de niveau</p><p>de service (SLA) et des conditions contractuelles clairement définis pour garantir que</p><p>les actifs de l'organisation sont correctement protégés et répondent aux buts et</p><p>objectifs de l'entreprise.</p><p>1.3.2 ÉVALUATION DE L'ENVIRONNEMENT DE CONTRÔLE</p><p>Un auditeur SI examine les éléments probants recueillis lors de l'audit pour déterminer</p><p>si les opérations examinées sont bien contrôlées et efficaces. C'est également un</p><p>domaine qui requiert jugement et expérience. Un auditeur SI évalue également les forces</p><p>et les faiblesses des contrôles évalués et détermine s'ils sont efficaces pour atteindre les</p><p>objectifs de contrôle établis dans le cadre du processus de planification de l'audit.</p><p>Une matrice de contrôle est souvent utilisée pour évaluer le bon niveau de contrôle. Les</p><p>types d'erreurs connus qui peuvent</p><p>se produire dans une zone examinée sont placés sur</p><p>l'axe supérieur de la matrice et des contrôles connus pour détecter ou corriger les erreurs</p><p>sont placés sur l'axe latéral de la matrice. Ensuite, en utilisant une méthode de</p><p>classement, la matrice est remplie avec les mesures appropriées. Une fois terminée, la</p><p>matrice illustre les domaines où les contrôles sont faibles ou manquants.</p><p>Dans certains cas, un contrôle fort peut compenser un contrôle faible dans une autre</p><p>zone. Par exemple, si un auditeur SI trouve des faiblesses dans le rapport d'erreur de</p><p>transaction d'un système, un processus d'équilibrage manuel détaillé de toutes les</p><p>transactions peut être en place pour compenser les faiblesses du rapport d'erreur. Un</p><p>auditeur SI doit être conscient des contrôles compensatoires dans les domaines où les</p><p>contrôles ont été identifiés comme faibles.</p><p>Alors qu'une situation de contrôle de compensation se produit lorsqu'un contrôle plus fort</p><p>prend en charge un contrôle plus faible, les contrôles qui se chevauchent sont deux</p><p>contrôles puissants. Par exemple, si un centre de données utilise un système de clé de</p><p>carte pour contrôler l'accès physique et qu'un gardien à l'intérieur de la porte oblige les</p><p>employés à montrer leur clé de carte ou leur badge, un contrôle qui se chevauche</p><p>existe. L'un ou l'autre contrôle peut être adéquat pour restreindre l'accès, mais les deux</p><p>se complètent.</p><p>Normalement, un objectif de contrôle ne sera pas atteint en considérant un contrôle</p><p>adéquat. Au lieu de cela, un auditeur SI effectuera une variété de procédures de test et</p><p>évaluera la manière dont celles-ci sont liées les unes aux autres.</p><p>Généralement, un groupe de contrôles, lorsqu'ils sont agrégés ensemble, peuvent agir</p><p>comme des contrôles compensatoires et minimiser ainsi le risque. Un auditeur SI doit</p><p>toujours vérifier les contrôles compensatoires avant de signaler une faiblesse du contrôle.</p><p>Manuel d’examen 27 e édition</p><p>77 | P a g e</p><p>By BlackHavok</p><p>Un auditeur SI peut ne pas trouver que chaque procédure de contrôle est en place mais</p><p>doit évaluer l'exhaustivité des contrôles en considérant les forces et les faiblesses des</p><p>procédures de contrôle.</p><p>1.3.3 CONTRÔLES GÉNÉRAUX</p><p>Les contrôles généraux s'appliquent à tous les domaines d'une organisation et</p><p>comprennent les éléments suivants:</p><p>• Contrôles comptables internes qui visent principalement les opérations comptables -</p><p>contrôles qui concernent la protection des actifs et la fiabilité des documents</p><p>financiers</p><p>• Contrôles opérationnels qui concernent les opérations, fonctions et activités</p><p>quotidiennes et garantissent que l'opération répond aux objectifs commerciaux</p><p>• Contrôles administratifs qui concernent l'efficacité opérationnelle dans un domaine</p><p>fonctionnel et le respect des politiques de gestion (les contrôles administratifs</p><p>soutiennent les contrôles opérationnels spécifiquement concernés par ces</p><p>domaines)</p><p>• Politiques et procédures de sécurité organisationnelles pour assurer une bonne</p><p>utilisation des actifs</p><p>• Politiques générales pour la conception et l'utilisation de documents et</p><p>d'enregistrements adéquats (manuels / automatisés) pour garantir un enregistrement</p><p>correct des transactions - piste d'audit transactionnel</p><p>• Procédures et pratiques visant à garantir des garanties adéquates concernant l'accès</p><p>aux actifs et aux installations et leur utilisation</p><p>• Politiques de sécurité physique et logique pour toutes les installations, centres de</p><p>données et ressources informatiques (par exemple, serveurs et infrastructure de</p><p>télécommunications)</p><p>1.3.4 CONTRÔLES SPÉCIFIQUES À L'IS</p><p>Chaque contrôle général peut être traduit en un contrôle spécifique au SI. Un système</p><p>d'information bien conçu devrait avoir des contrôles intégrés pour toutes ses fonctions</p><p>sensibles ou critiques. Par exemple, la procédure générale visant à garantir que des</p><p>garanties adéquates concernant l'accès aux actifs et aux installations peuvent être</p><p>traduites en un ensemble de procédures de contrôle liées au SI, couvrant les garanties</p><p>d'accès aux programmes, données et équipements informatiques.</p><p>Les procédures de contrôle des SI comprennent:</p><p>• Stratégie et direction de la fonction informatique</p><p>• Organisation générale et gestion de la fonction informatique</p><p>• Accès aux ressources informatiques, y compris les données et les programmes</p><p>• Méthodologies de développement de systèmes et contrôle du changement</p><p>• Procédures d'exploitation</p><p>• Programmation des systèmes et fonctions de support technique</p><p>• Procédures d'assurance qualité (AQ)</p><p>• Contrôle d'accès physique</p><p>• BCP / DRP</p><p>• Réseaux et technologie de communication (par exemple, réseaux locaux, réseaux</p><p>étendus, sans fil)</p><p>Manuel d’examen 27 e édition</p><p>78 | P a g e</p><p>By BlackHavok</p><p>• Administration de base de données</p><p>• Mécanismes de protection et de détection contre les attaques internes et externes</p><p>Remarque: Un candidat CISA doit comprendre les concepts concernant les contrôles</p><p>SI et comment les appliquer dans la planification d'un audit.</p><p>1.4 PLANIFICATION DE L'AUDIT FONDÉ SUR LES RISQUES</p><p>La planification d'audit basée sur les risques est le déploiement de ressources d'audit</p><p>dans les domaines au sein d'une organisation qui représentent le plus grand risque. Cela</p><p>nécessite une compréhension de l'organisation et de son environnement, notamment:</p><p>• Facteurs externes et internes affectant l'organisation</p><p>• La sélection et l'application par l'organisation des politiques et procédures</p><p>• Objectifs et stratégies de l'organisation</p><p>• Mesure et revue de la performance de l'organisation</p><p>Dans le cadre de l'acquisition de cette compréhension, un auditeur SI doit également</p><p>acquérir une compréhension des éléments clés de l'organisation:</p><p>• Gestion de stratégie</p><p>• Produits et services aux entreprises</p><p>• Processus de gouvernance d'entreprise</p><p>• Types de transaction, partenaires de transaction et flux de transaction au sein des</p><p>systèmes d'information</p><p>Un audit basé sur les risques efficace utilise l'évaluation des risques pour piloter le plan</p><p>d'audit et minimiser le risque d'audit lors de l'exécution d'un audit.</p><p>Une approche d'audit basée sur les risques est utilisée pour évaluer les risques et pour</p><p>aider un auditeur SI à prendre la décision d'effectuer des tests de conformité ou des tests</p><p>de corroboration. Il est important de souligner que l'approche d'audit basée sur les</p><p>risques aide efficacement un auditeur SI à déterminer la nature et l'étendue des tests.</p><p>Dans ce concept, le risque inhérent, le risque de contrôle ou le risque de détection ne</p><p>devraient pas être une préoccupation majeure, malgré certaines faiblesses. Dans une</p><p>approche d'audit basée sur le risque, les auditeurs SI ne se fient pas seulement au</p><p>risque; ils s'appuient également sur des contrôles internes et opérationnels ainsi que sur</p><p>une connaissance de l'organisation ou de l'entreprise. Ce type de décision d'évaluation</p><p>des risques peut aider à relier l'analyse coûts-avantages du contrôle au risque connu,</p><p>permettant des choix pratiques.</p><p>Le risque d'entreprise comprend les préoccupations concernant les effets probables d'un</p><p>événement incertain sur la réalisation des objectifs commerciaux établis. La nature du</p><p>risque commercial peut être financière, réglementaire ou opérationnelle et peut</p><p>également inclure le risque dérivé d'une technologie spécifique. Par exemple, une</p><p>compagnie aérienne est soumise à d'importantes réglementations en matière de sécurité</p><p>et à des changements économiques, qui ont tous deux un impact sur les activités</p><p>Manuel d’examen 27 e édition</p><p>79 | P a g e</p><p>By BlackHavok</p><p>poursuivies de l'entreprise. Dans ce contexte, la disponibilité du service informatique et</p><p>sa fiabilité sont essentielles. Le risque comprend également les mesures qu'une</p><p>organisation est prête à prendre pour</p><p>atteindre ou faire avancer ses objectifs, mais les</p><p>résultats peuvent être non prouvés ou incertains.</p><p>En comprenant la nature de l'entreprise, un auditeur SI peut identifier et catégoriser les</p><p>types de risques qui permettront de mieux déterminer le modèle ou l'approche de risque</p><p>dans la conduite de l'audit. L'évaluation du modèle de risque peut être aussi simple que</p><p>de créer des pondérations pour les types de risques associés à l'entreprise et d'identifier</p><p>le risque dans une équation. D'un autre côté, l'évaluation des risques peut être un</p><p>système dans lequel le risque a reçu des pondérations élaborées en fonction de la nature</p><p>de l'entreprise ou de l'importance du risque. Un aperçu simpliste d'une approche d'audit</p><p>basée sur les risques est illustré à la figure 1.6 .</p><p>1.4.1 RISQUE D'AUDIT ET MATÉRIALITÉ</p><p>Le risque d'audit peut être défini comme le risque que les informations collectées</p><p>contiennent une erreur significative qui peut ne pas être détectée au cours de l'audit. Un</p><p>auditeur SI doit également prendre en compte, le cas échéant, d'autres facteurs</p><p>pertinents pour l'organisation: les données client, la confidentialité, la disponibilité des</p><p>services fournis et l'image de l'entreprise et du public, comme dans le cas des</p><p>organisations publiques ou des fondations.</p><p>Le risque d'audit est influencé par:</p><p>• Risque inhérent - En ce qui concerne le risque d'audit, c'est le niveau de risque ou</p><p>l'exposition du processus / de l'entité à auditer sans tenir compte des contrôles que la</p><p>direction a mis en place. Un risque inhérent existe indépendamment d'un audit et peut</p><p>survenir en raison de la nature de l'entreprise.</p><p>• Risque de contrôle : risque qu'une erreur importante existe qui ne soit pas évitée ou</p><p>détectée en temps opportun par le système de contrôle interne. Par exemple, le risque</p><p>de contrôle associé aux examens manuels des journaux informatiques peut être élevé</p><p>car les activités nécessitant une enquête sont souvent facilement manquées en raison</p><p>du volume d'informations enregistrées. Le risque de contrôle associé aux procédures</p><p>informatisées de validation des données est généralement faible si les processus sont</p><p>appliqués de manière cohérente.</p><p>• Risque de détection : le risque que des erreurs ou anomalies significatives qui se</p><p>soient produites ne soient pas détectées par un auditeur du SI.</p><p>• Risque d'audit global : probabilité que les informations ou les rapports financiers</p><p>contiennent des erreurs significatives et que l'auditeur ne détecte pas une erreur qui</p><p>s'est produite. L'un des objectifs de la formulation de l'approche d'audit est de limiter</p><p>le risque d'audit dans la zone sous examen afin que le risque d'audit global soit</p><p>niveau suffisamment bas à la fin de l'examen.</p><p>Une faiblesse du contrôle interne ou un ensemble de faiblesses combinées du contrôle</p><p>interne peut laisser une organisation très sensible à la survenance d'une menace (par</p><p>exemple, perte financière, interruption de l'activité, perte de confiance des clients,</p><p>sanction économique). Un auditeur SI doit être soucieux d'évaluer la matérialité des</p><p>éléments en question à travers une approche d'audit basée sur les risques pour évaluer</p><p>les contrôles internes.</p><p>Manuel d’examen 27 e édition</p><p>80 | P a g e</p><p>By BlackHavok</p><p>Un auditeur SI doit avoir une bonne compréhension du risque d'audit lors de la</p><p>planification d'un audit. Un échantillon d'audit peut ne pas détecter toutes les erreurs</p><p>potentielles dans une population. Cependant, en utilisant des procédures</p><p>d'échantillonnage statistique appropriées ou un processus de contrôle qualité solide, la</p><p>probabilité de risque de détection peut être réduite à un niveau acceptable.</p><p>De même, lors de l'évaluation des contrôles internes, un auditeur SI doit se rendre</p><p>compte qu'un système donné peut ne pas détecter une erreur mineure. Cependant, cette</p><p>erreur spécifique, combinée à d'autres, pourrait devenir importante pour le système</p><p>global.</p><p>Remarque: Un candidat à la CISA doit comprendre le risque d'audit et ne pas le</p><p>confondre avec le risque d'échantillonnage statistique, qui est le risque que des</p><p>hypothèses incorrectes soient faites sur les caractéristiques d'une population à partir</p><p>de laquelle un échantillon est sélectionné.</p><p>Remarque: Pour plus d'informations, voir la norme 1204 relative à la matérialité et</p><p>la directive 2204 relative à la matérialité.</p><p>1.4.2 ÉVALUATION DES RISQUES</p><p>Manuel d’examen 27 e édition</p><p>81 | P a g e</p><p>By BlackHavok</p><p>Un auditeur SI doit comprendre comment l'organisation auditée aborde l'évaluation des</p><p>risques. Les évaluations des risques doivent identifier, quantifier et hiérarchiser les</p><p>risques par rapport aux critères d'acceptation des risques et aux objectifs pertinents pour</p><p>l'organisation. Les résultats doivent guider et déterminer les mesures de gestion</p><p>appropriées, les priorités de gestion des risques de sécurité de l'information et les</p><p>priorités de mise en œuvre des contrôles sélectionnés pour se protéger contre les risques.</p><p>Des évaluations des risques doivent être effectuées périodiquement pour tenir compte</p><p>des changements dans l'environnement, des exigences de sécurité et de la situation de</p><p>risque (par exemple, dans les actifs, les menaces, les vulnérabilités, les impacts) et</p><p>lorsque des changements importants se produisent. Celles-ci doivent être effectuées</p><p>méthodiquement et être capables de produire des résultats comparables et</p><p>reproductibles.</p><p>La portée d'une évaluation des risques peut être l'ensemble de l'organisation; parties de</p><p>l'organisation; un système d'information individuel; composants spécifiques du</p><p>système; ou des services lorsque cela est possible, réaliste et utile.</p><p>Afin de gérer le risque, une organisation doit établir les critères permettant de déterminer</p><p>si le risque peut être géré dans le cadre de l'appétit pour le risque. Le risque peut être</p><p>accepté si, par exemple, il est estimé que le risque est faible ou que le coût du traitement</p><p>n'est pas rentable pour l'organisation. Ces décisions devraient être enregistrées.</p><p>Le risque identifié dans l'évaluation des risques doit être traité. Les options possibles de</p><p>réponse aux risques comprennent:</p><p>• Atténuation des risques: appliquer des contrôles appropriés pour réduire les</p><p>risques</p><p>• Acceptation des risques - ne sachant pas et objectivement prendre des mesures, à</p><p>condition que les risques satisfassent clairement à la politique et aux critères</p><p>d'acceptation des risques de l'organisation</p><p>• Évitement des risques - Éviter les risques en ne permettant pas des actions qui</p><p>entraîneraient le risque de se produire</p><p>• Partage des risques (transfert) - Transfert du risque associé à d'autres parties</p><p>(par exemple, les assureurs ou les fournisseurs)</p><p>Pour les risques pour lesquels l'option de traitement des risques consiste à appliquer des</p><p>contrôles appropriés, des contrôles doivent être sélectionnés pour garantir que le risque</p><p>est réduit à un niveau acceptable, compte tenu des éléments suivants:</p><p>• Exigences et contraintes des législations et réglementations nationales et</p><p>internationales</p><p>• Objectifs organisationnels</p><p>• Exigences et contraintes opérationnelles</p><p>• Rentabilité (nécessité d'équilibrer l'investissement dans la mise en œuvre et le</p><p>fonctionnement des contrôles contre les dommages susceptibles de résulter des</p><p>défaillances de sécurité)</p><p>Du point de vue d'un auditeur SI, l'évaluation des risques sert plusieurs objectifs:</p><p>• Aider un auditeur SI à identifier les risques et les menaces pesant sur un environnement</p><p>informatique et un système SI - risques et menaces qui devraient être traités par la</p><p>Manuel d’examen 27 e édition</p><p>82 | P a g e</p><p>By BlackHavok</p><p>direction - et à identifier les contrôles internes spécifiques au système. Selon le niveau</p><p>de risque, cela aide un auditeur SI à sélectionner certains domaines à examiner.</p><p>• Aider un auditeur SI dans l'évaluation des contrôles</p><p>dans la planification de l'audit</p><p>• Assister un auditeur SI dans la détermination des objectifs d'audit</p><p>• Soutenir la prise de décision d'audit basée sur les risques</p><p>La figure 1.7 illustre les processus spécifiques utilisés par un auditeur SI pour atteindre</p><p>ces objectifs.</p><p>Source: National Institute of Standards and Technology (NIST), NIST Special Publication</p><p>800-30, Revision 1: Information Security , USA, 2012. Reproduit avec l'aimable</p><p>autorisation du National Institute of Standards and Technology, US Department of</p><p>Commerce. Pas de droit d'auteur aux États-Unis.</p><p>Lors de l'élaboration du plan d'audit global du SI, une approche appropriée d'évaluation</p><p>des risques doit être suivie. Pour évaluer correctement et complètement le risque lié à</p><p>l'étendue complète du domaine d'audit du SI, un auditeur du SI doit prendre en compte</p><p>les éléments suivants lors de l'élaboration du plan d'audit du SI:</p><p>• Couverture complète de tous les domaines entrant dans le cadre de l'univers d'audit</p><p>des SI, qui représente l'éventail de toutes les activités d'audit possibles</p><p>• Fiabilité et pertinence de l'évaluation des risques fournie par la direction</p><p>• Les processus suivis par la direction pour superviser, examiner et signaler les risques</p><p>ou problèmes potentiels</p><p>Manuel d’examen 27 e édition</p><p>83 | P a g e</p><p>By BlackHavok</p><p>• Couverture du risque dans les activités connexes pertinentes pour les activités sous</p><p>examen</p><p>1.4.3 LES TECHNIQUES D'ÉVALUATION DES RISQUES D'AUDIT</p><p>Lors de la détermination des domaines fonctionnels à auditer, un auditeur SI peut être</p><p>confronté à une grande variété de sujets d'audit. Chacun de ces sujets peut représenter</p><p>différents types de risques. Un auditeur SI doit évaluer ces différents candidats à risque</p><p>pour déterminer les domaines à haut risque qui doivent être audités.</p><p>Il existe de nombreuses méthodologies d'évaluation des risques parmi lesquelles un</p><p>auditeur SI peut choisir. Celles-ci vont de simples classifications basées sur le jugement</p><p>de l'auditeur du SI de élevé, moyen et faible, à des calculs scientifiques complexes qui</p><p>fournissent une évaluation numérique du risque.</p><p>L'une de ces approches d'évaluation des risques est un système de notation qui est utile</p><p>pour hiérarchiser les audits sur la base d'une évaluation des facteurs de risque. Le</p><p>système prend en compte des variables telles que la complexité technique, le niveau des</p><p>procédures de contrôle en place et le niveau de perte financière. Ces variables peuvent</p><p>ou non être pondérées. Les valeurs de risque sont ensuite comparées les unes aux autres</p><p>et des audits sont planifiés en conséquence.</p><p>Une autre forme d'évaluation des risques est subjective, dans laquelle une décision</p><p>indépendante est prise sur la base des connaissances commerciales, des directives de la</p><p>direction, des perspectives historiques, des objectifs commerciaux et des facteurs</p><p>environnementaux. Une combinaison de techniques peut être utilisée. Les méthodes</p><p>d'évaluation des risques peuvent changer et se développer au fil du temps pour mieux</p><p>répondre aux besoins de l'organisation. Un auditeur SI doit considérer le niveau de</p><p>complexité et de détail approprié pour l'organisation auditée.</p><p>L'utilisation de l'évaluation des risques pour déterminer les domaines à auditer donne les</p><p>résultats suivants:</p><p>• Permettre à la gestion de l'audit d'allouer efficacement des ressources d'audit</p><p>limitées</p><p>• S'assurer que les informations pertinentes ont été obtenues à tous les niveaux de la</p><p>direction, y compris les conseils d'administration, les auditeurs des SI et la gestion des</p><p>domaines fonctionnels. Généralement, ces informations aident la direction à</p><p>s'acquitter efficacement de ses responsabilités et garantissent que les activités d'audit</p><p>sont dirigées vers les zones à haut risque, ce qui ajoutera de la valeur à la gestion.</p><p>• Établir une base pour gérer efficacement le service d'audit</p><p>• Fournir un résumé de la façon dont le sujet d'audit individuel est lié à l'organisation</p><p>globale ainsi qu'aux plans d'affaires</p><p>1.4.4 ANALYSE DES RISQUES</p><p>L'analyse des risques est un sous-ensemble de l'évaluation des risques et est utilisée</p><p>pendant la planification de l'audit pour aider à identifier les risques et les vulnérabilités</p><p>afin qu'un auditeur SI puisse déterminer les contrôles nécessaires pour atténuer le</p><p>risque. Les procédures d'évaluation des risques fournissent une base pour l'identification</p><p>Manuel d’examen 27 e édition</p><p>84 | P a g e</p><p>By BlackHavok</p><p>et l'évaluation des risques de vulnérabilités significatives; cependant, ils ne fournissent</p><p>pas d'éléments probants suffisants et appropriés sur lesquels fonder l'opinion d'audit.</p><p>Lors de l'évaluation des processus métier liés à l'informatique appliqués par une</p><p>organisation, il est important de comprendre la relation entre le risque et le contrôle. Les</p><p>auditeurs SI doivent être capables d'identifier et de différencier les types de risques et</p><p>les contrôles utilisés pour atténuer ce risque. Ils doivent avoir une connaissance des</p><p>domaines de risques commerciaux communs, des risques technologiques associés et des</p><p>contrôles pertinents. Ils devraient également être en mesure d'évaluer le processus et</p><p>les techniques d'évaluation et de gestion des risques utilisés par les chefs d'entreprise,</p><p>et d'effectuer des évaluations des risques pour aider à concentrer et à planifier les</p><p>travaux d'audit. En plus de comprendre les risques et le contrôle de l'entreprise, les</p><p>auditeurs SI doivent comprendre que le risque existe dans le processus d'audit.</p><p>Le risque est défini comme la combinaison de la probabilité d'un événement et de ses</p><p>conséquences (Organisation internationale de normalisation [ISO] 31000: 2009: Gestion</p><p>des risques - Principes et lignes directrices / Guide ISO 73: 2009: Gestion des risques -</p><p>Vocabulaire). Le risque commercial peut avoir un impact négatif sur les actifs, les</p><p>processus ou les objectifs d'une entreprise ou d'une organisation spécifique . Un auditeur</p><p>SI est souvent concentré sur les problèmes à haut risque associés à la confidentialité,</p><p>l'intégrité ou la disponibilité des informations sensibles et critiques et des systèmes et</p><p>processus d'information sous-jacents qui génèrent, stockent et manipulent ces</p><p>informations. Lors de l'examen de ces types de risques commerciaux liés aux TI, un</p><p>vérificateur des SI évalue souvent l'efficacité du processus de gestion des risques utilisé</p><p>par une organisation.</p><p>Lors de l'analyse du risque commercial résultant de l'utilisation de l'informatique, il est</p><p>important pour un auditeur SI d'avoir une compréhension claire des aspects suivants:</p><p>• Processus de gestion des risques acceptés par l'industrie et / ou internationalement</p><p>• Le but et la nature de l'entreprise, l'environnement dans lequel l'entreprise opère et les</p><p>risques commerciaux associés</p><p>• Dépendance envers la technologie dans la réalisation des buts et objectifs</p><p>commerciaux</p><p>• Le risque commercial de l'utilisation de l'informatique et son impact sur la réalisation</p><p>des buts et objectifs de l'entreprise</p><p>• Une bonne vue d'ensemble des processus d'affaires et de l'impact des TI et des risques</p><p>associés sur les objectifs des processus d'affaires</p><p>Le processus d'évaluation des risques est un cycle de vie itératif qui commence par</p><p>l'identification des objectifs commerciaux; actifs informationnels; et les systèmes ou</p><p>ressources d'information sous-jacents qui génèrent, stockent, utilisent ou manipulent les</p><p>actifs (par exemple, matériel, logiciels, bases de données, réseaux, installations,</p><p>personnes) essentiels à la réalisation de ces objectifs. Le risque informatique étant</p><p>dynamique, la direction doit reconnaître la nécessité et mettre en place un processus</p><p>adaptatif de gestion des risques informatiques qui prend en charge le processus de</p><p>gestion des risques de l'entreprise. Par conséquent, le plus d'efforts peuvent</p><p>Questions d'auto-évaluation Réponses aux questions d'auto-évaluation</p><p>Partie A: Gouvernance informatique</p><p>2.0 Introduction 2.1 Gouvernance informatique et stratégie informatique</p><p>2.1.1 Gouvernance d'entreprise de l'information et de la technologie</p><p>2.1.2 Bonnes pratiques pour EGIT</p><p>2.1.3 Rôle de l'audit dans EGIT</p><p>2.1.4 Gouvernance de la sécurité de l'information</p><p>Gouvernance efficace de la sécurité de l'information</p><p>2.1.5 Stratégie des systèmes d'information</p><p>2.1.6 Planification stratégique</p><p>2.1.7 Gouvernance des données de Business</p><p>Intelligence</p><p>2.2 Cadres informatiques 2.3 Normes, politiques et procédures informatiques</p><p>Manuel d’examen 27 e édition</p><p>9 | P a g e</p><p>By BlackHavok</p><p>2.3.1 Normes</p><p>2.3.2 Politiques</p><p>Politique de sécurité de l'information</p><p>Examen de la politique de sécurité de l'information</p><p>2.3.3 Procédures</p><p>2.3.4 Lignes directrices</p><p>2.4 Structure organisationnelle</p><p>2.4.1 Comités directeurs informatiques</p><p>2.4.2 Rôles et responsabilités de la haute direction et des conseils</p><p>Réalisateurs</p><p>Conseil d'administration</p><p>La haute direction</p><p>Comité des normes de sécurité de l'information</p><p>Directeur de la sécurité de l'information</p><p>Comité directeur informatique</p><p>Matrice des résultats et des responsabilités</p><p>2.4.3 Structure organisationnelle et responsabilités informatiques Rôles</p><p>et responsabilités informatiques</p><p>2.4.4 Séparation des tâches dans les contrôles de séparation des tâches des</p><p>TI</p><p>2.4.5 Audit de la structure de gouvernance informatique et de la documentation sur la</p><p>mise en œuvre</p><p>2.5 Architecture d'entreprise 2.6 Gestion des risques d'entreprise</p><p>2.6.1 Élaboration d'un programme de gestion des risques</p><p>2.6.2 Processus de gestion des risques Étape 1:</p><p>Identification des actifs</p><p>Étape 2: Évaluation des menaces et des vulnérabilités des actifs</p><p>Étape 3: Évaluation de l'impact</p><p>Étape 4: Calcul du risque</p><p>Étape 5: Évaluation des risques et réponse aux risques</p><p>2.6.3 Méthodes d'analyse des risques Méthodes</p><p>d'analyse qualitative</p><p>Méthodes d'analyse semi-quantitative</p><p>Méthodes d'analyse quantitative</p><p>2.7 Modèles de maturité</p><p>2.7.1 Intégration du modèle de maturité des capacités</p><p>2.7.2 Initier, diagnostiquer, établir, agir et apprendre</p><p>(IDEAL) Modèle</p><p>2.8 Lois, règlements et normes de l'industrie affectant le</p><p>Organisation</p><p>2.8.1 Gouvernance, risques et conformité</p><p>2.8.2 Impact des lois, réglementations et normes de l'industrie sur l'audit des SI</p><p>Partie B: Gestion informatique</p><p>2.9 Gestion des ressources informatiques</p><p>2.9.1 Valeur de l'informatique</p><p>2.9.2 Mise en œuvre de la gestion du portefeuille informatique</p><p>Manuel d’examen 27 e édition</p><p>10 | P a g e</p><p>By BlackHavok</p><p>Tableau de bord de la gestion de portefeuille informatique et du tableau de</p><p>bord équilibré</p><p>2.9.3 Pratiques de gestion informatique</p><p>2.9.4 Gestion des ressources humaines</p><p>Embauche</p><p>Manuel des employés</p><p>Politiques de promotion</p><p>Entraînement</p><p>Planification et rapport de temps</p><p>Conditions d'emploi</p><p>Pendant l'emploi</p><p>Évaluations du rendement des employés</p><p>Vacances obligatoires</p><p>Politiques de résiliation</p><p>2.9.5 Gestion du changement organisationnel</p><p>2.9.6 Pratiques de gestion financière</p><p>IS Budgets</p><p>Développement de logiciels</p><p>2.9.7 Gestion de la sécurité de l'information</p><p>2.10 Acquisition et gestion des fournisseurs de services informatiques</p><p>2.10.1 Pratiques et stratégies d'impartition</p><p>Normes de l'industrie / analyse comparative</p><p>Pratiques et stratégies de mondialisation</p><p>2.10.2 Externalisation et rapports d'audit tiers</p><p>2.10.3 Gouvernance du cloud</p><p>2.10.4 Gouvernance de l'externalisation</p><p>2.10.5 Planification de la capacité et de la croissance</p><p>2.10.6 Gestion de la prestation de services par des tiers</p><p>2.10.7 Surveillance et examen des services tiers</p><p>2.10.8 Gestion des modifications apportées à l'amélioration des services</p><p>des services tiers et à la satisfaction des utilisateurs</p><p>2.11 Surveillance et rapports des performances informatiques</p><p>2.11.1 Optimisation des performances</p><p>Facteurs de succès critiques</p><p>Méthodologies et outils</p><p>2.11.2 Outils et techniques Tableau de bord</p><p>équilibré informatique</p><p>2.12 Assurance qualité et gestion de la qualité des TI</p><p>2.12.1 Assurance qualité</p><p>2.12.2 Gestion de la qualité</p><p>Étude de cas</p><p>Réponses aux questions des études de cas</p><p>Chapitre 3:</p><p>Acquisition, développement et mise en œuvre de systèmes d'information</p><p>Manuel d’examen 27 e édition</p><p>11 | P a g e</p><p>By BlackHavok</p><p>Aperçu</p><p>Contenu de l'examen du domaine 3 Aperçu des objectifs d'apprentissage /</p><p>énoncés des tâches Ressources suggérées pour une étude plus approfondie</p><p>Questions d'auto-évaluation Réponses aux questions d'auto-évaluation</p><p>Partie A: Acquisition et développement de systèmes d'information</p><p>3.0 Introduction 3.1 Gouvernance et gestion de projet</p><p>3.1.1 Pratiques de gestion de projet</p><p>3.1.2 Structure de gestion de projet</p><p>3.1.3 Rôles et responsabilités de gestion de projet</p><p>3.1.4 Techniques de gestion de projet</p><p>3.1.5 Gestion du portefeuille / programme</p><p>3.1.6 Base de données du portefeuille de projets du bureau de gestion de projet</p><p>3.1.7 Réalisation des avantages du projet</p><p>3.1.8 Lancement du projet</p><p>3.1.9 Objectifs du projet</p><p>3.1.10 Planification du projet</p><p>Estimation des coûts du projet de développement de systèmes</p><p>d'information</p><p>Estimation de la taille du logiciel</p><p>Analyse des points de fonction</p><p>Budgets des coûts</p><p>Estimation des coûts logiciels</p><p>Planification et établissement du délai</p><p>3.1.11 Exécution du projet</p><p>3.1.12 Contrôle et suivi du projet</p><p>Gestion des changements de portée</p><p>Gestion de l'utilisation des ressources</p><p>Gestion des risques</p><p>3.1.13 Clôture du projet</p><p>3.1.14 Rôle de l'auditeur SI dans la gestion de projet</p><p>3.2 Analyse de rentabilisation et analyse de faisabilité</p><p>3.2.1 Rôle de l'auditeur du SI dans le développement de l'analyse de</p><p>rentabilisation</p><p>3.3 Méthodologies de développement du système</p><p>3.3.1 Développement d'applications commerciales</p><p>3.3.2 Modèles SDLC</p><p>3.3.3 Phases SDLC</p><p>Phase 1 - Étude de faisabilité</p><p>Phase 2 - Définition des exigences</p><p>Phase 3A - Sélection et acquisition de logiciels</p><p>Phase 3B - Conception</p><p>Phase 4A - Configuration</p><p>Phase 4B - Développement</p><p>Phase 5 - Test final et mise en œuvre</p><p>Phase 6 - Examen après la mise en œuvre</p><p>Manuel d’examen 27 e édition</p><p>12 | P a g e</p><p>By BlackHavok</p><p>3.3.4 Rôle de l'auditeur SI dans la gestion de projet SDLC</p><p>3.3.5 Prototypage de méthodes de développement logiciel - Développement</p><p>évolutif</p><p>Développement rapide d'applications</p><p>Développement agile</p><p>Développement de système orienté objet</p><p>Développement basé sur les composants</p><p>Développement d'applications Web</p><p>Réingénierie des logiciels</p><p>Ingénierie inverse</p><p>DevOps</p><p>Réingénierie des processus d'affaires et changement de processus</p><p>3.3.6 Outils de développement de systèmes et aides à la productivité</p><p>Génie logiciel assisté par ordinateur</p><p>Générateurs de code</p><p>Langues de quatrième génération</p><p>3.3.7 Développement des infrastructures / pratiques d'acquisition</p><p>Phases du projet d'analyse de l'architecture physique</p><p>Planification de la mise en œuvre de l'infrastructure</p><p>3.3.8 Acquisition de matériel / logiciel</p><p>Étapes d'acquisition</p><p>Rôle de l'auditeur SI dans l'acquisition de matériel</p><p>3.3.9 Acquisition du logiciel système</p><p>Systèmes intégrés de gestion des ressources</p><p>Rôle de l'auditeur SI dans l'acquisition de logiciels</p><p>3.4 Identification et conception des contrôles</p><p>3.4.1 Contrôles d'entrée / d'origine</p><p>Autorisation d'entrée</p><p>Contrôles par lots et équilibrage</p><p>Rapport d'erreurs et traitement</p><p>3.4.2 Procédures de traitement et contrôles Procédures</p><p>de validation et d'édition des données</p><p>Contrôles de traitement</p><p>Procédures de contrôle des fichiers de données</p><p>3.4.3 Contrôles de sortie</p><p>3.4.4 Contrôles d'application</p><p>Rôle de l'auditeur du SI dans l'examen des contrôles d'application</p><p>3.4.5 Procédures utilisateur</p><p>3.4.6 Conception et développement d'un système</p><p>d'aide à la décision</p><p>être dirigés</p><p>vers les actifs les plus sensibles ou critiques de l'organisation. Ensuite, une évaluation</p><p>des risques est effectuée pour identifier les vulnérabilités et les menaces et déterminer</p><p>la probabilité d'occurrence et l'impact qui en résulte et des garanties supplémentaires</p><p>qui atténueraient cet impact à un niveau acceptable pour la direction.</p><p>Manuel d’examen 27 e édition</p><p>85 | P a g e</p><p>By BlackHavok</p><p>Pendant la phase d'atténuation des risques, des contrôles sont identifiés pour traiter le</p><p>risque identifié. Ces contrôles devraient empêcher ou réduire la probabilité qu'un</p><p>événement à risque se produise, détecter la survenance d'un événement à risque,</p><p>minimiser l'impact ou transférer le risque à une autre organisation.</p><p>L'évaluation des contre-mesures doit être effectuée au moyen d'une analyse coûts-</p><p>avantages dans laquelle les contrôles sont sélectionnés pour réduire le risque à un niveau</p><p>acceptable pour la direction. Ce processus peut être basé sur les éléments suivants:</p><p>• Le coût du contrôle par rapport à l’avantage de minimiser le risque</p><p>• l'appétit pour le risque de la direction (c.-à-d. Le niveau de risque résiduel que la</p><p>direction est prête à accepter)</p><p>• Méthodes de réduction des risques préférées (par exemple, mettre fin au risque,</p><p>minimiser la probabilité d'occurrence, minimiser l'impact, transférer le risque via une</p><p>assurance)</p><p>La phase finale concerne la surveillance des niveaux de performance du risque géré,</p><p>l'identification de tout changement significatif dans l'environnement qui déclencherait</p><p>une réévaluation du risque, justifiant des changements dans son environnement de</p><p>contrôle. Il comprend trois processus - évaluation des risques, atténuation des risques</p><p>et réévaluation des risques - pour déterminer si le risque est atténué à un niveau</p><p>acceptable pour la direction. Il convient de noter que, pour être efficace, l'évaluation des</p><p>risques doit être un processus continu dans une organisation qui</p><p>s'efforce continuellement d'identifier et d'évaluer les risques à mesure qu'ils surviennent</p><p>et évoluent. Voir figure 1.8 pour le résumé du processus de gestion des risques.</p><p>Manuel d’examen 27 e édition</p><p>86 | P a g e</p><p>By BlackHavok</p><p>1.5 TYPES D'AUDITS ET D'ÉVALUATIONS</p><p>Un auditeur SI doit comprendre les différents types d'audits qui peuvent être effectués,</p><p>en interne ou en externe, et les procédures d'audit de base associées à chacun. Ceux-ci</p><p>inclus:</p><p>• Audit SI - Un audit SI est conçu pour recueillir et évaluer des éléments probants afin</p><p>de déterminer si un système d'information et les ressources associées sont</p><p>convenablement sauvegardés et protégés; maintenir l'intégrité et la disponibilité des</p><p>données et du système; fournir des informations pertinentes et fiables; atteindre</p><p>efficacement les objectifs organisationnels; consommer efficacement les</p><p>ressources; et avoir, en fait, des contrôles internes qui fournissent une assurance</p><p>raisonnable que les objectifs commerciaux, opérationnels et de contrôle seront atteints</p><p>Manuel d’examen 27 e édition</p><p>87 | P a g e</p><p>By BlackHavok</p><p>et que les événements indésirables seront évités, ou détectés et corrigés, en temps</p><p>opportun.</p><p>• Audit de conformité - Un audit de conformité comprend des tests spécifiques de</p><p>contrôles pour démontrer l'adhésion à des normes ou pratiques réglementaires ou</p><p>spécifiques à l'industrie. Ces audits chevauchent souvent d'autres types d'audits mais</p><p>peuvent se concentrer sur des systèmes ou des données particuliers.</p><p>• Audit financier - Un audit financier évalue l'exactitude des rapports financiers. Un</p><p>audit financier impliquera souvent des tests détaillés et substantiels, bien que les</p><p>auditeurs SI mettent de plus en plus l'accent sur une approche d'audit basée sur les</p><p>risques et les contrôles. Ce type d'audit concerne l'intégrité et la fiabilité des</p><p>informations financières.</p><p>• Audit opérationnel - Un audit opérationnel est conçu pour évaluer la structure de</p><p>contrôle interne dans un processus ou un domaine donné. Un audit SI des contrôles</p><p>d'application ou des systèmes de sécurité logiques sont des exemples d'audit</p><p>opérationnel.</p><p>• Audit intégré - Il existe différents types d'audits intégrés, mais généralement un</p><p>audit intégré combine des étapes d'audit financier et opérationnel et peut ou non</p><p>inclure l'utilisation d'un auditeur SI. Un audit intégré est également réalisé pour</p><p>évaluer les objectifs globaux au sein d'une organisation, liés à l'information financière</p><p>et à la sauvegarde, l'efficacité et la conformité des actifs. Un audit intégré peut être</p><p>effectué par des auditeurs externes ou internes et comprendrait des tests de</p><p>conformité des contrôles internes et des étapes d'audit de fond. Voir la section 1.11,</p><p>Assurance qualité et amélioration du processus d'audit, pour plus d'informations.</p><p>• Audit administratif - Un audit administratif est conçu pour évaluer les problèmes liés</p><p>à l'efficacité de la productivité opérationnelle au sein d'une organisation.</p><p>• Audit spécialisé - De nombreux types d’audits spécialisés sont effectués. Dans la</p><p>catégorie de l'audit des SI, des revues spécialisées peuvent examiner des domaines</p><p>tels que la fraude ou les services fournis par des tiers.</p><p>- Audit de service tiers - Un audit de service tiers traite de l'audit des processus</p><p>financiers et commerciaux externalisés auprès de prestataires de services tiers, qui</p><p>peuvent opérer dans différentes juridictions. Un audit de service tiers émet une</p><p>opinion sur la description des contrôles par une organisation de services par le biais</p><p>d'un rapport d'audit de service, qui peut ensuite être utilisé par l'auditeur SI de</p><p>l'entité qui utilise les services de l'organisation de service.</p><p>- Audit de fraude - Un audit de fraude est un audit spécialisé conçu pour découvrir</p><p>une activité frauduleuse. Les auditeurs utilisent souvent des outils et des techniques</p><p>d'analyse de données spécifiques pour découvrir les stratagèmes de fraude et les</p><p>irrégularités commerciales.</p><p>- Audit médico - légal - Un audit médico-légal est un audit spécialisé pour</p><p>découvrir, divulguer et suivre les fraudes et les délits. Le principal objectif d'un tel</p><p>audit est de mettre au point des éléments de preuve pour examen par les autorités</p><p>répressives et judiciaires.</p><p>• Audit informatique judiciaire - Un audit informatique judiciaire est une enquête qui</p><p>comprend l'analyse des appareils électroniques tels que les ordinateurs, les</p><p>smartphones, les disques, les commutateurs, les routeurs et les concentrateurs. Un</p><p>auditeur SI possédant les compétences nécessaires peut assister un responsable de la</p><p>sécurité de l'information ou un expert en médecine légale dans la réalisation</p><p>Manuel d’examen 27 e édition</p><p>88 | P a g e</p><p>By BlackHavok</p><p>d'enquêtes médico-légales et mener un audit du système pour garantir la conformité</p><p>avec les procédures de collecte de preuves pour les enquêtes médico-légales.</p><p>• Audit fonctionnel: un audit fonctionnel fournit une évaluation indépendante des</p><p>produits logiciels, vérifiant que la fonctionnalité et les performances réelles de ses</p><p>éléments de configuration sont conformes aux spécifications des exigences. Plus</p><p>précisément, cet audit a lieu avant la livraison du logiciel ou après sa mise en</p><p>œuvre.</p><p>PARTIE B: EXÉCUTION</p><p>Une fois qu'un audit est planifié et que la portée et les objectifs sont définis, l'auditeur</p><p>du SI est prêt à exécuter le plan d'audit. Les sections suivantes fournissent des conseils</p><p>pour l'exécution d'un audit.</p><p>1.6 GESTION DU PROJET D'AUDIT</p><p>Plusieurs étapes sont nécessaires pour effectuer un audit. Une planification adéquate est</p><p>une première étape nécessaire pour réaliser des audits SI efficaces. Pour utiliser</p><p>efficacement les ressources d'audit des SI, les organisations d'audit doivent évaluer le</p><p>risque global pour les domaines généraux et d'application et les services connexes</p><p>audités, puis développer</p><p>un programme d'audit qui comprend des objectifs et des</p><p>procédures d'audit pour répondre aux objectifs d'audit. Le processus d'audit nécessite</p><p>qu'un auditeur du SI collecte des éléments probants, évalue les forces et les faiblesses</p><p>des contrôles sur la base des éléments probants recueillis par le biais des tests d'audit,</p><p>et prépare un rapport d'audit qui présente à la direction ces problèmes (c.-à-d., Les</p><p>domaines des faiblesses du contrôle avec des recommandations de correction) de</p><p>manière objective.</p><p>La direction de l'audit doit garantir la disponibilité des ressources d'audit adéquates et</p><p>un calendrier pour la réalisation des audits et, dans le cas de l'audit interne des SI, pour</p><p>des revues de suivi sur l'état des actions correctives prises par la direction. Le processus</p><p>d'audit comprend la définition de la portée de l'audit, la formulation des objectifs de</p><p>l'audit, l'identification des critères d'audit, la mise en œuvre des procédures d'audit,</p><p>l'examen et l'évaluation des éléments probants, la formation des conclusions et des</p><p>opinions d'audit, et le rapport à la direction après discussion avec les principaux</p><p>propriétaires du processus.</p><p>Les techniques de gestion de projet pour la gestion et l'administration des projets d'audit</p><p>comprennent les étapes de base suivantes:</p><p>• Planifier la mission d'audit - Planifiez l'audit en tenant compte des risques</p><p>spécifiques au projet.</p><p>• Élaborez le plan d'audit: définissez les tâches d'audit nécessaires sur une chronologie,</p><p>optimisant l'utilisation des ressources. Faites des estimations réalistes des exigences</p><p>de temps pour chaque tâche en tenant dûment compte de la disponibilité de</p><p>l'audité.</p><p>• Exécuter le plan: exécutez les tâches d'audit par rapport au plan.</p><p>• Surveiller les activités du projet —Reportez les progrès réels par rapport aux étapes</p><p>d'audit prévues pour vous assurer que les défis sont gérés de manière proactive et que</p><p>la portée est terminée dans les délais et le budget.</p><p>Manuel d’examen 27 e édition</p><p>89 | P a g e</p><p>By BlackHavok</p><p>1.6.1 OBJECTIFS DE L'AUDIT</p><p>Les objectifs de l'audit se réfèrent aux objectifs spécifiques qui doivent être atteints par</p><p>l'audit. En revanche, un objectif de contrôle fait référence au fonctionnement d'un</p><p>contrôle interne. Un audit intègre généralement plusieurs objectifs d'audit.</p><p>Les objectifs d'audit se concentrent souvent sur la confirmation de l'existence de</p><p>contrôles internes afin de minimiser les risques commerciaux et qu'ils fonctionnent</p><p>comme prévu. Ces objectifs d'audit comprennent la garantie du respect des exigences</p><p>légales et réglementaires ainsi que la confidentialité, l'intégrité, la fiabilité et la</p><p>disponibilité des informations et des ressources informatiques. La direction de l'audit peut</p><p>donner à un auditeur du SI un objectif de contrôle général à examiner et à évaluer lors</p><p>de l'exécution d'un audit.</p><p>Un élément clé de la planification d'un audit SI consiste à traduire les objectifs d'audit de</p><p>base et de grande envergure en objectifs d'audit SI spécifiques. Par exemple, dans un</p><p>audit financier / opérationnel, un objectif de contrôle pourrait être de s'assurer que les</p><p>transactions sont correctement enregistrées dans les comptes du grand</p><p>livre . Cependant, dans le cadre d'un audit SI, l'objectif pourrait être étendu pour</p><p>s'assurer que des fonctionnalités d'édition sont en place pour détecter les erreurs de</p><p>codage des transactions susceptibles d'avoir un impact sur les activités de</p><p>comptabilisation.</p><p>Un auditeur SI doit comprendre comment les objectifs d'audit généraux peuvent être</p><p>traduits en objectifs de contrôle SI spécifiques. La détermination des objectifs d'un audit</p><p>est une étape critique dans la planification d'un audit SI.</p><p>L'un des principaux objectifs d'un audit SI est d'identifier les objectifs de contrôle et les</p><p>contrôles associés qui répondent à l'objectif. Par exemple, l'examen initial par un</p><p>auditeur SI d'un système d'information doit identifier les contrôles clés.</p><p>Il convient ensuite de déterminer s'il convient de tester la conformité de ces contrôles.</p><p>Un auditeur SI doit identifier à la fois les contrôles généraux et d'application clés après</p><p>avoir développé une compréhension et documenté les processus métier et les</p><p>applications / fonctions qui prennent en charge ces processus et les systèmes</p><p>d'assistance générale. Sur la base de cette compréhension, un auditeur SI doit identifier</p><p>les points de contrôle clés.</p><p>Alternativement, un auditeur SI peut aider à évaluer l'intégrité des données d'information</p><p>financière, appelées tests de corroboration, par le biais des CAAT.</p><p>1.6.2 PHASES D'AUDIT</p><p>Chaque phase de l'exécution d'un audit peut être divisée en étapes clés pour planifier,</p><p>définir, exécuter et rendre compte des résultats, comme le montre la figure 1.9 .</p><p>Ces étapes peuvent être décomposées en activités plus spécifiques, comme le montre</p><p>la figure 1.10 .</p><p>1.6.3 PROGRAMMES DE VÉRIFICATION</p><p>Manuel d’examen 27 e édition</p><p>90 | P a g e</p><p>By BlackHavok</p><p>Un programme d'audit est un ensemble pas à pas de procédures et d'instructions d'audit</p><p>qui doivent être effectuées pour réaliser un audit. Il est basé sur la portée et l'objectif de</p><p>la mission particulière.</p><p>Les principaux objectifs de l'élaboration d'un programme d'audit sont les suivants:</p><p>• Documentation formelle des procédures d'audit et des étapes séquentielles</p><p>• Création de procédures reproductibles et faciles à utiliser par les professionnels de</p><p>l'audit et de l'assurance internes ou externes qui doivent effectuer des audits</p><p>similaires</p><p>• Documentation du type de test qui sera utilisé (conformité et / ou substantif)</p><p>• Satisfaire aux normes d'audit généralement acceptées concernant la phase de</p><p>planification du processus d'audit</p><p>Un auditeur SI évalue souvent les fonctions et systèmes informatiques sous différents</p><p>angles, tels que la sécurité (confidentialité, intégrité et disponibilité), la qualité (efficacité,</p><p>efficience), fiduciaire (conformité, fiabilité), le service et la capacité. Le programme de</p><p>travail d'audit est la stratégie et le plan d'audit - il identifie la portée, les objectifs d'audit</p><p>et les procédures d'audit afin d'obtenir des éléments probants suffisants, pertinents et</p><p>fiables pour tirer et étayer les conclusions et opinions d'audit.</p><p>Source: ISACA, Audit des systèmes d'information: outils et techniques - Création de</p><p>programmes d'audit , États-Unis, 2016</p><p>Figure 1.10 - Activités du processus d'audit par étape</p><p>Étape d'audit La description</p><p>1. Déterminez le sujet de</p><p>l'audit.</p><p>Identifiez la zone à auditer (par exemple, fonction</p><p>commerciale, système, emplacement physique).</p><p>Manuel d’examen 27 e édition</p><p>91 | P a g e</p><p>By BlackHavok</p><p>2. Définissez l'objectif de</p><p>l'audit.</p><p>Identifiez le but de l'audit. Par exemple, un objectif</p><p>peut être de déterminer si des modifications du code</p><p>source du programme se produisent dans un</p><p>environnement bien défini et contrôlé.</p><p>3. Définissez la portée de</p><p>l'audit.</p><p>Identifiez les systèmes, fonctions ou unités</p><p>spécifiques de l'organisation à inclure dans</p><p>l'examen. Par exemple, dans l'exemple précédent</p><p>(changements de programme), l'énoncé de portée</p><p>peut limiter l'examen à une seule application, un seul</p><p>système ou une période de temps limitée.</p><p>Cette étape est très importante car l'auditeur SI</p><p>devra comprendre l'environnement informatique et</p><p>ses composants pour identifier les ressources qui</p><p>seront nécessaires pour mener une évaluation</p><p>complète. Un champ d'application clair aidera</p><p>l'auditeur du SI à définir un ensemble de points de</p><p>test pertinents pour l'audit et à déterminer les</p><p>compétences techniques et les ressources</p><p>nécessaires pour évaluer les différentes technologies</p><p>et leurs composants.</p><p>4. Effectuez la planification</p><p>du pré-audit. • Mener une évaluation des risques, qui est</p><p>essentielle pour définir la portée finale d'un audit</p><p>basé sur les risques. Pour les autres types</p><p>d'audits</p><p>(par exemple, la conformité), la conduite d'une</p><p>évaluation des risques est une bonne pratique car</p><p>les résultats peuvent aider l'équipe d'audit des SI à</p><p>justifier l'engagement et à affiner davantage la</p><p>portée et l'objectif de la planification préalable.</p><p>• Interviewez l'audité pour vous renseigner sur les</p><p>activités ou les sujets de préoccupation qui</p><p>devraient être inclus dans la portée de la mission.</p><p>• Identifier les exigences de conformité</p><p>réglementaire.</p><p>• Une fois le sujet, l'objectif et la portée définis,</p><p>l'équipe d'audit peut identifier les ressources qui</p><p>seront nécessaires pour effectuer le travail</p><p>d'audit. Certaines des ressources à définir</p><p>suivent:</p><p>- Compétences techniques et ressources</p><p>nécessaires</p><p>- Budget et efforts nécessaires pour mener à bien</p><p>l'engagement</p><p>- Lieux ou installations à auditer</p><p>Manuel d’examen 27 e édition</p><p>92 | P a g e</p><p>By BlackHavok</p><p>- Rôles et responsabilités au sein de l'équipe</p><p>d'audit</p><p>- Calendrier des différentes étapes de l'audit</p><p>- Sources d'informations pour le test ou l'examen,</p><p>telles que les organigrammes fonctionnels, les</p><p>politiques, les normes, les procédures et les</p><p>documents de travail d'audit préalable</p><p>- Points de contact pour les dispositions</p><p>administratives et logistiques</p><p>- Un plan de communication qui décrit à qui</p><p>communiquer, quand, à quelle fréquence et à</p><p>quelles fins</p><p>5. Déterminer les procédures</p><p>d'audit et les étapes de</p><p>collecte des données.</p><p>À ce stade du processus d'audit, l'équipe d'audit doit</p><p>disposer de suffisamment d'informations pour</p><p>identifier et sélectionner l'approche ou la stratégie</p><p>d'audit et commencer à élaborer le programme</p><p>d'audit. Certaines des activités spécifiques de cette</p><p>étape sont les suivantes:</p><p>• Identifier et obtenir les politiques, normes et lignes</p><p>directrices ministérielles pour examen.</p><p>• Identifier toute exigence de conformité</p><p>réglementaire.</p><p>• Identifiez une liste de personnes à interroger.</p><p>• Identifier les méthodes (y compris les outils) pour</p><p>effectuer l'évaluation.</p><p>• Développer des outils d'audit et une méthodologie</p><p>pour tester et vérifier les contrôles.</p><p>• Développer des scripts de test.</p><p>• Identifier les critères d'évaluation du test.</p><p>• Définir une méthodologie pour évaluer que le test</p><p>et ses résultats sont exacts (et répétables si</p><p>nécessaire).</p><p>Source: ISACA, Audit des systèmes d'information: outils et techniques - Création de</p><p>programmes d'audit , États-Unis, 2016</p><p>Manuel d’examen 27 e édition</p><p>93 | P a g e</p><p>By BlackHavok</p><p>Les procédures d'audit générales sont les étapes de base de la réalisation d'un audit et</p><p>comprennent généralement:</p><p>• Acquérir et enregistrer une compréhension du domaine / sujet d'audit</p><p>• Création d'un plan et d'un calendrier d'évaluation des risques et d'audit général</p><p>• Effectuer une planification d'audit détaillée qui comprend les étapes d'audit nécessaires</p><p>et une ventilation des travaux prévus sur une période de temps prévue</p><p>• Examen préliminaire du domaine / sujet d'audit</p><p>• Évaluation du domaine / sujet d'audit</p><p>• Vérifier et évaluer la pertinence des contrôles conçus pour atteindre les objectifs de</p><p>contrôle</p><p>• Réalisation de tests de conformité (tests de mise en œuvre des contrôles et de leur</p><p>application cohérente)</p><p>• Réalisation de tests de validation (confirmant l'exactitude des informations)</p><p>• Rapports (communication des résultats)</p><p>• Suivi dans les cas où il existe une fonction d'audit interne</p><p>Compétences minimales pour élaborer un programme d'audit</p><p>L'élaboration de programmes d'audit et d'assurance significatifs dépend de la capacité de</p><p>personnaliser les procédures d'audit en fonction de la nature du sujet examiné et du</p><p>risque spécifique qui doit être traité dans l'audit</p><p>domaine / organisation. Les compétences suivantes peuvent aider un auditeur SI à créer</p><p>un programme d'audit:</p><p>• Bonne compréhension de la nature de l'entreprise et de son industrie pour identifier et</p><p>classer les types de risques et de menaces</p><p>• Bonne compréhension de l'espace informatique et de ses composants et connaissance</p><p>suffisante des technologies qui les affectent</p><p>• Compréhension de la relation entre le risque commercial et le risque informatique</p><p>• Une connaissance de base des pratiques d'évaluation des risques</p><p>• Compréhension des différentes procédures de test pour évaluer les contrôles SI et</p><p>identifier la meilleure méthode d'évaluation, par exemple:</p><p>- L'utilisation d'un logiciel d'audit généralisé pour étudier le contenu des fichiers de</p><p>données (par exemple, les journaux système, la liste d'accès des utilisateurs)</p><p>- L'utilisation de logiciels spécialisés pour évaluer le contenu des systèmes</p><p>d'exploitation, des bases de données et des fichiers de paramètres d'application</p><p>- Techniques de flux pour documenter les processus métier et les contrôles</p><p>automatisés</p><p>- L'utilisation de journaux d'audit et de rapports pour évaluer les paramètres</p><p>- Examen de la documentation</p><p>- Enquête et observations</p><p>- Traversées</p><p>- Ré - exécution des contrôles</p><p>Remarque: Pour des conseils supplémentaires, voir la norme 1203 Performance and</p><p>Supervision et la directive 2203 Performance and Supervision.</p><p>Manuel d’examen 27 e édition</p><p>94 | P a g e</p><p>By BlackHavok</p><p>1.6.4 DOCUMENTS DE TRAVAIL D'AUDIT</p><p>Tous les plans, programmes, activités, tests, constatations et incidents d'audit doivent</p><p>être correctement documentés dans les documents de travail. Le format et le support</p><p>des documents de travail peuvent varier, selon les besoins spécifiques du</p><p>département. Les auditeurs des SI devraient en particulier réfléchir à la manière de</p><p>maintenir l'intégrité et la protection des éléments probants issus des tests d'audit afin de</p><p>préserver leur valeur de justification à l'appui des résultats d'audit.</p><p>Les documents de travail peuvent être considérés comme le pont ou l'interface entre les</p><p>objectifs de l'audit et le rapport final. Les documents de travail doivent fournir une</p><p>transition transparente - avec traçabilité et support pour le travail effectué - des objectifs</p><p>au rapport et du rapport aux objectifs. Dans ce contexte, le rapport d'audit peut être</p><p>considéré comme un document de travail particulier.</p><p>1.6.5 FRAUDE, IRRÉGULARITÉS ET ACTES ILLÉGAUX</p><p>La direction est principalement responsable de la mise en place, de la mise en œuvre et</p><p>du maintien d'un système de contrôle interne qui mène à la dissuasion et / ou à la</p><p>détection rapide des fraudes. Les contrôles internes peuvent échouer lorsque de tels</p><p>contrôles sont contournés en exploitant des vulnérabilités ou en raison d'une faiblesse</p><p>des contrôles perpétuée par la direction ou d'une collusion entre les personnes.</p><p>La présence de contrôles internes n'élimine pas totalement la fraude. Les auditeurs des</p><p>SI doivent observer et faire preuve de la diligence professionnelle requise dans tous les</p><p>aspects de leur travail et être attentifs aux éventuelles opportunités qui permettent à la</p><p>fraude de se matérialiser. Ils doivent être conscients de la possibilité et des moyens de</p><p>commettre une fraude, notamment en exploitant les vulnérabilités et en contrôlant les</p><p>contrôles dans l'environnement informatique. Ils doivent avoir connaissance de la fraude</p><p>et des indicateurs de fraude et être attentifs à la possibilité de fraude et d'erreurs lors de</p><p>la réalisation d'un audit.</p><p>Au cours de travaux de certification réguliers, un auditeur SI peut rencontrer des cas ou</p><p>des indicateurs de fraude. Après une évaluation minutieuse, un auditeur SI peut</p><p>communiquer la nécessité d'une enquête détaillée aux autorités compétentes. Dans le</p><p>cas où l'auditeur du SI identifie une fraude majeure ou si le risque associé à la détection</p><p>est élevé, la direction de l'audit devrait également envisager de communiquer en temps</p><p>opportun au comité d'audit.</p><p>En ce</p><p>qui concerne la prévention de la fraude, un auditeur SI doit être conscient des</p><p>exigences légales potentielles concernant la mise en œuvre de procédures spécifiques de</p><p>détection de la fraude et le signalement de la fraude aux autorités compétentes.</p><p>Remarque: Pour des conseils supplémentaires, voir la norme 1207 Irrégularité et</p><p>actes illégaux et la directive 2207 Irrégularité et actes illégaux.</p><p>1.7 MÉTHODOLOGIE D'ÉCHANTILLONNAGE</p><p>Manuel d’examen 27 e édition</p><p>95 | P a g e</p><p>By BlackHavok</p><p>Des conclusions valables peuvent être tirées en utilisant l'échantillonnage</p><p>d'audit. Lorsqu'ils utilisent des méthodes d'échantillonnage statistiques ou non</p><p>statistiques, les auditeurs SI doivent concevoir et sélectionner un échantillon d'audit,</p><p>exécuter les procédures d'audit et évaluer les résultats de l'échantillon pour obtenir des</p><p>preuves suffisantes et appropriées pour former une conclusion. Lorsqu'ils utilisent des</p><p>méthodes d'échantillonnage pour tirer une conclusion sur l'ensemble de la population,</p><p>les professionnels doivent utiliser l'échantillonnage statistique.</p><p>Un auditeur SI doit considérer le but de l'échantillon:</p><p>• Test de conformité / test des contrôles - Procédure d'audit conçue pour évaluer</p><p>l'efficacité opérationnelle des contrôles pour prévenir, ou détecter et corriger, les</p><p>faiblesses importantes</p><p>• Test substantiel / test des détails - Une procédure d'audit conçue pour détecter les</p><p>faiblesses significatives au niveau des assertions</p><p>1.7.1 CONFORMITÉ VERSUS ESSAIS DE FOND</p><p>Les tests de conformité consistent à recueillir des preuves dans le but de tester la</p><p>conformité d'une organisation aux procédures de contrôle. Cela diffère des tests de</p><p>corroboration dans lesquels des preuves sont collectées pour évaluer l'intégrité des</p><p>transactions individuelles, des données ou d'autres informations.</p><p>Un test de conformité détermine si les contrôles sont appliqués d'une manière conforme</p><p>aux politiques et procédures de gestion. Par exemple, si un auditeur IS souhaite savoir</p><p>si les contrôles de la bibliothèque de programmes de production fonctionnent</p><p>correctement, l'auditeur IS peut sélectionner un échantillon de programmes pour</p><p>déterminer si les versions source et objet sont identiques. L'objectif général de tout test</p><p>de conformité est de fournir une assurance raisonnable que le contrôle particulier tel qu'il</p><p>est perçu dans l'évaluation préliminaire.</p><p>Il est important qu'un auditeur SI comprenne l'objectif spécifique d'un test de conformité</p><p>et du contrôle testé. Les tests de conformité peuvent être utilisés pour tester l'existence</p><p>et l'efficacité d'un processus défini, qui peut inclure une traînée de preuves</p><p>documentaires et / ou automatisées - par exemple, pour garantir que seules les</p><p>modifications autorisées sont apportées aux programmes de production.</p><p>Un test de corroboration confirme l'intégrité du traitement réel. Il fournit la preuve de la</p><p>validité et de l'intégrité des soldes dans les états financiers et des transactions qui</p><p>soutiennent ces soldes. Un auditeur SI pourrait utiliser des tests de corroboration pour</p><p>tester les erreurs monétaires affectant directement les soldes des états financiers ou</p><p>d'autres données pertinentes de l'organisation. De plus, un auditeur SI peut développer</p><p>un test de corroboration pour tester l'exhaustivité et l'exactitude des données du</p><p>rapport. Pour effectuer ce test, l'auditeur du SI peut utiliser un échantillon statistique,</p><p>qui lui permettra de tirer une conclusion concernant l'exactitude de toutes les données.</p><p>Il existe une corrélation directe entre le niveau des contrôles internes et le nombre de</p><p>tests de corroboration requis. Si les résultats des tests de contrôle (tests de conformité)</p><p>révèlent la présence de contrôles internes adéquats, la minimisation des procédures de</p><p>corroboration pourrait être justifiée. Inversement, si les tests de contrôle révèlent des</p><p>faiblesses dans les contrôles qui peuvent soulever des doutes sur l'exhaustivité,</p><p>Manuel d’examen 27 e édition</p><p>96 | P a g e</p><p>By BlackHavok</p><p>l'exactitude ou la validité des comptes, des tests de corroboration peuvent atténuer ces</p><p>doutes.</p><p>Des exemples de tests de conformité des contrôles où l'échantillonnage pourrait être</p><p>envisagé comprennent les droits d'accès des utilisateurs, les procédures de contrôle des</p><p>changements de programme, les procédures de documentation, la documentation du</p><p>programme, le suivi des exceptions, l'examen des journaux et les audits de licence de</p><p>logiciel.</p><p>Des exemples de tests de corroboration où l'échantillonnage pourrait être envisagé</p><p>comprennent la réalisation d'un calcul complexe (par exemple, les intérêts) sur un</p><p>échantillon de comptes ou un échantillon de transactions pour se porter garant de pièces</p><p>justificatives.</p><p>Un auditeur SI pourrait également décider lors de l'évaluation préliminaire des contrôles</p><p>d'inclure des tests de validation si les résultats de cette évaluation préliminaire indiquent</p><p>que les contrôles mis en œuvre ne sont pas fiables ou n'existent pas.</p><p>La figure 1.11 montre la relation entre la conformité et les tests de corroboration et</p><p>décrit les deux catégories de tests de corroboration.</p><p>Remarque: Un candidat CISA doit savoir quand effectuer des tests de conformité ou</p><p>des tests de corroboration.</p><p>1.7.2 ÉCHANTILLONNAGE</p><p>L'échantillonnage est effectué lorsque les considérations de temps et de coût empêchent</p><p>une vérification totale de toutes les transactions ou événements dans une population</p><p>prédéfinie. La population se compose de l'ensemble du groupe d'éléments qui doivent</p><p>être examinés. Le sous-ensemble de membres de la population utilisé pour effectuer les</p><p>tests est appelé un échantillon. L'échantillonnage est utilisé pour déduire les</p><p>caractéristiques d'une population sur la base des caractéristiques d'un échantillon.</p><p>Les deux approches générales de l'échantillonnage d'audit sont statistiques et non</p><p>statistiques:</p><p>• Échantillonnage statistique - Une méthode objective pour déterminer la taille de</p><p>l'échantillon et les critères de sélection</p><p>- L'échantillonnage statistique utilise les lois mathématiques de probabilité pour: (1)</p><p>calculer la taille de l'échantillonnage, (2) sélectionner les éléments de l'échantillon,</p><p>et (3) évaluer les résultats de l'échantillon et faire l'inférence.</p><p>- Avec l'échantillonnage statistique, un auditeur SI décide quantitativement</p><p>comment</p><p>de près, l'échantillon devrait représenter la population (évaluer la précision de</p><p>l'échantillon) et le nombre de fois sur 100 que l'échantillon devrait représenter la</p><p>population (le niveau de fiabilité ou de confiance). Cette évaluation est représentée</p><p>en pourcentage. Les résultats d'un échantillon statistique valide sont quantifiables</p><p>mathématiquement.</p><p>Manuel d’examen 27 e édition</p><p>97 | P a g e</p><p>By BlackHavok</p><p>• Échantillonnage non statistique (souvent appelé échantillonnage par</p><p>jugement) - Utilise le jugement d'audit pour déterminer la méthode</p><p>d'échantillonnage, le nombre d'éléments qui seront examinés à partir d'une population</p><p>(taille de l'échantillon) et les éléments à sélectionner (sélection de l'échantillon)</p><p>- Ces décisions sont basées sur un jugement subjectif sur les éléments / transactions</p><p>les plus importants et les plus risqués.</p><p>Lorsqu'il utilise des méthodes d'échantillonnage statistiques ou non statistiques, un</p><p>auditeur SI doit concevoir et sélectionner un échantillon d'audit, exécuter les procédures</p><p>d'audit et évaluer les résultats de l'échantillon pour obtenir des éléments probants</p><p>suffisants, fiables, pertinents et utiles. Ces méthodes d'échantillonnage obligent un</p><p>auditeur SI à faire preuve de jugement lors de la définition des caractéristiques de la</p><p>population et sont donc exposées au risque de tirer des conclusions incorrectes de</p><p>l'échantillon (risque d'échantillonnage). Cependant, l'échantillonnage statistique permet</p><p>à un auditeur SI de quantifier la probabilité d'erreur (coefficient</p><p>de confiance). Pour être</p><p>un échantillon statistique, chaque élément de la population devrait avoir une chance</p><p>égale ou une probabilité d'être sélectionné. Dans ces deux approches générales de</p><p>vérification de l'échantillonnage, deux méthodes principales d'échantillonnage sont</p><p>utilisées: l'échantillonnage par attribut et l'échantillonnage variable. L'échantillonnage</p><p>des attributs, généralement appliqué dans les tests de conformité, traite de la présence</p><p>ou de l'absence de l'attribut et fournit des conclusions qui sont exprimées en taux</p><p>d'incidence. L'échantillonnage variable, généralement appliqué dans les tests de</p><p>corroboration, traite des caractéristiques de la population qui varient, telles que les</p><p>valeurs monétaires et les poids (ou toute autre mesure), et fournit des conclusions liées</p><p>aux écarts par rapport à la norme.</p><p>L'échantillonnage par attribut fait référence à trois types d'échantillonnage proportionnel</p><p>différents mais liés:</p><p>• Échantillonnage par attribut (également appelé échantillonnage par attribut à</p><p>taille d'échantillon fixe ou échantillonnage par estimation de</p><p>fréquence): modèle d'échantillonnage utilisé pour estimer le taux (en pourcentage)</p><p>d'occurrence d'une qualité (attribut) spécifique dans une population. L'échantillonnage</p><p>des attributs répond à la question «combien?» Un exemple d'attribut pouvant être</p><p>testé est les signatures d'approbation sur les formulaires de demande d'accès à un</p><p>ordinateur.</p><p>Manuel d’examen 27 e édition</p><p>98 | P a g e</p><p>By BlackHavok</p><p>• Échantillonnage à arrêts multiples - Un modèle d'échantillonnage qui permet</p><p>d'éviter l'échantillonnage excessif d'un attribut en permettant d'arrêter un test d'audit</p><p>le plus tôt possible. L'échantillonnage à arrêts multiples est utilisé lorsqu'un auditeur</p><p>du SI estime que relativement peu d'erreurs seront trouvées dans une population.</p><p>• Échantillonnage de découverte - Un modèle d'échantillonnage le plus souvent utilisé</p><p>lorsque l'objectif de l'audit est de rechercher (découvrir) la fraude, le contournement</p><p>des réglementations ou d'autres irrégularités. Par exemple, si l'échantillon se révèle</p><p>exempt d'erreurs, il est supposé qu'aucune fraude / irrégularité n'existe; cependant,</p><p>si une seule erreur est détectée, l'ensemble de l'échantillon est considéré comme</p><p>frauduleux / irrégulier.</p><p>L'échantillonnage variable, également appelé estimation en dollars ou échantillonnage</p><p>par estimation moyenne, est une technique utilisée pour estimer la valeur monétaire ou</p><p>une autre unité de mesure (comme le poids) d'une population à partir d'une partie de</p><p>l'échantillon. Un exemple d'échantillonnage variable est un examen du bilan d'une</p><p>organisation pour les transactions importantes et un examen de l'application du</p><p>programme qui a produit le bilan.</p><p>L'échantillonnage variable fait référence à trois types de modèles d'échantillonnage</p><p>quantitatifs:</p><p>• Moyenne stratifiée par unité - Un modèle statistique dans lequel la population est</p><p>divisée en groupes et des échantillons sont tirés des différents groupes; utilisé pour</p><p>produire un échantillon global plus petit par rapport à la moyenne non stratifiée par</p><p>unité</p><p>• Moyenne non stratifiée par unité - Un modèle statistique dans lequel une moyenne</p><p>d'échantillon est calculée et projetée comme un total estimé</p><p>• Estimation de la différence - Un modèle statistique utilisé pour estimer la différence</p><p>totale entre les valeurs vérifiées et les valeurs comptables (non vérifiées) en fonction</p><p>des différences obtenues à partir des observations de l'échantillon</p><p>Les termes d'échantillonnage statistique suivants doivent être compris:</p><p>• Coefficient de confiance (également appelé niveau de confiance ou facteur de</p><p>fiabilité): expression en pourcentage (90%, 95%, 99%, etc.)</p><p>de la probabilité que les caractéristiques de l'échantillon soient une représentation</p><p>fidèle de la population. Généralement, un coefficient de confiance de 95% est</p><p>considéré comme un degré élevé de confort. Si un auditeur SI sait que les contrôles</p><p>internes sont solides, le coefficient de confiance peut être abaissé. Plus le coefficient</p><p>de confiance est élevé, plus la taille de l'échantillon est grande.</p><p>• Niveau de risque: égal à un moins le coefficient de confiance. Par exemple, si le</p><p>coefficient de confiance est de 95%, le niveau de risque est de 5% (100% moins</p><p>95%).</p><p>• Précision: définie par un auditeur IS, elle représente la différence de plage acceptable</p><p>entre l'échantillon et la population réelle. Pour l'échantillonnage par attribut, ce chiffre</p><p>est exprimé en pourcentage. Pour l'échantillonnage variable, ce chiffre est indiqué sous</p><p>forme de montant monétaire ou de nombre. Plus la valeur de précision est élevée, plus</p><p>la taille de l'échantillon est petite et plus le risque que des quantités d'erreurs totales</p><p>assez importantes ne soient pas détectées est grand. Plus la précision est petite, plus</p><p>Manuel d’examen 27 e édition</p><p>99 | P a g e</p><p>By BlackHavok</p><p>la taille de l'échantillon est grande. Un niveau de précision très faible peut conduire à</p><p>une taille d'échantillon inutilement grande.</p><p>• Taux d'erreur escompté: estimation exprimée en pourcentage des erreurs pouvant</p><p>exister. Plus le taux d'erreur attendu est élevé, plus la taille de l'échantillon est</p><p>grande. Ce chiffre est appliqué aux formules d'échantillonnage d'attributs mais pas aux</p><p>formules d'échantillonnage variables.</p><p>• Moyenne de l'échantillon : somme de toutes les valeurs d'échantillon, divisée par la</p><p>taille de l'échantillon. La moyenne de l'échantillon mesure la valeur moyenne de</p><p>l'échantillon.</p><p>• Écart type d'échantillon: calcule la variance des valeurs d'échantillon à partir de la</p><p>moyenne de l'échantillon. L'écart type de l'échantillon mesure la dispersion ou la</p><p>dispersion des valeurs de l'échantillon.</p><p>• Taux d'erreurs tolérable: décrit le nombre maximal d'inexactitudes ou d'erreurs</p><p>pouvant exister sans qu'un compte ne présente des anomalies significatives. Le taux</p><p>tolérable est utilisé pour la limite supérieure prévue de la plage de précision pour les</p><p>tests de conformité. Le terme est exprimé en pourcentage. «Plage de précision» et</p><p>«précision» ont la même signification lorsqu'ils sont utilisés dans des tests de</p><p>corroboration.</p><p>• Écart type de la population: concept mathématique qui mesure la relation avec la</p><p>distribution normale. Plus l'écart-type est grand, plus la taille de l'échantillon est</p><p>grande. Ce chiffre est appliqué aux formules d'échantillonnage variables mais pas aux</p><p>formules d'échantillonnage d'attributs.</p><p>Les étapes clés de la construction et de la sélection d'un échantillon pour un test d'audit</p><p>sont illustrées à la figure 1.12 .</p><p>Risque d'échantillonnage</p><p>Le risque d'échantillonnage découle de la possibilité que la conclusion d'un auditeur SI</p><p>soit différente de la conclusion qui serait atteinte si l'ensemble de la population était</p><p>soumise à la même procédure d'audit. Il existe deux types de risques d'échantillonnage:</p><p>• Le risque d'acceptation incorrecte - Une faiblesse importante est jugée improbable</p><p>lorsque, en fait, la population présente des anomalies significatives.</p><p>• Le risque de rejet incorrect - Une faiblesse importante est jugée probable lorsque,</p><p>en fait, la population n'a pas d'anomalies significatives.</p><p>Remarque: Un candidat CISA ne devrait pas être un expert en</p><p>échantillonnage. Cependant, un candidat CISA doit avoir une compréhension</p><p>fondamentale des principes généraux de l'échantillonnage et comment concevoir un</p><p>échantillon fiable. Un candidat CISA doit également être familier avec les différents</p><p>types de termes et techniques d'échantillonnage et quand il est approprié d'utiliser</p><p>chaque technique.</p><p>1.8 TECHNIQUES DE COLLECTE DES PREUVES D'AUDIT</p><p>Les éléments probants sont des informations utilisées par un auditeur du SI pour</p><p>déterminer si l'entité ou les données auditées respectent les critères ou objectifs établis</p><p>et étayent les conclusions de l'audit. Il est impératif que les conclusions soient fondées</p><p>Manuel d’examen 27 e édition</p><p>100 | P a g e</p><p>By BlackHavok</p><p>sur des preuves suffisantes, pertinentes et compétentes. Lors de la planification de l'audit</p><p>du SI, le type d'éléments probants à recueillir, son utilisation comme éléments probants</p><p>pour atteindre les objectifs de l'audit et ses différents niveaux de fiabilité doivent être</p><p>pris en considération.</p><p>Les éléments probants peuvent inclure:</p><p>• Observations d'un auditeur SI (présentées à la direction)</p><p>• Notes tirées des entretiens</p><p>• Résultats de confirmations indépendantes obtenues par un auditeur SI de différentes</p><p>parties prenantes</p><p>• Matériel extrait de la correspondance et de la documentation interne ou des contrats</p><p>avec des partenaires externes</p><p>• Les résultats des procédures de test d'audit</p><p>Alors que tous les éléments probants aideront un auditeur du SI à formuler des</p><p>conclusions d'audit, certains types d'éléments de preuve sont plus fiables que</p><p>d'autres. Les règles de preuve et de suffisance ainsi que la compétence des preuves</p><p>doivent être considérées comme exigées par les normes d'audit.</p><p>Les déterminants pour évaluer la fiabilité des éléments probants comprennent:</p><p>• Indépendance du fournisseur des preuves - Les preuves obtenues de sources</p><p>externes sont plus fiables que de l'intérieur de l'organisation. C'est pourquoi des lettres</p><p>de confirmation sont utilisées pour vérifier les soldes des comptes débiteurs. De plus,</p><p>les contrats ou accords signés avec des parties externes peuvent être considérés</p><p>comme fiables si les documents originaux sont mis à disposition pour examen.</p><p>• Qualifications de la personne fournissant les informations / preuves - Que les</p><p>fournisseurs des informations / preuves soient à l'intérieur ou à l'extérieur de</p><p>l'organisation, un auditeur SI doit toujours considérer les qualifications et les</p><p>responsabilités fonctionnelles des personnes fournissant les informations. Cela peut</p><p>également être vrai pour un auditeur SI. Si un auditeur SI n'a pas une bonne</p><p>compréhension du domaine technique examiné, les informations recueillies lors des</p><p>tests de ce domaine peuvent ne pas être fiables, en particulier si l'auditeur SI ne</p><p>comprend pas pleinement le test.</p><p>Source: ISACA, Fundamentals of IS Audit and Assurance Training Course , USA, 2014</p><p>• Objectivité des preuves - Les preuves objectives sont plus fiables que les preuves</p><p>qui nécessitent un jugement ou une interprétation considérable. L'examen par un</p><p>auditeur du SI de l'inventaire des médias est une preuve directe et objective. L'analyse</p><p>par un auditeur SI de l'efficacité d'une application, basée sur des discussions avec</p><p>certains membres du personnel, peut ne pas être une preuve d'audit objective.</p><p>Manuel d’examen 27 e édition</p><p>101 | P a g e</p><p>By BlackHavok</p><p>• Calendrier des éléments probants - Un auditeur du SI doit tenir compte du temps</p><p>pendant lequel des informations existent ou sont disponibles pour déterminer la</p><p>nature, le calendrier et l'étendue des tests de conformité et, le cas échéant, des tests</p><p>de corroboration. Pour</p><p>Par exemple, les éléments probants traités par des systèmes dynamiques, tels que des</p><p>feuilles de calcul, peuvent ne pas être récupérables après une période spécifiée si les</p><p>modifications apportées aux fichiers ne sont pas contrôlées ou si les fichiers ne sont</p><p>pas sauvegardés.</p><p>Un auditeur SI rassemble diverses preuves lors de l'audit. Certaines preuves peuvent</p><p>être pertinentes pour les objectifs de l'audit, tandis que d'autres peuvent être considérées</p><p>comme périphériques. Un auditeur SI doit se concentrer sur les objectifs globaux de</p><p>l'examen et non sur la nature des éléments de preuve recueillis.</p><p>La qualité et la quantité des preuves doivent être évaluées. Ces deux</p><p>les caractéristiques sont désignées par la Fédération internationale des comptables</p><p>(IFAC) comme compétentes (qualité) et suffisantes (quantité). Les preuves sont</p><p>compétentes lorsqu'elles sont à la fois valides et pertinentes. Le jugement d'audit est</p><p>utilisé pour déterminer quand la suffisance est atteinte de la même manière que pour</p><p>déterminer la compétence des éléments de preuve.</p><p>Une compréhension des règles de preuve est importante pour les auditeurs SI car ils</p><p>peuvent rencontrer une variété de types de preuves.</p><p>Remarque: Un candidat CISA, compte tenu d'un scénario d'audit, devrait être en</p><p>mesure de déterminer quel type de technique de collecte de preuves serait le mieux</p><p>dans une situation donnée.</p><p>Voici les techniques de collecte de preuves:</p><p>• Examen des structures organisationnelles du SI -</p><p>Une structure organisationnelle qui assure une séparation ou une séparation des</p><p>tâches adéquate est un contrôle général clé dans un environnement SI. Un auditeur</p><p>SI doit comprendre les contrôles organisationnels généraux et être capable d'évaluer</p><p>ces contrôles dans l'organisation auditée. Là où l'accent est fortement mis sur le</p><p>traitement distribué coopératif ou sur l'informatique de l'utilisateur final, les fonctions</p><p>informatiques peuvent être organisées quelque peu différemment de l'organisation SI</p><p>classique, qui se compose de systèmes et de fonctions d'exploitation distincts. Un audit</p><p>et une assurance SI devraient être en mesure d'examiner ces structures</p><p>organisationnelles et d'évaluer le niveau de contrôle qu'elles fournissent.</p><p>• Examen des politiques et procédures du SI - Un auditeur du SI doit vérifier si les</p><p>politiques et procédures appropriées sont en place, déterminer si le personnel</p><p>comprend les politiques et procédures mises en œuvre et s'assurer que les politiques</p><p>et procédures sont suivies. Un auditeur SI doit vérifier que la direction assume l'entière</p><p>responsabilité de la formulation, de l'élaboration, de la documentation, de la</p><p>promulgation et du contrôle des politiques couvrant les objectifs généraux et les</p><p>directives. Des examens périodiques des politiques et des procédures pour leur</p><p>pertinence devraient être effectués.</p><p>Manuel d’examen 27 e édition</p><p>102 | P a g e</p><p>By BlackHavok</p><p>• Examen des normes SI - Un auditeur SI doit d'abord comprendre les normes</p><p>existantes en place au sein de l'organisation.</p><p>• Examen de la documentation du SI - Une première étape de l'examen de la</p><p>documentation d'un système d'information consiste à comprendre la documentation</p><p>existante en place au sein de l'organisation. Cette documentation peut être une copie</p><p>papier ou stockée électroniquement. Si tel est le cas, les contrôles visant à préserver</p><p>l'intégrité du document doivent être évalués par un auditeur SI. Un auditeur SI doit</p><p>rechercher un niveau minimum de documentation SI.</p><p>La documentation peut comprendre:</p><p>- Documents d'initiation au développement de systèmes (par exemple, étude de</p><p>faisabilité)</p><p>- Documentation fournie par des fournisseurs d'applications externes</p><p>- SLA avec des prestataires informatiques externes</p><p>- Exigences fonctionnelles et spécifications de conception</p><p>- Plans et rapports d'essais</p><p>- Documents de programme et d'opérations</p><p>- Journaux et historiques des changements de programme</p><p>- Manuels d'utilisation</p><p>- Manuels d'exploitation</p><p>- Documents liés à la sécurité (par exemple, plans de sécurité, évaluations des</p><p>risques)</p><p>- BCP</p><p>- Rapports d'assurance qualité</p><p>- Rapports sur les mesures de sécurité</p><p>• Interviewer le personnel approprié - Les techniques d'interview sont une</p><p>compétence importante pour un auditeur SI. Les entretiens doivent être organisés à</p><p>l'avance avec des objectifs clairement communiqués, suivre un plan fixe et être</p><p>documentés par des notes d'entretien. Un formulaire d'entrevue ou une liste de</p><p>contrôle préparée par un auditeur SI est une bonne approche. N'oubliez pas que le but</p><p>d'une telle entrevue est de recueillir des éléments probants à l'aide de techniques telles</p><p>que l'enquête,</p><p>l'observation, l'inspection, la confirmation, la performance et la</p><p>surveillance. Les entretiens avec le personnel sont de nature découverte et ne</p><p>devraient jamais être accusateurs; l'intervieweur devrait aider les gens à se sentir à</p><p>l'aise, en les encourageant à partager des informations, des idées, des préoccupations</p><p>et des connaissances. Un auditeur SI doit vérifier l'exactitude des notes avec la</p><p>personne interrogée.</p><p>• Observation des processus et du rendement des employés - L'observation des</p><p>processus est une technique d'audit clé pour de nombreux types d'examen. Un</p><p>auditeur SI doit être discret lorsqu'il fait des observations et documenter tout de</p><p>manière suffisamment détaillée pour pouvoir le présenter, le cas échéant, comme</p><p>preuve d'audit. Dans certaines situations, la publication du rapport d'audit peut ne pas</p><p>être suffisamment opportune pour utiliser cette observation comme preuve. Cela peut</p><p>nécessiter la remise d'un rapport intermédiaire à la direction de la zone auditée. Un</p><p>auditeur SI peut également souhaiter déterminer si des preuves documentaires</p><p>seraient utiles comme preuves (par exemple, photographie d'une salle de serveurs</p><p>avec les portes complètement ouvertes).</p><p>• réexécution -Le processus de réexécution est une technique clé d'audit qui fournit</p><p>généralement une meilleure preuve que les autres techniques et est donc utilisé</p><p>Manuel d’examen 27 e édition</p><p>103 | P a g e</p><p>By BlackHavok</p><p>lorsqu'une combinaison d'enquête, l' observation et l' examen des preuves ne fournit</p><p>pas une assurance suffisante qu'un contrôle fonctionne efficacement.</p><p>• Procédures pas à pas - La procédure pas à pas est une technique d'audit pour</p><p>confirmer la compréhension des contrôles.</p><p>Bien que ces techniques de collecte de preuves fassent partie d'un audit, un audit n'est</p><p>pas considéré uniquement comme un travail d'examen. Il comprend l'examen, qui</p><p>intègre les tests des contrôles et les éléments probants et, par conséquent, inclut les</p><p>résultats des tests d'audit.</p><p>Un auditeur SI doit reconnaître qu'avec les techniques de développement de systèmes</p><p>telles que l'ingénierie logicielle assistée par ordinateur (CASE) ou le prototypage, la</p><p>documentation des systèmes traditionnels ne sera pas requise ou sera fournie sous forme</p><p>automatisée. Cependant, un auditeur SI doit rechercher les normes et pratiques de</p><p>documentation au sein de l'organisation SI.</p><p>Un auditeur SI doit être en mesure d'examiner la documentation d'un système donné et</p><p>de déterminer s'il respecte les normes de documentation de l'organisation. De plus, un</p><p>auditeur SI doit comprendre les approches actuelles de développement de systèmes tels</p><p>que l'orientation d'objet, les outils CASE ou le prototypage, et comment la documentation</p><p>est construite. Un auditeur SI doit reconnaître d'autres composants de la documentation</p><p>SI tels que les spécifications de la base de données, la disposition des fichiers ou les</p><p>listes de programmes auto-documentés.</p><p>1.8.1 ENTRETIEN ET OBSERVATION DU PERSONNEL DANS L'EXÉCUTION DE</p><p>LEURS FONCTIONS</p><p>L'observation du personnel dans l'exercice de ses fonctions aide un auditeur SI à</p><p>identifier:</p><p>• Fonctions réelles - L' observation pourrait être un test adéquat pour s'assurer que la</p><p>personne qui est affectée et autorisée à exécuter une fonction particulière est la</p><p>personne qui fait réellement le travail. Il permet à un auditeur SI de voir comment les</p><p>politiques et procédures sont comprises et mises en pratique. Selon la situation</p><p>spécifique, les résultats de ce type de test doivent être comparés avec les droits</p><p>d'accès logiques respectifs.</p><p>• Processus / procédures réels - L' exécution d'une procédure pas à pas du</p><p>processus / de la procédure permet à un auditeur SI d'obtenir des preuves de</p><p>conformité et d'observer les écarts, le cas échéant. Ce type d'observation pourrait</p><p>s'avérer utile pour les contrôles physiques.</p><p>• Sensibilisation à la sécurité - La sensibilisation à la sécurité doit être observée</p><p>pour vérifier la compréhension et la pratique d'un individu des bonnes mesures de</p><p>sécurité préventives et détective pour protéger les actifs et les données de</p><p>l'entreprise. Ce type d'informations pourrait être étayé par un examen des formations</p><p>à la sécurité antérieures et prévues.</p><p>• Rapports hiérarchiques - Les rapports doivent être respectés pour garantir que les</p><p>responsabilités attribuées et les principes de fonctionnement appropriés sont</p><p>respectés. Souvent, les résultats de ce type de test doivent être comparés avec les</p><p>droits d'accès logiques respectifs.</p><p>• Inconvénients de l' observation - L'observateur peut interférer avec l'environnement</p><p>observé. Le personnel, en constatant qu'il est observé, peut changer son</p><p>Manuel d’examen 27 e édition</p><p>104 | P a g e</p><p>By BlackHavok</p><p>comportement habituel. Les entretiens avec le personnel et la direction du traitement</p><p>de l'information devraient fournir une assurance suffisante que le personnel possède</p><p>les compétences techniques requises pour effectuer le travail. Il s'agit d'un facteur</p><p>important qui contribue à une opération efficace et efficiente.</p><p>1.9 ANALYTIQUE DES DONNÉES</p><p>L'analyse des données est un outil important pour un auditeur SI. Grâce à l'utilisation de</p><p>la technologie, un auditeur SI peut sélectionner et analyser des ensembles de données</p><p>complets pour auditer ou surveiller en continu les données organisationnelles clés afin</p><p>de détecter des anomalies ou des écarts qui peuvent être utilisés pour identifier et</p><p>évaluer les risques organisationnels et la conformité aux exigences de contrôle et</p><p>réglementaires. Un auditeur SI peut utiliser l'analyse de données aux fins suivantes:</p><p>• Détermination de l'efficacité opérationnelle de l'environnement de contrôle actuel</p><p>• Détermination de l'efficacité des procédures et contrôles antifraude</p><p>• Identification des erreurs de processus métier</p><p>• Identification des améliorations et inefficacités des processus d’affaires dans</p><p>l’environnement de contrôle</p><p>• Identification des exceptions ou des règles commerciales inhabituelles</p><p>• Identification des fraudes</p><p>• Identification des zones où la qualité des données est médiocre</p><p>• Réalisation de l'évaluation des risques lors de la phase de planification d'un audit</p><p>Le processus utilisé pour collecter et analyser les données comprend les éléments</p><p>suivants:</p><p>• Définition de la portée (par exemple, détermination des objectifs d'audit / d'examen;</p><p>définition des besoins, des sources et de la fiabilité des données)</p><p>• Identifier et obtenir les données (par exemple, demander des données à des sources</p><p>responsables, tester un échantillon de données, extraire les données pour les</p><p>utiliser)</p><p>• Valider les données (par exemple, déterminer si les données sont suffisantes et fiables</p><p>pour effectuer des tests d'audit) en:</p><p>- Validation des soldes indépendants de l'ensemble de données extrait</p><p>- Réconciliation des données détaillées pour rapporter les totaux de contrôle</p><p>- Validation des champs numériques, caractères et date</p><p>- Vérification de la période de temps de l'ensemble de données (c'est-à-dire, répond à</p><p>la portée et au but)</p><p>- Vérifier que tous les champs nécessaires de la portée sont réellement inclus dans</p><p>l'ensemble de données acquis</p><p>• Exécution des tests (par exemple, exécution de scripts et exécution d'autres tests</p><p>analytiques)</p><p>• Documenter les résultats (par exemple, enregistrer l'objectif du test, les sources de</p><p>données et les conclusions tirées)</p><p>• Examiner les résultats (par exemple, s'assurer que les procédures de test ont été</p><p>correctement exécutées et examinées par une personne qualifiée)</p><p>• Conserver les résultats (par exemple, maintenir des éléments de test importants), tels</p><p>que:</p><p>- Fichiers programme</p><p>Manuel d’examen 27 e édition</p><p>105 | P a g e</p><p>By BlackHavok</p><p>- Scripts</p><p>- Macros</p><p>/ tests de commandes automatisés</p><p>- Fichiers de données</p><p>L'analyse des données peut être efficace pour un auditeur SI à la fois dans les phases de</p><p>planification et de travail sur le terrain de l'audit. L'analyse de données peut être utilisée</p><p>pour accomplir les tâches suivantes:</p><p>• Combinaison des fichiers d'accès logique avec les fichiers maîtres des employés des</p><p>ressources humaines pour les utilisateurs autorisés</p><p>• Combinaison des paramètres de la bibliothèque de fichiers avec les données des</p><p>systèmes de gestion des modifications et les dates des modifications de fichiers qui</p><p>peuvent être mises en correspondance avec les dates des événements autorisés</p><p>• Correspondance entre les entrées et les enregistrements de sortie pour identifier le</p><p>talonnage dans les journaux de sécurité physique</p><p>• Examen des paramètres de configuration de la table ou du système</p><p>• Examen des journaux système pour un accès non autorisé ou des activités</p><p>inhabituelles</p><p>• Test de conversion du système</p><p>• Tester l'accès logique SoD (par exemple, analyser les données Active Directory</p><p>combinées avec les descriptions de travail)</p><p>1.9.1 TECHNIQUES D'AUDIT ASSISTÉES PAR ORDINATEUR</p><p>Les CAAT sont des outils importants qu'un auditeur SI utilise pour collecter et analyser</p><p>des données lors d'un audit ou d'un examen SI. Lorsque les systèmes ont des</p><p>environnements matériels et logiciels, des structures de données, des formats</p><p>d'enregistrement ou des fonctions de traitement différents, il est presque impossible pour</p><p>un auditeur SI de collecter certaines preuves sans utiliser un tel outil logiciel.</p><p>Les CAAT permettent également à un auditeur SI de collecter des informations de</p><p>manière indépendante. Ils fournissent un moyen d'accéder et d'analyser les données</p><p>pour un objectif d'audit prédéterminé et de rendre compte des résultats de l'audit en</p><p>mettant l'accent sur la fiabilité des enregistrements produits et conservés dans le</p><p>système. La fiabilité de la source des informations utilisées rassure sur les résultats</p><p>générés.</p><p>Les CAAT comprennent de nombreux types d'outils et de techniques tels que les logiciels</p><p>d'audit généralisés (GAS), les logiciels utilitaires, les logiciels de débogage et d'analyse,</p><p>les données de test, le traçage et la cartographie des logiciels d'application et les</p><p>systèmes experts.</p><p>GAS fait référence à un logiciel standard qui a la capacité de lire directement et d'accéder</p><p>aux données de diverses plates-formes de bases de données, systèmes de fichiers plats</p><p>et formats ASCII. GAS fournit à un auditeur SI un moyen indépendant d'accéder aux</p><p>données pour l'analyse et la possibilité d'utiliser un logiciel de résolution de problèmes</p><p>de haut niveau pour appeler des fonctions à exécuter sur des fichiers de données. Les</p><p>fonctionnalités comprennent les calculs mathématiques, la stratification, l'analyse</p><p>statistique, la vérification des séquences, la vérification des doublons et les recalculs. Les</p><p>fonctions suivantes sont généralement prises en charge par GAS:</p><p>Manuel d’examen 27 e édition</p><p>106 | P a g e</p><p>By BlackHavok</p><p>• Accès aux fichiers: permet la lecture de différents formats d'enregistrement et</p><p>structures de fichiers</p><p>• Réorganisation des fichiers: permet l' indexation, le tri, la fusion et la liaison avec</p><p>un autre fichier</p><p>• Sélection des données: permet des conditions de filtration et des critères de</p><p>sélection globaux</p><p>• Fonctions statistiques - Permet l'échantillonnage, la stratification et l'analyse de</p><p>fréquence</p><p>• Fonction arithmétique s: active les opérateurs et fonctions arithmétiques</p><p>Les logiciels utilitaires sont un sous-ensemble de logiciels, tels que les générateurs de</p><p>rapports du système de gestion de base de données, qui fournissent des preuves de</p><p>l'efficacité du contrôle du système. Les données de test impliquent un auditeur SI</p><p>utilisant un échantillon de données pour évaluer si des erreurs logiques existent dans un</p><p>programme et si le programme atteint ses objectifs. L'examen d'un système</p><p>d' application fournira des informations sur les contrôles internes intégrés au système. Le</p><p>système d'audit-expert fournira des orientations et des informations précieuses à tous</p><p>les niveaux d'auditeurs tout en effectuant l'audit car le système basé sur les requêtes est</p><p>construit sur la base de connaissances des auditeurs ou des managers seniors.</p><p>Ces outils et techniques peuvent être utilisés pour effectuer diverses procédures d'audit</p><p>telles que:</p><p>• Tests des détails des transactions et des soldes</p><p>• Procédures d'examen analytique</p><p>• Tests de conformité des contrôles généraux du SI</p><p>• Tests de conformité des contrôles des applications SI</p><p>• Évaluations de la vulnérabilité du réseau et du système d'exploitation</p><p>• Test de pénétration</p><p>• Tests de sécurité des applications et analyses de sécurité du code source</p><p>Un auditeur SI doit avoir une connaissance approfondie des CAAT et savoir où et quand</p><p>les appliquer. Par exemple, un auditeur SI doit examiner les résultats des procédures de</p><p>mission pour déterminer s'il y a des indications que des irrégularités ou des actes illégaux</p><p>se sont produits. L'utilisation des CAAT pourrait contribuer de manière significative à la</p><p>détection efficace et efficiente des irrégularités ou des actes illégaux.</p><p>Un auditeur SI doit peser les coûts et les avantages de l'utilisation des CAAT avant de</p><p>passer par l'effort, le temps et les dépenses nécessaires pour les acheter ou les</p><p>développer.</p><p>Les questions à considérer comprennent:</p><p>• Facilité d'utilisation pour le personnel d'audit actuel et futur</p><p>• Exigences de formation</p><p>• Complexité du codage et de la maintenance</p><p>• Flexibilité d'utilisation</p><p>• Exigences d'installation</p><p>• Efficacité de traitement</p><p>• Effort requis pour introduire les données sources dans les CAAT pour analyse</p><p>• Assurer l'intégrité des données importées en préservant leur authenticité</p><p>Manuel d’examen 27 e édition</p><p>107 | P a g e</p><p>By BlackHavok</p><p>• Enregistrement de l'horodatage des données téléchargées aux points critiques de</p><p>traitement pour maintenir la crédibilité de l'examen</p><p>• Obtention de l'autorisation d'installer le logiciel sur les serveurs audités</p><p>• Fiabilité du logiciel</p><p>• Confidentialité des données traitées</p><p>Lors de l'élaboration des CAAT, les exemples suivants sont des documents à conserver:</p><p>• Rapports en ligne détaillant les problèmes à haut risque pour examen</p><p>• Listes de programmes commentées</p><p>• Organigrammes</p><p>• Exemples de rapports</p><p>• Disposition des enregistrements et des fichiers</p><p>• Définitions des champs</p><p>• Mode d'emploi</p><p>• Description des documents sources applicables</p><p>La documentation des CAAT doit être référencée au programme d'audit et identifier</p><p>clairement les procédures d'audit et les objectifs visés. Lors de la demande d'accès aux</p><p>données de production à utiliser avec les CAAT, un auditeur SI doit demander un accès</p><p>en lecture seule. Toute manipulation de données par un auditeur SI doit être appliquée</p><p>à des copies des fichiers de production dans un environnement contrôlé pour garantir</p><p>que les données de production ne sont pas exposées à une mise à jour non autorisée. La</p><p>plupart des CAAT permettent de télécharger les données de production des systèmes de</p><p>production vers une plate-forme autonome, puis de les analyser à partir de la plate-</p><p>forme autonome, isolant ainsi les systèmes de production de tout impact négatif.</p><p>Les CAAT comme approche d'audit en ligne continue</p><p>Un avantage important des CAAT est la capacité d'améliorer l'efficacité de l'audit grâce à</p><p>des techniques d'audit en ligne en continu. À cette fin, un auditeur SI doit développer</p><p>des techniques d'audit adaptées à une utilisation avec des systèmes d'information</p><p>avancés. En outre, ils doivent être impliqués dans la création de systèmes</p><p>avancés aux</p><p>premiers stades de développement et de mise en œuvre et</p><p>doivent utiliser davantage les outils automatisés qui conviennent à l'environnement</p><p>automatisé de leur organisation. Cela prend la forme d'une approche d'audit continu.</p><p>1.9.2 VÉRIFICATION ET SURVEILLANCE CONTINUES</p><p>L'audit continu est une approche utilisée par les auditeurs SI pour surveiller la fiabilité</p><p>du système sur une base continue et recueillir des preuves d'audit sélectives via</p><p>l'ordinateur. Une caractéristique distinctive de l'audit continu est le court laps de temps</p><p>entre les faits à auditer, la collecte de preuves et les rapports d'audit. Pour bien</p><p>comprendre les implications et les exigences de l'audit continu, une distinction est faite</p><p>entre l'audit continu et la surveillance continue:</p><p>• Audit continu: permet à un auditeur SI d'effectuer des tests et des évaluations dans</p><p>un environnement en temps réel ou quasi réel. L'audit continu est conçu pour</p><p>permettre à un auditeur SI de rendre compte des résultats sur le sujet audité dans un</p><p>délai beaucoup plus court que dans le cadre d'une approche d'audit traditionnelle.</p><p>• Surveillance continue - Utilisé par une organisation pour observer les performances</p><p>d'un ou plusieurs processus, systèmes ou types de données. Par exemple, les antivirus</p><p>ou IDS en temps réel peuvent fonctionner de manière continue.</p><p>Manuel d’examen 27 e édition</p><p>108 | P a g e</p><p>By BlackHavok</p><p>L'audit continu doit être indépendant des activités de contrôle ou de surveillance</p><p>continue. Lorsque la surveillance continue et l'audit ont lieu, une assurance continue peut</p><p>être établie. Dans la pratique, l'audit continu est le précurseur de l'adoption par la</p><p>direction d'un suivi continu en tant que processus au quotidien. Souvent, la fonction</p><p>d'audit transmettra les techniques utilisées dans l'audit continu à l'entreprise, qui</p><p>effectuera ensuite le suivi continu. Cette collaboration a conduit à une appréciation</p><p>accrue des propriétaires de processus de la valeur que la fonction d'audit apporte à</p><p>l'organisation, conduisant à une plus grande confiance entre l'entreprise et la fonction</p><p>d'audit. Néanmoins, le manque d'indépendance et d'objectivité inhérent à la surveillance</p><p>continue ne doit pas être ignoré, et la surveillance continue ne doit jamais être considérée</p><p>comme un substitut à la fonction d'audit.</p><p>Les efforts d'audit continus intègrent souvent de nouveaux développements</p><p>informatiques; capacités de traitement accrues du matériel, des logiciels, des normes et</p><p>des outils d'IA actuels; et tente de collecter et d'analyser des données au moment de la</p><p>transaction. Les données doivent être collectées à partir de différentes applications</p><p>travaillant dans des environnements différents, les transactions doivent être filtrées,</p><p>l'environnement de transaction doit être analysé pour détecter les tendances et les</p><p>exceptions, et les modèles atypiques (c'est-à-dire une transaction avec une valeur</p><p>significativement plus élevée ou plus basse que celle typique d'une entreprise donnée)</p><p>partenaire) doit être exposée. Si tout cela doit se produire en temps réel, peut-être</p><p>même avant la signature définitive d'une transaction, il est obligatoire d'adopter et de</p><p>combiner diverses techniques informatiques de haut niveau. L'environnement</p><p>informatique est un catalyseur naturel pour l'application de l'audit continu en raison de</p><p>la nature intrinsèque automatisée de ses processus sous-jacents.</p><p>L'audit continu vise à fournir une plate-forme plus sécurisée pour éviter la fraude et un</p><p>processus en temps réel visant à assurer un haut niveau de contrôle financier. Des outils</p><p>d'audit et de surveillance continus sont souvent intégrés à de nombreux packages de</p><p>planification des ressources d'entreprise et à la plupart des packages de sécurité du</p><p>système d'exploitation et du réseau. Ces environnements, s'ils sont correctement</p><p>configurés et remplis de règles, de paramètres et de formules, peuvent générer des listes</p><p>d'exceptions sur demande tout en fonctionnant avec des données réelles. Par</p><p>conséquent, ils représentent un exemple d'audit continu. La difficulté, mais une valeur</p><p>ajoutée importante, de l'utilisation de ces fonctionnalités est qu'elles postulent une</p><p>définition de ce qui</p><p>Condition «dangereuse» ou d'exception. Par exemple, si un ensemble d'autorisations</p><p>d'accès au SI accordées doit être considéré comme sans risque, cela dépendra d'un SoD</p><p>bien défini. D'un autre côté, il peut être beaucoup plus difficile de décider si une séquence</p><p>donnée de mesures prises pour modifier et maintenir un enregistrement de base de</p><p>données indique un risque potentiel.</p><p>Il est important de valider la source des données utilisées pour l'audit continu et de noter</p><p>la possibilité de modifications manuelles.</p><p>1.9.3 TECHNIQUES D'AUDIT CONTINU</p><p>Les techniques d'audit continu sont des outils d'audit SI importants, en particulier</p><p>lorsqu'elles sont utilisées dans des environnements de temps partagé qui traitent un</p><p>grand nombre de transactions mais laissent une trace papier rare. En permettant à un</p><p>Manuel d’examen 27 e édition</p><p>109 | P a g e</p><p>By BlackHavok</p><p>auditeur SI d'évaluer les contrôles de fonctionnement sur une base continue sans</p><p>perturber les opérations habituelles de l'organisation, les techniques d'audit continu</p><p>améliorent la sécurité d'un système. Lorsqu'un système est utilisé à mauvais escient par</p><p>une personne retirant de l'argent d'un compte inopérant, une technique d'audit continu</p><p>signalera ce retrait en temps opportun à un auditeur du SI. Ainsi, le décalage temporel</p><p>entre une mauvaise utilisation du système et la détection de cette mauvaise utilisation</p><p>est réduit. La prise de conscience que les défaillances, les manipulations incorrectes et</p><p>le manque de contrôles seront détectés en temps opportun par l'utilisation de procédures</p><p>d'audit en continu donne à l'auditeur et à la direction du SI une plus grande confiance</p><p>dans la fiabilité d'un système.</p><p>Il existe cinq types de techniques d'évaluation automatisées applicables à l'audit continu:</p><p>1. Fichier de révision d'audit de contrôle des systèmes et modules d'audit</p><p>intégrés (SCARF / EAM) - L'utilisation de cette technique implique l'intégration de</p><p>logiciels d'audit spécialement écrits dans le système d'application hôte de</p><p>l'organisation afin que les systèmes d'application soient surveillés de manière</p><p>sélective.</p><p>2. Instantanés - Cette technique consiste à prendre ce que l'on pourrait appeler des</p><p>«images» du chemin de traitement suivi par une transaction, de l'entrée à l'étage de</p><p>sortie. Avec l' utilisation de cette technique, les transactions sont étiquetées en</p><p>appliquant des identifiants aux données d'entrée et en enregistrant des informations</p><p>sélectionnées sur ce qui se passe pour un examen ultérieur par un auditeur SI.</p><p>3. Crochets d'audit - Cette technique consiste à intégrer des crochets dans les</p><p>systèmes d'application pour fonctionner comme des signaux d'alarme et inciter la</p><p>sécurité des SI et les auditeurs à agir avant qu'une erreur ou une irrégularité ne</p><p>devienne incontrôlable.</p><p>4. Installation de test intégrée (ITF) - Dans cette technique, des entités factices sont</p><p>configurées et incluses dans les fichiers de production d'un audité. Un auditeur SI</p><p>peut faire en sorte que le système traite des transactions en direct ou teste des</p><p>transactions pendant les cycles de traitement réguliers et que ces transactions</p><p>mettent à jour les enregistrements de l'entité fictive. L'opérateur saisit les</p><p>transactions de test simultanément avec les transactions en direct qui sont saisies</p><p>pour le traitement. Un auditeur compare ensuite la sortie avec les données qui ont</p><p>été calculées indépendamment pour vérifier l'exactitude des données traitées par</p><p>ordinateur.</p><p>5. Simulation continue et intermittente (CIS) - Pendant le déroulement d'une</p><p>transaction, le système informatique simule l'exécution des instructions de</p><p>l'application. Au fur et à mesure que</p><p>chaque transaction est entrée, le simulateur</p><p>décide si la transaction répond à certains critères prédéterminés et, dans l'affirmative,</p><p>audite la transaction. Sinon, le simulateur attend jusqu'à ce qu'il rencontre la</p><p>prochaine transaction qui répond aux critères.</p><p>Dans la figure 1.13 , les avantages et les inconvénients des différents outils de</p><p>vérification continus sont présentés.</p><p>Manuel d’examen 27 e édition</p><p>110 | P a g e</p><p>By BlackHavok</p><p>L'utilisation de chacune des techniques d'audit continu présente des avantages et des</p><p>inconvénients. Leur sélection et leur mise en œuvre dépendent, dans une large mesure,</p><p>de la complexité des systèmes et applications informatiques d'une organisation et de la</p><p>capacité d'un auditeur SI à comprendre et évaluer le système avec et sans l'utilisation</p><p>de techniques d'audit continu. De plus, un auditeur SI doit reconnaître que les techniques</p><p>d'audit continu ne sont pas un remède à tous les problèmes de contrôle et que l'utilisation</p><p>de ces techniques ne donne qu'une assurance limitée que les systèmes de traitement de</p><p>l'information examinés fonctionnent comme ils étaient censés fonctionner.</p><p>Les techniques utilisées pour fonctionner dans un environnement d'audit continu doivent</p><p>fonctionner à tous les niveaux de données (entrée unique, transaction et bases de</p><p>données) et comprennent:</p><p>• Journalisation des transactions</p><p>• Outils de requête</p><p>• Statistiques et analyse des données</p><p>• SGBD</p><p>• Entrepôts de données, data marts, data mining</p><p>• Agents intelligents</p><p>• EAM</p><p>• Technologie de réseau neuronal</p><p>• Normes telles que Extensible Business Reporting Language (XBRL)</p><p>Des agents logiciels intelligents peuvent être utilisés pour automatiser les processus</p><p>d'évaluation et permettre une flexibilité et des capacités d'analyse dynamique. La</p><p>configuration et l'application d'agents intelligents (parfois appelés bots) permettent une</p><p>surveillance continue des paramètres des systèmes et l'envoi de messages d'alerte</p><p>lorsque certains seuils sont dépassés ou certaines conditions remplies.</p><p>Les processus d'audit continu complets doivent être soigneusement intégrés dans les</p><p>applications et fonctionner en couches. Les outils d'audit doivent fonctionner en parallèle</p><p>avec le traitement normal: capturer des données en temps réel, extraire des profils ou</p><p>descripteurs normalisés et transmettre le résultat aux couches d'audit.</p><p>L'audit continu a un avantage intrinsèque sur l'audit ponctuel ou périodique car il capture</p><p>les problèmes de contrôle interne au fur et à mesure qu'ils se produisent, empêchant les</p><p>effets négatifs. La mise en œuvre peut également réduire les inefficacités d'audit</p><p>potentielles ou intrinsèques telles que les retards, le temps de planification, les</p><p>inefficacités du processus d'audit, les frais généraux dus à la segmentation du travail, les</p><p>multiples examens de qualité ou de supervision, ou les discussions concernant la validité</p><p>des constatations.</p><p>Manuel d’examen 27 e édition</p><p>111 | P a g e</p><p>By BlackHavok</p><p>Une prise en charge complète de la haute direction, un dévouement et une vaste</p><p>expérience et des connaissances techniques sont tous nécessaires pour effectuer un audit</p><p>continu, tout en minimisant l'impact sur les processus métier audités sous-jacents. Les</p><p>couches et les paramètres d'audit peuvent également nécessiter un ajustement et une</p><p>mise à jour continus.</p><p>Outre la difficulté et le coût, l'audit continu présente un inconvénient inhérent en ce que</p><p>les experts en contrôle interne et les auditeurs peuvent être réticents à faire confiance à</p><p>un outil automatisé au lieu de leur jugement et de leur évaluation personnels. En outre,</p><p>des mécanismes doivent être mis en place pour éliminer les faux négatifs et les faux</p><p>positifs dans les rapports générés par ces audits afin que le rapport généré continue</p><p>d'inspirer la confiance des parties prenantes dans son exactitude.</p><p>1.10 TECHNIQUES DE DÉCLARATION ET DE COMMUNICATION</p><p>Une communication efficace et claire peut améliorer considérablement la qualité des</p><p>audits et maximiser leurs résultats. Les résultats de l'audit doivent être rapportés et</p><p>communiqués aux parties prenantes, avec l'adhésion appropriée des entités auditées,</p><p>pour que le processus d'audit réussisse. Un auditeur SI doit également tenir compte des</p><p>motivations et des perspectives des destinataires du rapport d'audit afin que leurs</p><p>préoccupations puissent être correctement prises en compte. Les compétences en</p><p>communication (écrite et verbale) déterminent l'efficacité du processus de rapport</p><p>d'audit. Des compétences en communication et en négociation sont requises tout au long</p><p>de l'audit. La résolution réussie des constatations d'audit avec les entités auditées est</p><p>essentielle pour que les entités auditées adoptent les recommandations du rapport et</p><p>prennent rapidement des mesures correctives. Pour atteindre cet objectif, un auditeur SI</p><p>doit être compétent dans l'utilisation de techniques telles que la facilitation, la</p><p>négociation et la résolution de conflits. Un auditeur SI doit également comprendre le</p><p>concept de matérialité (c'est-à-dire l'importance relative des constatations d'audit basées</p><p>sur l'impact commercial) lorsqu'il rend compte des résultats d'audit.</p><p>1.10.1 COMMUNICATION DES RÉSULTATS D'AUDIT</p><p>L'entretien de sortie, mené à la fin de l'audit, permet à un auditeur SI de discuter des</p><p>constatations et recommandations avec la direction de l'audité. Pendant l'entretien de</p><p>sortie, un auditeur SI doit: • S'assurer que les faits présentés dans le rapport sont</p><p>corrects et significatifs.</p><p>• Veiller à ce que les recommandations soient réalistes et d'un bon rapport coût-efficacité</p><p>et, dans le cas contraire, rechercher des alternatives par la négociation avec la</p><p>direction de l'audité.</p><p>• Recommander des dates de mise en œuvre pour les recommandations convenues.</p><p>Les auditeurs des SI doivent être conscients qu'en fin de compte, ils sont responsables</p><p>devant la haute direction et le comité d'audit et ils doivent se sentir libres de</p><p>communiquer des problèmes ou des préoccupations à ces groupes. Une tentative de</p><p>refuser l'accès à des niveaux inférieurs à ceux de la haute direction limiterait</p><p>l'indépendance de la fonction d'audit.</p><p>Manuel d’examen 27 e édition</p><p>112 | P a g e</p><p>By BlackHavok</p><p>Avant de communiquer les résultats d'un audit à la haute direction, un auditeur SI doit</p><p>discuter des constatations avec la direction de l'audité pour obtenir un accord sur les</p><p>constatations et élaborer un plan d'action corrective convenu. En cas de désaccord, un</p><p>auditeur du SI doit préciser l'importance des constatations, des risques et des effets de</p><p>la non-correction de la faiblesse du contrôle. Parfois, la direction de l'audité peut</p><p>demander l'aide d'un auditeur SI pour mettre en œuvre les améliorations de contrôle</p><p>recommandées. Un auditeur de SI doit communiquer la différence entre le rôle d'un</p><p>auditeur de SI et celui de consultant et examiner comment l'assistance à l'audité peut</p><p>nuire à l'indépendance de l'auditeur de SI.</p><p>Une fois qu'un accord a été conclu avec la direction de l'audité, la direction de l'audit des</p><p>SI doit informer la haute direction de l'audité. Un résumé des activités d'audit doit être</p><p>présenté périodiquement au comité d'audit. Les comités d'audit sont généralement</p><p>composés de personnes qui ne travaillent pas directement pour l'organisation et, par</p><p>conséquent, fournissent à un professionnel de l'audit et de l'assurance des SI un moyen</p><p>indépendant de signaler les résultats sensibles.</p><p>1.10.2 OBJECTIFS DU RAPPORT D'AUDIT</p><p>Les six objectifs du rapport d'audit sont les suivants:</p><p>• Présenter officiellement les résultats de l'audit à l'audité (et au client d'audit, s'il est</p><p>différent de l'audité).</p><p>• Servir de clôture officielle de la mission d'audit.</p><p>• Fournir des déclarations d'assurance et, si nécessaire, l'identification des domaines</p><p>nécessitant</p><p>Implémentation et utilisation</p><p>Facteurs de risque</p><p>Stratégies de mise en œuvre</p><p>Estimation et évaluation</p><p>Caractéristiques communes du DSS</p><p>Manuel d’examen 27 e édition</p><p>13 | P a g e</p><p>By BlackHavok</p><p>Partie B: Mise en œuvre des systèmes d'information</p><p>3.5 Méthodes d'essai</p><p>3.5.1 Test des classifications</p><p>Autres types de tests</p><p>3.5.2 Test de logiciel</p><p>3.5.3 Test d'intégrité des données</p><p>3.5.4 Test des systèmes d'application</p><p>Test d'application automatisé</p><p>3.5.5 Rôle de l'auditeur du SI dans les tests des systèmes d'information</p><p>3.6 Gestion de la configuration et des versions 3.7 Migration du système,</p><p>déploiement de l'infrastructure et conversion des données</p><p>3.7.1 Migration des données</p><p>Affiner le scénario de migration</p><p>Scénario de repli (restauration)</p><p>3.7.2 Techniques de basculement (Go-Live ou basculement)</p><p>Changement parallèle</p><p>Changement progressif</p><p>Changement brusque</p><p>3.7.3 Mise en œuvre du système</p><p>Planification de la mise en œuvre</p><p>3.7.4 Procédures de modification du système et processus de migration du</p><p>programme</p><p>Facteurs de succès critiques</p><p>Formation utilisateur final</p><p>3.7.5 Mise en œuvre du logiciel système</p><p>3.7.6 Certification / accréditation</p><p>3.8 Examen après la mise en œuvre</p><p>3.8.1 Rôle de l'auditeur du SI dans l'examen postérieur à la mise en œuvre</p><p>Étude de cas</p><p>Réponses aux questions des études de cas</p><p>Chapitre 4:</p><p>Opérations des systèmes d'information et résilience des entreprises</p><p>Aperçu</p><p>Contenu de l'examen du domaine 4 Aperçu des objectifs d'apprentissage /</p><p>énoncés des tâches Ressources suggérées pour une étude plus approfondie</p><p>Questions d'auto-évaluation Réponses aux questions d'auto-évaluation</p><p>Partie A: Opérations des systèmes d'information</p><p>4.0 Introduction 4.1 Composants technologiques communs</p><p>4.1.1 Composants et architectures du matériel informatique</p><p>Composants d'entrée / sortie</p><p>Types d'ordinateurs</p><p>Manuel d’examen 27 e édition</p><p>14 | P a g e</p><p>By BlackHavok</p><p>4.1.2 Périphériques principaux d'entreprise communs</p><p>4.1.3 Risque de bus série universel lié aux</p><p>USB</p><p>Contrôles de sécurité liés aux clés USB</p><p>4.1.4 Identification par radiofréquence</p><p>Applications de la RFID</p><p>Risque associé à la RFID</p><p>Contrôles de sécurité pour RFID</p><p>4.1.5 Procédures de surveillance du matériel du programme de</p><p>maintenance du matériel</p><p>4.1.6 Examens du matériel</p><p>4.2 Gestion des actifs informatiques 4.3 Planification des tâches et</p><p>automatisation des processus de production</p><p>4.3.1 Logiciel de planification des travaux</p><p>4.3.2 Planification des révisions</p><p>4.4 Interfaces système</p><p>4.4.1 Risque associé aux interfaces système</p><p>4.4.2 Problèmes de sécurité dans les interfaces système</p><p>4.4.3 Contrôles associés aux interfaces système</p><p>4.5 Informatique pour l'utilisateur final</p><p>4.6 Gouvernance des données</p><p>4.6.1 Gestion des données</p><p>Qualité des données</p><p>Cycle de vie des données</p><p>4.7 Gestion de la performance des systèmes</p><p>4.7.1 Architecture et logiciel SI</p><p>4.7.2 Systèmes d'exploitation</p><p>Fonctions ou paramètres de contrôle logiciel</p><p>Problèmes d'intégrité logicielle</p><p>Journalisation des activités et options de rapport</p><p>Avis sur le système d'exploitation</p><p>4.7.3 Logiciel de contrôle d'accès</p><p>4.7.4 Logiciel de communication de données</p><p>4.7.5 Programmes utilitaires</p><p>4.7.6 Problèmes de licence de logiciel</p><p>4.7.7 Gestion du code source</p><p>4.7.8 Gestion de la capacité</p><p>4.8 Gestion des problèmes et des incidents</p><p>4.8.1 Gestion des problèmes</p><p>4.8.2 Processus de gestion des incidents</p><p>4.8.3 Détection, documentation, contrôle, résolution et rapport de</p><p>Conditions anormales</p><p>4.8.4 Support / Help Desk</p><p>4.8.5 Outils de gestion de réseau</p><p>4.8.6 Examens des rapports de gestion des problèmes</p><p>4.9 Gestion des modifications, de la configuration, des versions et des correctifs</p><p>Manuel d’examen 27 e édition</p><p>15 | P a g e</p><p>By BlackHavok</p><p>4.9.1 Gestion des correctifs</p><p>4.9.2 Gestion des versions</p><p>4.9.3 Opérations SI Opérations SI</p><p>Opérations</p><p>4.10 Gestion des niveaux de service informatique</p><p>4.10.1 Accords de niveau de service</p><p>4.10.2 Surveillance des niveaux de service</p><p>4.10.3 Niveaux de service et architecture d'entreprise</p><p>4.11 Gestion de la base de données</p><p>4.11.1 Architecture du SGBD</p><p>Architecture détaillée des métadonnées du SGBD</p><p>Dictionnaire de données / système d'annuaire</p><p>4.11.2 Structure de la base de données</p><p>4.11.3 Contrôles de base de données</p><p>Système de gestion de base de données orienté objet.</p><p>4.11.4 Examens de la base de données</p><p>Partie B: Résilience des entreprises</p><p>4.12 Analyse d'impact sur l'entreprise</p><p>4.12.1 Classification des opérations et analyse de criticité</p><p>4.13 Résilience du système</p><p>4.13.1 Méthodes de résilience des applications et de reprise après sinistre</p><p>4.13.2 Résilience des réseaux de télécommunications et méthodes de reprise</p><p>après sinistre</p><p>4.14 Sauvegarde, stockage et restauration des données</p><p>4.14.1 Résilience du stockage des données et méthodes de reprise après sinistre</p><p>4.14.2 Contrôles de bibliothèque hors site de</p><p>sauvegarde et de restauration</p><p>Sécurité et contrôle des installations hors site</p><p>Sauvegarde des supports et de la documentation</p><p>Types de périphériques de sauvegarde et de supports</p><p>Procédures de sauvegarde périodiques</p><p>Fréquence de rotation</p><p>Types de supports et de documentation tournés</p><p>4.14.3 Schémas de sauvegarde</p><p>Sauvegarde complète</p><p>Sauvegarde incrémentielle</p><p>Sauvegarde différentielle</p><p>Méthode de rotation</p><p>Tenue de registres pour le stockage hors site</p><p>4.15 Plan de continuité des activités</p><p>4.15.1 Planification de la continuité des activités informatiques</p><p>4.15.2 Catastrophes et autres événements perturbateurs</p><p>Planification en cas de pandémie</p><p>Traiter les dommages à l'image, à la réputation ou à la marque</p><p>d'événements imprévus / imprévisibles</p><p>Manuel d’examen 27 e édition</p><p>16 | P a g e</p><p>By BlackHavok</p><p>4.15.3 Processus de planification de la continuité des activités</p><p>4.15.4 Politique de continuité des activités</p><p>4.15.5 Gestion des incidents de planification de la continuité des activités</p><p>4.15.6 Élaboration de plans de continuité des activités 4.15.7</p><p>Autres questions liées à l'élaboration du plan</p><p>4.15.8 Composantes d'un plan de continuité des activités</p><p>Personnel clé de prise de décision</p><p>Sauvegarde des fournitures requises</p><p>Assurance</p><p>4.15.9 Planifier les spécifications de test</p><p>Exécution du test</p><p>Documentation des résultats</p><p>L'analyse des résultats</p><p>Planifier la maintenance</p><p>Bonnes pratiques de gestion de la continuité des opérations</p><p>4.15.10 Résumé de la continuité des activités</p><p>4.15.11 Audit de la continuité des activités Examen du plan de</p><p>continuité des activités</p><p>Évaluation des résultats des tests antérieurs</p><p>Évaluation du stockage hors site</p><p>Évaluation de la sécurité de l'installation hors site</p><p>Interviewer le personnel clé</p><p>Révision du contrat de traitement alternatif</p><p>Examen de la couverture d'assurance</p><p>4.16 Plans de reprise après sinistre</p><p>4.16.1 Objectif de point de récupération et objectif de temps de récupération</p><p>4.16.2 Stratégies de rétablissement</p><p>4.16.3 Dispositions contractuelles des alternatives de</p><p>récupération</p><p>Achat de matériel alternatif</p><p>4.16.4 Élaboration de plans de reprise après sinistre</p><p>Contenu de IT DRP</p><p>Scénarios de DRP informatique</p><p>Procédures de récupération</p><p>Organisation et attribution des responsabilités</p><p>4.16.5 Méthodes de test de récupération après sinistre</p><p>Types de tests</p><p>Essai</p><p>Résultats de test</p><p>4.16.6 Appel de plans de reprise après sinistre</p><p>Étude de cas</p><p>Réponses aux questions des études de cas</p><p>Chapitre 5:</p><p>Protection des actifs informationnels</p><p>Manuel d’examen 27 e édition</p><p>17 | P a g e</p><p>By BlackHavok</p><p>Aperçu</p><p>Contenu de l'examen du domaine 5 Aperçu des objectifs d'apprentissage /</p><p>énoncés des tâches Ressources suggérées pour une étude plus approfondie</p><p>Questions d'auto-évaluation Réponses aux questions d'auto-évaluation</p><p>Partie A: Sécurité et contrôle des actifs informationnels</p><p>5.0 Introduction 5.1</p><p>des mesures correctives et des recommandations connexes.</p><p>• Servir de référence appréciée pour toute partie qui recherche l'audité ou le sujet</p><p>d'audit.</p><p>• Servir de base à un audit de suivi si des constatations d'audit ont été présentées.</p><p>• Promouvoir la crédibilité de l'audit. Cela dépend du rapport bien développé et bien</p><p>rédigé.</p><p>Les objectifs de reporting spécifiques à l'audit des SI sont développés sur la base des</p><p>exigences de rapport de la direction de l'audité et des autres utilisateurs du rapport et</p><p>conformément aux normes d'audit et d'assurance des SI et aux protocoles de</p><p>l'organisation d'audit. L'audité ou d'autres parties prenantes, telles que les organisations</p><p>de surveillance, sont identifiés lors de la planification de l'audit. Un auditeur du SI élabore</p><p>la portée et les objectifs de l'audit en tenant compte de ces exigences et d'autres</p><p>éléments de la planification de l' audit, tels que les évaluations des risques, de</p><p>l'importance et de la pertinence des contrôles énoncés, ainsi que les exigences</p><p>réglementaires et de gouvernance informatique. Le rapport d'audit présente</p><p>formellement l'objet et les résultats de l'audit conformément à ces exigences. Chaque</p><p>rapport d'audit doit fournir des réponses impartiales et bien étayées aux objectifs de</p><p>l'audit. Par exemple, si l'objectif de l'audit est de déterminer si des contrôles adéquats</p><p>sont en vigueur pour fournir une assurance raisonnable que seul un accès physique</p><p>autorisé peut être obtenu au centre de données, le rapport doit indiquer la conclusion ou</p><p>l'opinion d'un auditeur SI quant à l'adéquation de la pour atteindre cet objectif. Si des</p><p>contrôles doivent être mis en œuvre ou renforcés pour atteindre l'objectif, le rapport</p><p>devrait alors fournir une recommandation pour répondre à ce besoin.</p><p>Manuel d’examen 27 e édition</p><p>113 | P a g e</p><p>By BlackHavok</p><p>1.10.3 STRUCTURE ET CONTENU DU RAPPORT D'AUDIT</p><p>Les rapports d'audit sont le produit final du travail d'audit des SI. Le format exact d'un</p><p>rapport d'audit variera selon l'organisation; cependant, un auditeur SI doit comprendre</p><p>les éléments de base d'un rapport d'audit et comment il communique les résultats d'audit</p><p>à la direction.</p><p>Remarque: Le candidat CISA doit se familiariser avec les normes d'audit ISACA IS et</p><p>les normes de certification 1401 et les activités de suivi 1402.</p><p>Les rapports d'audit ont généralement la structure et le contenu suivants:</p><p>• Une introduction au rapport, comprenant un énoncé des objectifs de l’audit, des limites</p><p>de l’audit et de sa portée, la période de couverture de l’audit et une déclaration</p><p>générale sur la nature et l’étendue des procédures d’audit menées et des processus</p><p>examinés au cours de l’audit, suivie d’une déclaration sur la méthodologie et les</p><p>directives d'audit des SI</p><p>• Constatations de l'audit incluses dans des sections distinctes et souvent regroupées en</p><p>sections par importance relative et / ou destinataire prévu</p><p>• Conclusion et opinion globales d'un auditeur SI sur l'adéquation des contrôles et</p><p>procédures examinés au cours de l'audit, et sur le risque potentiel réel identifié en</p><p>conséquence des déficiences détectées</p><p>• Réserves ou réserves d'un auditeur SI concernant l'audit</p><p>- Cela peut indiquer que les contrôles ou procédures examinés ont été jugés adéquats</p><p>ou inadéquats. Le reste du rapport d'audit devrait étayer cette conclusion, et les</p><p>éléments de preuve collectés au cours de l'audit devraient fournir un niveau encore</p><p>plus élevé de soutien aux conclusions de l'audit.</p><p>• Conclusions et recommandations d'audit détaillées</p><p>- Un auditeur SI décide d'inclure ou non des constatations spécifiques dans un rapport</p><p>d'audit. Cela devrait être fondé sur l'importance relative des constatations et sur le</p><p>destinataire prévu du rapport d'audit. Un rapport d'audit adressé au comité d'audit</p><p>du conseil d'administration, par exemple, peut ne pas contenir de constatations qui</p><p>ne sont importantes que pour la direction locale mais qui ont peu d'importance pour</p><p>l'organisation dans son ensemble. La décision sur ce qu'il faut inclure dans les</p><p>différents niveaux de rapports d'audit dépend des orientations fournies par la haute</p><p>direction.</p><p>• Diverses constatations, dont certaines peuvent être assez importantes tandis que</p><p>d’autres sont de nature mineure</p><p>- Un auditeur du SI peut choisir de présenter des constatations mineures à la direction</p><p>dans un autre format, par exemple par mémorandum.</p><p>Un auditeur SI doit prendre la décision finale sur ce qu'il faut inclure ou exclure du rapport</p><p>d'audit. En règle générale, un auditeur SI doit être soucieux de fournir un rapport</p><p>équilibré, décrivant non seulement les problèmes négatifs en termes de constatations,</p><p>mais aussi les commentaires constructifs positifs concernant l'amélioration des processus</p><p>et des contrôles ou des contrôles efficaces déjà en place. Dans l'ensemble, un auditeur</p><p>SI doit faire preuve d'indépendance dans le processus de reporting.</p><p>Manuel d’examen 27 e édition</p><p>114 | P a g e</p><p>By BlackHavok</p><p>La direction de l'audité évalue les constatations, en indiquant les mesures correctives à</p><p>prendre et le calendrier de mise en œuvre de ces mesures correctives prévues. La</p><p>direction peut ne pas être en mesure de mettre en œuvre toutes les recommandations</p><p>d'audit immédiatement. Par exemple, un auditeur SI peut recommander des</p><p>modifications à un système d'information qui subit également d'autres modifications ou</p><p>améliorations. Un auditeur SI ne doit pas nécessairement s'attendre à ce que les autres</p><p>modifications soient suspendues jusqu'à ce que leurs recommandations soient mises en</p><p>œuvre. Au contraire, tout peut être mis en œuvre en même temps.</p><p>Un auditeur SI doit discuter des recommandations et de toute date de mise en œuvre</p><p>prévue lors de la publication du rapport d'audit. Diverses contraintes, telles que les</p><p>limitations du personnel, les budgets ou d'autres projets, peuvent limiter la mise en</p><p>œuvre immédiate. La direction devrait élaborer un programme ferme d'actions</p><p>correctives. Il est important d'obtenir un engagement de la direction de l'audité sur la</p><p>date à laquelle le plan d'action sera mis en œuvre (la solution peut prendre beaucoup de</p><p>temps pour la mise en œuvre) et la manière dont il sera exécuté car l'action corrective</p><p>peut entraîner des risques qui peuvent être évité s'il est identifié lors de la discussion et</p><p>de la finalisation du rapport d'audit. Le cas échéant, un auditeur SI peut souhaiter rendre</p><p>compte à la direction générale de l'avancement de la mise en œuvre des</p><p>recommandations.</p><p>Le rapport doit inclure toutes les constatations d'audit importantes. Lorsqu'une</p><p>constatation nécessite une explication, un auditeur SI doit décrire la constatation, sa</p><p>cause et son risque. Le cas échéant, un auditeur SI doit fournir l'explication dans un</p><p>document séparé et y faire référence dans le rapport. Par exemple, cette approche peut</p><p>être appropriée pour des questions hautement confidentielles. Un auditeur SI doit</p><p>également identifier les critères organisationnels, professionnels et gouvernementaux</p><p>appliqués. Le rapport devrait être publié en temps opportun pour encourager une action</p><p>corrective rapide. Le cas échéant, un auditeur SI doit communiquer sans délai les</p><p>résultats significatifs aux personnes appropriées avant la publication du rapport. La</p><p>communication préalable des résultats importants ne devrait pas modifier l'intention ou</p><p>le contenu du rapport.</p><p>1.10.4 DOCUMENTATION D'AUDIT</p><p>La documentation d'audit est le dossier écrit qui fournit le support des représentations</p><p>dans le rapport de l'auditeur. Cela devrait:</p><p>1. Démontrer que l'engagement était conforme aux normes.</p><p>2. Soutenir la base des conclusions de l'auditeur.</p><p>La documentation d'audit doit comprendre, au minimum, un enregistrement des</p><p>éléments suivants:</p><p>• Planification et préparation de la portée et des objectifs de l'audit</p><p>• Description et / ou procédures pas à pas sur la zone d'audit délimitée</p><p>• Programme d'audit</p><p>• Étapes d'audit réalisées et éléments probants recueillis</p><p>• Recours à d'autres auditeurs et experts</p><p>• Constatations, conclusions et recommandations de l'audit</p><p>• Relation entre la documentation d'audit et l'identification et les dates des documents</p><p>Manuel d’examen 27 e édition</p><p>115 | P a g e</p><p>By BlackHavok</p><p>Il est également recommandé que la documentation comprenne ces éléments:</p><p>• Une copie du rapport émis à la suite des travaux d'audit</p><p>• Preuve de la surveillance prudentielle de l'audit</p><p>Les documents doivent inclure les informations d'audit requises par les lois et règlements,</p><p>les stipulations contractuelles et les normes professionnelles. La documentation d'audit</p><p>est la preuve nécessaire à l'appui des conclusions tirées et doit être claire, complète,</p><p>facilement consultable et suffisamment compréhensible. La documentation d'audit est</p><p>généralement la propriété de l'audité et ne doit être accessible qu'au personnel autorisé</p><p>avec une autorisation spécifique ou générale. Lorsque l'accès à la documentation d'audit</p><p>est demandé par des parties externes, un professionnel de l'audit et de l'assurance des</p><p>SI doit obtenir l'approbation préalable appropriée de la direction et des conseillers</p><p>juridiques avant de la fournir à ces parties externes.</p><p>Des politiques devraient être élaborées concernant la garde, les exigences de</p><p>conservation et la publication de la documentation d'audit. Le format de la documentation</p><p>et les supports sont facultatifs, mais la diligence raisonnable et les bonnes pratiques</p><p>exigent que les documents de travail soient datés, paraphés, numérotés, pertinents,</p><p>complets, clairs, autonomes et correctement étiquetés, classés et conservés. Les</p><p>documents de travail peuvent être automatisés. Un auditeur de SI doit considérer</p><p>comment maintenir l'intégrité et la protection des preuves des tests d'audit afin de</p><p>préserver leur valeur de preuve à l'appui des résultats d'audit.</p><p>Un auditeur SI doit être capable de préparer des documents de travail, des récits, des</p><p>questionnaires et des organigrammes de système compréhensibles. La documentation</p><p>d'audit ou les documents de travail peuvent être considérés comme le pont ou l'interface</p><p>entre les objectifs d'audit et le rapport final. Ils devraient assurer une transition sans</p><p>heurt - avec traçabilité et responsabilité - des objectifs au rapport et du rapport aux</p><p>objectifs. Dans ce contexte, le rapport d'audit peut être considéré comme un ensemble</p><p>de documents de travail particuliers.</p><p>La quête de l'intégration des documents de travail dans l'environnement de l'auditeur a</p><p>débouché sur tous les principaux progiciels d'audit et de gestion de projet, les CAAT et</p><p>les systèmes experts offrant une gamme complète de documentation automatisée et de</p><p>fonctionnalités d'import-export.</p><p>La documentation d'audit doit étayer les constatations et les conclusions / opinions.</p><p>La durée des preuves peut être cruciale pour étayer les constatations et les conclusions</p><p>de l'audit. Un auditeur du SI doit veiller à ce que les éléments de preuve recueillis et</p><p>documentés puissent étayer les constatations et les conclusions de l'audit.</p><p>Le concept de matérialité est un élément clé pour décider des constatations à présenter</p><p>dans un rapport d'audit. La clé pour déterminer l'importance relative des constatations</p><p>d'audit est l'évaluation de ce qui serait important pour les différents niveaux de</p><p>gestion. L'évaluation nécessite de juger de l'effet potentiel de la constatation si aucune</p><p>mesure corrective n'est prise. Voici des exemples:</p><p>• Une faiblesse des contrôles d'accès physique à la sécurité de l'information sur un site</p><p>informatique distribué à distance peut être importante pour la direction du site, mais</p><p>ne sera pas nécessairement importante pour la haute direction au siège. Cependant,</p><p>Manuel d’examen 27 e édition</p><p>116 | P a g e</p><p>By BlackHavok</p><p>il peut y avoir d'autres problèmes sur le site distant qui pourraient être importants</p><p>pour la haute direction.</p><p>• Un examen du déprovisionnement en accès découvre que l'accès d'un utilisateur résilié</p><p>n'a pas été supprimé après la date de résiliation de l'utilisateur, mais qu'il a été détecté</p><p>lors de l'examen par la direction de l'accès de sécurité, moment auquel l'accès de</p><p>l'utilisateur résilié a été supprimé. Ce type de découverte ne serait probablement pas</p><p>porté à l'attention de la haute direction, mais serait documenté et discuté avec la</p><p>direction de l'audité.</p><p>1.10.5 ACTIVITÉS DE SUIVI</p><p>L'audit est un processus continu. Un vérificateur des SI n'est pas efficace si des</p><p>vérifications sont effectuées et des rapports publiés, mais aucun suivi n'est effectué pour</p><p>déterminer si la direction a pris les mesures correctives appropriées. Les auditeurs des</p><p>SI devraient avoir un programme de suivi pour déterminer si les actions correctives</p><p>convenues ont été mises en œuvre. Bien que les auditeurs SI qui travaillent pour des</p><p>cabinets d'audit externes ne suivent pas nécessairement ce processus, ils peuvent</p><p>accomplir ces tâches s'ils en conviennent avec l'audité.</p><p>Le calendrier du suivi dépendra de la criticité des constatations et est soumis au jugement</p><p>d'un auditeur du SI. Les résultats du suivi devraient être communiqués aux niveaux de</p><p>gestion appropriés. Le niveau d'examen de suivi d'un auditeur SI dépendra de plusieurs</p><p>facteurs. Dans certains cas, un auditeur SI peut simplement avoir besoin de s'enquérir</p><p>de l'état actuel. Dans d'autres cas, un auditeur SI qui travaille dans une fonction d'audit</p><p>interne peut avoir à effectuer certaines étapes d'audit pour déterminer si les actions</p><p>correctives convenues par la direction ont été mises en œuvre.</p><p>1.10.6 TYPES DE RAPPORTS D'AUDIT</p><p>Le rapport d'audit du SI est principalement motivé par le type de mission d'audit et les</p><p>exigences de rapport des normes d'audit et d'assurance du SI. Alors que la plupart des</p><p>audits SI aboutissent à un seul rapport d'audit SI, dans certaines situations, plusieurs</p><p>rapports peuvent être applicables. Par exemple, en plus d'un rapport destiné au grand</p><p>public, il peut être nécessaire de créer un rapport de sécurité confidentiel distinct</p><p>contenant des informations techniques détaillées pour garantir que le risque de sécurité</p><p>n'est pas mis à la disposition de parties non intentionnelles.</p><p>L'organisation et le contenu spécifique du rapport dépendent également de la portée et</p><p>des objectifs de la mission d'audit et du degré auquel les processus et systèmes</p><p>informatiques sont examinés ou nécessitent des explications. Le format et les protocoles</p><p>de présentation des rapports d'audit peuvent également dépendre des exigences et des</p><p>attentes définies entre l'organisation d'audit et l'audité. Les exigences relatives au</p><p>contenu ou au format du rapport d'audit peuvent être demandées par le client d'audit</p><p>qui peut ou non appartenir à l'organisation en tant qu'audité.</p><p>Bien que les missions d'examen, d'examen et de procédure convenue aient des exigences</p><p>de rapport similaires, chaque type de mission stipule des exigences et des limites de</p><p>rapport différentes. Les principales distinctions entre les revues, les examens et les</p><p>missions de procédures convenues sont les objectifs de l'audit, la nature et l'étendue des</p><p>travaux d'audit et le niveau d'assurance à fournir. Bien que les trois types d'audits</p><p>Manuel d’examen 27 e édition</p><p>117 | P a g e</p><p>By BlackHavok</p><p>comprennent des travaux d'examen, la réalisation de tests d'audit est beaucoup plus</p><p>courante dans les audits ou les examens qui nécessitent des preuves plus solides sur</p><p>lesquelles fonder une opinion. Les procédures convenues peuvent également inclure des</p><p>tests, mais en raison d'autres limitations, une opinion d'audit n'est pas exprimée. Bien</p><p>que la portée de l'audit puisse être la même pour les examens et les examens, la portée</p><p>sera probablement</p><p>définie de manière plus étroite pour les audits de procédure convenus.</p><p>1.11 ASSURANCE QUALITÉ ET AMÉLIORATION DU PROCESSUS D'AUDIT</p><p>Un auditeur SI joue un rôle important dans l'amélioration de la qualité et du contrôle</p><p>des systèmes d'information dans une organisation. Les éléments du contrôle de la</p><p>qualité relatifs à une mission d'audit sont les suivants: • Responsabilités du leadership</p><p>pour la qualité des audits</p><p>• Exigences éthiques (y compris l'indépendance)</p><p>• Acceptation et maintien des relations avec les clients et des missions d'audit</p><p>spécifiques</p><p>• Affectation d'équipes de mission</p><p>• Performance de la mission (y compris la consultation, la résolution des divergences</p><p>d'opinion et la revue de contrôle qualité de la mission)</p><p>• Suivi</p><p>L'assurance de la qualité est souvent réalisée par l'auditeur du SI en tant que consultant,</p><p>conseillant et facilitant les domaines d'activité à participer à l'amélioration et au contrôle</p><p>des processus. Une telle approche passe par le processus d'autoévaluation du contrôle</p><p>(CSA).</p><p>1.11.1 AUTO-ÉVALUATION DU CONTRÔLE</p><p>L'ASC est une évaluation des contrôles effectués par le personnel et la direction de l'unité</p><p>ou des unités concernées. Il s'agit d'une technique de gestion qui garantit aux parties</p><p>prenantes, aux clients et aux autres parties que le système de contrôle interne de</p><p>l'organisation est fiable. Il garantit également que les employés sont conscients du risque</p><p>pour l'entreprise et qu'ils effectuent des examens périodiques et proactifs des</p><p>contrôles. Il s'agit d'une méthodologie utilisée pour examiner les principaux objectifs</p><p>commerciaux; le risque lié à l'atteinte des objectifs commerciaux; et des contrôles</p><p>internes conçus pour gérer les risques de l'entreprise dans un processus formel,</p><p>documenté et collaboratif.</p><p>Un auditeur SI agit en tant que facilitateur auprès des propriétaires de processus métier</p><p>pour les aider à définir et évaluer les contrôles appropriés et aide les propriétaires de</p><p>processus à comprendre le besoin de contrôles, en fonction du risque pour les processus</p><p>métier. Les propriétaires de processus et le personnel qui exécute les processus utilisent</p><p>leur connaissance et leur compréhension de la fonction commerciale pour évaluer la</p><p>performance des contrôles par rapport aux objectifs de contrôle établis, tout en tenant</p><p>compte de l'appétit pour le risque de l'organisation. Les propriétaires de processus sont</p><p>idéalement placés pour définir les contrôles appropriés car ils connaissent mieux les</p><p>objectifs du processus.</p><p>Manuel d’examen 27 e édition</p><p>118 | P a g e</p><p>By BlackHavok</p><p>Un programme CSA peut être mis en œuvre par différentes méthodes. Pour les petites</p><p>entreprises au sein des organisations, il peut être mis en œuvre par des ateliers animés</p><p>au cours desquels la gestion fonctionnelle et les auditeurs des SI se réunissent et</p><p>délibèrent sur la meilleure façon de faire évoluer une structure de contrôle pour l'unité</p><p>d'affaires. Dans un atelier, le rôle d'un facilitateur est d'appuyer le processus</p><p>décisionnel. L'animateur crée un environnement favorable pour aider les participants à</p><p>explorer leurs propres expériences et celles des autres; identifier les forces et les</p><p>faiblesses du contrôle; et partager leurs connaissances, leurs idées et leurs</p><p>préoccupations. Le cas échéant, un facilitateur peut également offrir sa propre expertise</p><p>en plus de faciliter l'échange d'idées et d'expériences.</p><p>Objectifs de l'ASC</p><p>L'objectif principal d'un programme CSA est de tirer parti de la fonction d'audit interne</p><p>en déplaçant certaines des responsabilités de surveillance du contrôle vers les domaines</p><p>fonctionnels. Il ne vise pas à remplacer les responsabilités d'audit mais à les</p><p>renforcer. Les auditeurs tels que les supérieurs hiérarchiques sont responsables des</p><p>contrôles dans leur environnement; les gestionnaires devraient également être</p><p>responsables du suivi des contrôles. Les programmes de l'ASC doivent également</p><p>informer la direction sur la conception et la surveillance des contrôles, en se concentrant</p><p>particulièrement sur les zones à haut risque.</p><p>Lors de l'utilisation d'un programme CSA, des mesures de réussite pour chaque phase</p><p>(planification, mise en œuvre et surveillance) doivent être élaborées pour déterminer la</p><p>valeur dérivée de la CSA et son utilisation future. Un facteur critique de succès (CSF) est</p><p>de tenir une réunion avec les représentants de l'unité commerciale (y compris le</p><p>personnel et la direction appropriés et pertinents) pour identifier l'objectif principal de</p><p>l'unité commerciale - déterminer la fiabilité du système de contrôle interne. En outre, les</p><p>actions qui augmentent la probabilité d'atteindre l'objectif principal doivent être</p><p>identifiées.</p><p>Avantages de l'ASC</p><p>Certains des avantages de la CSA sont les suivants:</p><p>• Détection précoce des risques</p><p>• Contrôles internes plus efficaces et améliorés</p><p>• Création d'équipes cohésives grâce à l'implication des salariés</p><p>• Développement d'un sentiment d'appropriation des contrôles chez les employés et les</p><p>propriétaires de processus et réduction de leur résistance aux initiatives d'amélioration</p><p>du contrôle</p><p>• Sensibilisation accrue des employés aux objectifs organisationnels et connaissance des</p><p>risques et des contrôles internes</p><p>• Communication accrue entre la direction opérationnelle et la direction</p><p>• Des employés très motivés</p><p>• Amélioration du processus de notation des audits</p><p>• Réduction des coûts de contrôle</p><p>• Assurance fournie aux parties prenantes et aux clients</p><p>• Assurance nécessaire donnée à la haute direction quant à l'adéquation des contrôles</p><p>internes, comme l'exigent les divers organismes de réglementation et lois</p><p>Manuel d’examen 27 e édition</p><p>119 | P a g e</p><p>By BlackHavok</p><p>Inconvénients de CSA</p><p>CSA contient certains inconvénients, notamment:</p><p>• Il pourrait être confondu avec un remplacement de la fonction d'audit.</p><p>• Il peut être considéré comme une charge de travail supplémentaire (par exemple, un</p><p>autre rapport à soumettre à la direction).</p><p>• Le fait de ne pas donner suite aux suggestions d'amélioration pourrait endommager le</p><p>moral des employés.</p><p>• Le manque de motivation peut limiter l'efficacité de la détection des contrôles</p><p>faibles.</p><p>Rôle de l'auditeur SI au sein de l'ASC</p><p>Lorsque les programmes de l'ASC sont établis, les auditeurs deviennent des</p><p>professionnels du contrôle interne et des facilitateurs d'évaluation. Leur valeur dans ce</p><p>rôle est évidente lorsque la direction prend la responsabilité et l'appropriation des</p><p>systèmes de contrôle interne sous son autorité grâce à l'amélioration des processus dans</p><p>leurs structures de contrôle, y compris une composante de surveillance active.</p><p>Pour être efficace dans ce rôle de facilitation et d'innovation, l'auditeur SI doit</p><p>comprendre le processus opérationnel évalué. Il est important de se rappeler que les</p><p>auditeurs SI sont les facilitateurs et que le client de gestion est le participant au processus</p><p>CSA. Par exemple, au cours d'un atelier de l'ASC, au lieu d'exécuter des procédures</p><p>d'audit détaillées, l'auditeur du SI dirigera et guidera les audités dans l'évaluation de leur</p><p>environnement en fournissant un aperçu des objectifs des contrôles basés sur</p><p>l'évaluation des risques. Les gestionnaires, en mettant l'accent sur l'amélioration de la</p><p>productivité du processus, pourraient suggérer le remplacement des contrôles</p><p>préventifs. Dans ce cas, l'auditeur du SI est mieux placé pour expliquer le risque associé</p><p>à de tels changements.</p><p>Pour fournir des audits de meilleure qualité et faire appel à des audits internes et / ou</p><p>externes ou à une expertise en la matière, une approche d'audit intégrée est utilisée pour</p><p>effectuer des évaluations des contrôles internes basées sur les risques d'une opération,</p><p>d'un processus ou d'une entité.</p><p>1.11.2 AUDIT INTÉGRÉ</p><p>La dépendance des processus</p><p>métier vis-à-vis de l'informatique a nécessité que tous les</p><p>auditeurs acquièrent une compréhension des structures de contrôle informatique. De</p><p>plus, les auditeurs SI doivent développer une compréhension des structures de contrôle</p><p>de l'entreprise. Ce type d'audit intégré peut être défini comme le processus par lequel</p><p>les disciplines d'audit appropriées sont combinées pour évaluer les contrôles internes clés</p><p>d'une opération, d'un processus ou d'une entité et se concentre sur le risque. Une</p><p>évaluation des risques vise à comprendre et à identifier les risques résultant de l'entité</p><p>et de son environnement, y compris les contrôles internes pertinents. À ce stade, le rôle</p><p>d'un auditeur SI est généralement de comprendre et d'identifier les risques dans des</p><p>domaines d'actualité tels que la gestion de l'information, l'infrastructure informatique, la</p><p>gouvernance informatique et les opérations informatiques. D'autres spécialistes de</p><p>l'audit et de l'assurance chercheront à comprendre l'environnement organisationnel, les</p><p>risques commerciaux et les contrôles commerciaux. Un élément clé de l'approche</p><p>Manuel d’examen 27 e édition</p><p>120 | P a g e</p><p>By BlackHavok</p><p>intégrée est une discussion au sein de toute l'équipe d'audit sur les risques émergents,</p><p>en tenant compte de l'impact et de la probabilité.</p><p>Un travail d'audit détaillé se concentre sur les contrôles pertinents en place pour gérer</p><p>ce risque. Les systèmes informatiques fournissent fréquemment une première ligne de</p><p>contrôles préventifs et de détection, et l'approche d'audit intégrée dépend d'une bonne</p><p>évaluation de leur efficience et de leur efficacité.</p><p>Le processus d'audit intégré implique généralement les éléments suivants:</p><p>• Identification des risques encourus par l'organisation pour la zone auditée</p><p>• Identification des contrôles clés pertinents</p><p>• Examen et compréhension de la conception des contrôles clés</p><p>• Vérifier que les contrôles clés sont pris en charge par le système informatique</p><p>• Vérifier que les contrôles de gestion fonctionnent efficacement</p><p>• Un rapport ou une opinion combinée sur le risque de contrôle, la conception et les</p><p>faiblesses</p><p>Un audit intégré exige de se concentrer sur le risque commercial et de rechercher des</p><p>solutions de contrôle créatives. Il s'agit d'un effort d'équipe de professionnels de l'audit</p><p>et de l'assurance avec différents ensembles de compétences. Cette approche permet un</p><p>audit unique d'une entité avec un rapport complet. Un avantage supplémentaire est que</p><p>cette approche contribue au développement et à la rétention du personnel en offrant une</p><p>plus grande variété et la capacité de voir comment tous les éléments (fonctionnels et</p><p>informatiques) se rejoignent pour former une image complète. Voir la figure 1.14 pour</p><p>une approche d'audit intégrée.</p><p>Manuel d’examen 27 e édition</p><p>121 | P a g e</p><p>By BlackHavok</p><p>Le concept d'audit intégré a également radicalement changé la façon dont les audits sont</p><p>acceptés et évalués par les différentes parties prenantes. Par exemple:</p><p>• Les employés ou les propriétaires de processus comprennent mieux les objectifs d'un</p><p>audit car ils peuvent voir le lien entre les contrôles et les procédures d'audit.</p><p>• La haute direction comprend mieux le lien entre l'efficacité accrue du contrôle et les</p><p>améliorations correspondantes dans l'allocation et l'utilisation des ressources</p><p>informatiques.</p><p>• Les actionnaires comprennent mieux le lien entre la pression pour un plus grand degré</p><p>de gouvernance d'entreprise et son impact sur la génération d'états financiers</p><p>fiables.</p><p>Tous ces développements ont donné une impulsion accrue à la popularité croissante des</p><p>audits intégrés.</p><p>Manuel d’examen 27 e édition</p><p>122 | P a g e</p><p>By BlackHavok</p><p>Remarque: Un candidat CISA doit être familiarisé avec le processus et les étapes</p><p>d'audit intégré.</p><p>ÉTUDE DE CAS</p><p>Betatronics est un fabricant de taille moyenne de produits électroniques dont le siège est</p><p>aux États-Unis et des usines situées en Amérique latine. Un auditeur SI au sein de</p><p>l'entreprise a été invité à effectuer des travaux préliminaires qui évalueront l'état de</p><p>préparation de l'organisation pour un examen afin de mesurer la conformité aux</p><p>nouvelles exigences réglementaires américaines.</p><p>Ces exigences sont conçues pour garantir que la direction joue un rôle actif dans la mise</p><p>en place et le maintien d'un environnement bien contrôlé et évalueront l'examen par la</p><p>direction et les tests des contrôles informatiques généraux. Les domaines à évaluer</p><p>comprennent:</p><p>• Sécurité logique et physique</p><p>• Gestion du changement</p><p>• Contrôle de production et gestion de réseau</p><p>• Gouvernance informatique</p><p>• Informatique pour utilisateur final</p><p>L'auditeur du SI dispose de six mois pour effectuer ces travaux préliminaires. Au cours</p><p>des années précédentes, des problèmes répétés ont été identifiés dans les domaines de</p><p>la sécurité logique et de la gestion du changement. Les lacunes logiques en matière de</p><p>sécurité relevées comprenaient le partage des comptes d'administrateur et le non-</p><p>respect des contrôles adéquats sur les mots de passe. Les lacunes de la gestion du</p><p>changement comprenaient une séparation incorrecte des tâches incompatibles et le</p><p>défaut de documenter tous les changements. De plus, le processus de déploiement des</p><p>mises à jour du système d'exploitation sur les serveurs s'est révélé partiellement efficace.</p><p>En prévision des travaux à réaliser par l'auditeur SI, le DSI a demandé des rapports</p><p>directs pour développer des narrations et des flux de processus décrivant les principales</p><p>activités dont l'informatique est responsable. Ceux-ci ont été complétés, approuvés par</p><p>les différents propriétaires de processus et le CIO, puis transmis à l'auditeur du SI pour</p><p>examen.</p><p>1. Qu'est-ce que l'auditeur SI doit faire en PREMIER ?</p><p>A. Effectuez un audit d'enquête des contrôles d'accès logiques.</p><p>B. Réviser le plan d'audit pour se concentrer sur l'audit basé sur les risques.</p><p>C. Effectuez une évaluation des risques informatiques.</p><p>D. Commencer à tester les contrôles que l'auditeur des SI juge les plus</p><p>critiques.</p><p>Manuel d’examen 27 e édition</p><p>123 | P a g e</p><p>By BlackHavok</p><p>2. Lorsque la vérification de la sécurité logique, l'auditeur des est PLUPART concerné</p><p>lors de l' observation:</p><p>A. Le compte administrateur système est connu de tous.</p><p>B. Les mots de passe ne sont pas appliqués pour changer fréquemment.</p><p>C. L'administrateur réseau reçoit des autorisations excessives.</p><p>D. Le service informatique n'a pas de politique écrite sur la gestion des</p><p>privilèges.</p><p>3. Lors du test de la gestion du changement de programme dans ce cas, comment</p><p>sélectionner l'échantillon?</p><p>A. Les documents de gestion du changement doivent être sélectionnés au hasard</p><p>et examinés pour leur pertinence.</p><p>B. Les modifications apportées au code de production doivent être échantillonnées</p><p>et retracées dans la documentation d'autorisation appropriée.</p><p>C. Les documents de gestion du changement doivent être sélectionnés en fonction</p><p>de la criticité du système et examinés pour leur pertinence.</p><p>D. Les modifications du code de production doivent être échantillonnées et</p><p>retracées dans des journaux produits par le système indiquant la date et</p><p>l'heure du changement.</p><p>4. Énumérez trois contrôles informatiques généraux que l'auditeur du SI utiliserait pour</p><p>effectuer des tests de validation dans ce cas.</p><p>Une fois les travaux préliminaires terminés, Betatronics décide de planifier des audits</p><p>pour les deux prochaines années. Après avoir accepté la nomination, l'auditeur du SI</p><p>note que:</p><p>• L'entité a une charte d'audit qui détaille la portée et les responsabilités de la fonction</p><p>d'audit des SI et spécifie le comité d'audit comme organe de supervision</p><p>de l'activité</p><p>d'audit.</p><p>• L'entité est soumise à des exigences de conformité réglementaire qui exigent de sa</p><p>direction qu'elle certifie l'efficacité du système de contrôle interne en ce qui concerne</p><p>l'information financière.</p><p>• L'entité a enregistré une croissance constante au cours des deux dernières années au</p><p>double de la moyenne de l'industrie.</p><p>• L'entité a également connu une augmentation du roulement du personnel.</p><p>5. La PREMIÈRE priorité de l'auditeur SI au cours de la première année devrait être</p><p>d'étudier:</p><p>A. les rapports d'audit des SI précédents et planifier le calendrier d'audit.</p><p>B. la charte d'audit et planifier le calendrier d'audit.</p><p>C. impact de l'augmentation du roulement du personnel.</p><p>D. impact de la mise en œuvre d'un nouvel ERP sur l'environnement</p><p>informatique.</p><p>Manuel d’examen 27 e édition</p><p>124 | P a g e</p><p>By BlackHavok</p><p>6. Comment l'auditeur SI doit-il évaluer la sauvegarde et le traitement par lots dans les</p><p>opérations informatiques?</p><p>A. Comptez sur le rapport de l'auditeur de service du prestataire de services.</p><p>B. Etudier le contrat entre l'entité et le prestataire de services.</p><p>C. Comparez le rapport de prestation de services à l'accord de niveau de</p><p>service.</p><p>D. Planifier et effectuer un examen indépendant des opérations</p><p>informatiques.</p><p>7. Au cours des travaux quotidiens, l'auditeur du SI informe qu'il existe un risque que</p><p>l'examen des journaux ne se traduise pas par une détection rapide des</p><p>erreurs. Voici un exemple de ce qui suit:</p><p>A. risque inhérent</p><p>B. risque résiduel C. risque de contrôle</p><p>D. risque matériel</p><p>8. L'auditeur du SI a conseillé au DSI et à l'équipe d'améliorer l'environnement général</p><p>de contrôle informatique. Il a été proposé d'adapter COBIT. Quelles</p><p>recommandations l'auditeur du SI ferait-il lors de l'examen de ce cadre?</p><p>RÉPONSES AUX QUESTIONS D'ÉTUDE DE CAS</p><p>1. A. La réalisation d'une vérification par sondage des contrôles d'accès logiques aurait</p><p>lieu après une évaluation des risques informatiques.</p><p>B. La révision du plan d'audit pour se concentrer sur l'audit basé sur les risques</p><p>interviendrait après une évaluation des risques informatiques.</p><p>C. Une évaluation des risques informatiques doit être effectuée en premier</p><p>afin de déterminer quels domaines présentent le plus grand risque</p><p>et quels contrôles atténuent ce risque. Bien que des récits et des</p><p>flux de processus aient été créés, l'organisation n'a pas encore</p><p>évalué les contrôles essentiels.</p><p>D. Les tests de contrôle que l'auditeur des SI juge les plus critiques se produiraient</p><p>après une évaluation des risques informatiques.</p><p>2. A. Le compte d'administrateur système connu de tous est très</p><p>dangereux. Dans ce cas, tout utilisateur peut effectuer n'importe quelle</p><p>action dans le système, y compris l'accès aux fichiers, l'autorisation et le</p><p>réglage des paramètres.</p><p>B. Un changement de mot de passe peu fréquent présenterait une préoccupation</p><p>mais ne serait pas grave car tout le monde connaît le compte</p><p>d'administrateur système.</p><p>C. L'administrateur réseau disposant d'autorisations excessives représenterait une</p><p>préoccupation, mais ce ne serait pas aussi grave que tout le monde</p><p>connaissant le compte d'administrateur système.</p><p>Manuel d’examen 27 e édition</p><p>125 | P a g e</p><p>By BlackHavok</p><p>D. L'absence d'une politique de gestion des privilèges serait une préoccupation,</p><p>mais ce ne serait pas aussi grave que tout le monde connaissant le compte</p><p>d'administrateur système.</p><p>3. A. Lorsqu'un échantillon est choisi dans un ensemble de documents de contrôle, il n'y</p><p>a aucun moyen de s'assurer que chaque changement était accompagné d'une</p><p>documentation de contrôle appropriée.</p><p>B. Lors du test d'un contrôle, il est conseillé de suivre la trace de l'élément</p><p>contrôlé jusqu'à la documentation de contrôle</p><p>correspondante. Lorsqu'un échantillon est choisi dans un ensemble</p><p>de documents de contrôle, il n'y a aucun moyen de s'assurer que</p><p>chaque modification était accompagnée d'une documentation de</p><p>contrôle appropriée. Par conséquent, les modifications apportées au</p><p>code de production constituent la base la plus appropriée pour</p><p>sélectionner un échantillon.</p><p>C. Lorsqu'un échantillon est choisi dans un ensemble de documents de contrôle, il</p><p>n'y a aucun moyen de s'assurer que chaque changement était accompagné</p><p>d'une documentation de contrôle appropriée.</p><p>D. Lors du test d'un contrôle, il est conseillé de suivre la trace de l'élément contrôlé</p><p>jusqu'à la documentation de contrôle correspondante.</p><p>4. Voici quelques réponses possibles:</p><p>• L'auditeur IS peut vérifier quel compte a été utilisé récemment pour exécuter</p><p>une tâche d'administrateur système particulière.</p><p>• L'auditeur du SI peut vérifier s'il y avait un enregistrement de changement pour</p><p>tout changement de système sélectionné (c.-à-d. Redémarrage du serveur et</p><p>correction).</p><p>• L'auditeur du SI peut examiner les transactions pour voir si elles ont séparé les</p><p>tâches incompatibles.</p><p>5. A. Les rapports d'audit des SI précédents seront revus pour économiser le travail</p><p>redondant et pour référence lors de l'exécution des travaux d'audit des SI</p><p>particuliers.</p><p>B. La charte d'audit définit l'objet, l'autorité et la responsabilité des</p><p>activités d'audit des SI. Il jette également les bases des activités à</p><p>venir.</p><p>C. Impact du chiffre d' affaires des employés serait abordée lors</p><p>négocier les activités de suivi dans les domaines respectifs s'il y a un écart</p><p>à combler.</p><p>D. L' impact de la mise en œuvre d'un nouvel ERP serait pris en compte lors de la</p><p>négociation des activités de suivi dans les domaines respectifs s'il y a un</p><p>écart à combler.</p><p>6. A. Le rapport du vérificateur des services ne peut garantir la découverte d'inefficacités</p><p>de contrôle.</p><p>B. L' examen du contrat ne peut garantir la découverte d'inefficacités de</p><p>contrôle.</p><p>Manuel d’examen 27 e édition</p><p>126 | P a g e</p><p>By BlackHavok</p><p>C. La comparaison du rapport de prestation de services et de l'accord sur les</p><p>niveaux de service ne peut garantir la découverte d'inefficacités de</p><p>contrôle.</p><p>D. L'audit du SI doit effectuer un examen indépendant de la sauvegarde</p><p>et du traitement par lots. Tous les autres choix ne peuvent</p><p>garantir</p><p>découverte d'inefficacités de contrôle dans le processus.</p><p>7. A. Ce n'est pas un exemple de risque inhérent. Le risque inhérent est le niveau de</p><p>risque ou l'exposition sans tenir compte des mesures que la direction a prises ou</p><p>pourrait prendre (par exemple, la mise en œuvre de</p><p>contrôles).</p><p>B. Ce n'est pas un exemple de risque résiduel. Le risque résiduel est le risque</p><p>restant après que la direction a mis en œuvre une réponse au</p><p>risque.</p><p>C. Le risque de contrôle existe lorsqu'un risque ne peut pas être évité ou</p><p>détecté en temps opportun par le système de contrôles SI, ce qui</p><p>est décrit dans ce cas.</p><p>D. Ce n'est pas un exemple de risque important. Le risque important est tout</p><p>risque suffisamment important pour menacer de manière significative le</p><p>succès global de l'entreprise.</p><p>8. Réponse possible: le cadre COBIT peut être optimisé et adapté. Chaque processus</p><p>peut être classé comme entièrement traité, partiellement traité et non applicable</p><p>en comparant le cadre COBIT standard à la réalité de l'organisation. D'autres</p><p>cadres, normes et pratiques peuvent être inclus dans chaque processus respectif,</p><p>comme</p><p>le suggèrent les directives COBIT.</p><p>Chapitre 2:</p><p>Gouvernance et gestion des TI</p><p>Aperçu</p><p>Aperçu du contenu de l'examen du domaine 2</p><p>Objectifs d'apprentissage / énoncés de tâches</p><p>Ressources suggérées pour une étude plus approfondie</p><p>Questions d'auto-évaluation</p><p>Réponses aux questions d'auto-évaluation</p><p>Partie A: Gouvernance informatique</p><p>2.0 Introduction</p><p>2.1 Gouvernance informatique et stratégie informatique</p><p>2.2 Cadres informatiques</p><p>2.3 Normes, politiques et procédures informatiques</p><p>2.4 Structure organisationnelle</p><p>Manuel d’examen 27 e édition</p><p>127 | P a g e</p><p>By BlackHavok</p><p>2.5 Architecture d'entreprise</p><p>2.6 Gestion des risques d'entreprise</p><p>2.7 Modèles de maturité</p><p>2.8 Lois, règlements et normes de l'industrie affectant l'organisation</p><p>Partie B: Gestion informatique</p><p>2.9 Gestion des ressources informatiques</p><p>2.10 Acquisition et gestion des fournisseurs de services informatiques</p><p>2.11 Surveillance et rapports des performances informatiques</p><p>2.12 Assurance qualité et gestion de la qualité des TI</p><p>Étude de cas</p><p>Étude de cas</p><p>Réponses aux questions des études de cas</p><p>APERÇU</p><p>La gouvernance et la gestion des TI font partie intégrante de la gouvernance</p><p>d'entreprise. Une gouvernance et une gestion efficaces de l'informatique consistent en</p><p>des structures et des processus de leadership et d'organisation qui garantissent que</p><p>l'informatique de l'entreprise soutient et étend la stratégie et les objectifs de</p><p>l'entreprise. La connaissance de la gouvernance informatique est fondamentale pour le</p><p>travail de l'auditeur du SI, et elle constitue la base du développement de bonnes</p><p>pratiques de contrôle et de mécanismes de supervision et d'examen de la gestion.</p><p>Ce domaine représente 17% de l'examen CISA (environ 26 questions).</p><p>DOMAINE 2 EXAMEN DU CONTENU DU CONTENU</p><p>Partie A: Gouvernance informatique</p><p>1. Gouvernance informatique et stratégie informatique</p><p>2. Cadres informatiques</p><p>3. Normes, politiques et procédures informatiques</p><p>4. Structure organisationnelle</p><p>5. Architecture d'entreprise</p><p>6. Gestion des risques d'entreprise</p><p>7. Modèles de maturité</p><p>8. Lois, règlements et normes de l'industrie affectant l'organisation</p><p>Partie B. Gestion informatique</p><p>1. Gestion des ressources informatiques</p><p>2. Acquisition et gestion des fournisseurs de services informatiques</p><p>3. Surveillance et rapports des performances informatiques</p><p>Manuel d’examen 27 e édition</p><p>128 | P a g e</p><p>By BlackHavok</p><p>4. Assurance qualité et gestion de la qualité des TI</p><p>OBJECTIFS D'APPRENTISSAGE / ÉNONCÉS DE TÂCHES</p><p>Dans ce domaine, l'auditeur SI doit être capable de:</p><p>• Évaluer la stratégie informatique pour l'alignement avec les stratégies et les objectifs</p><p>de l'organisation. (T5)</p><p>• Évaluer l'efficacité de la structure de gouvernance informatique et de la structure</p><p>organisationnelle informatique. (T6)</p><p>• Évaluer la gestion par l'organisation des politiques et pratiques informatiques. (T7)</p><p>• Évaluer les politiques et pratiques informatiques de l'organisation pour la conformité</p><p>aux exigences réglementaires et légales. (T8)</p><p>• Évaluer la gestion des ressources informatiques et du portefeuille pour l'alignement</p><p>avec les stratégies et les objectifs de l'organisation. (T9)</p><p>• Évaluer les politiques et pratiques de gestion des risques de l'organisation. (T10)</p><p>• Évaluer la gestion informatique et la surveillance des contrôles. (T11)</p><p>• Évaluer le suivi et le reporting des indicateurs clés de performance informatique</p><p>(KPI). (T12)</p><p>• Évaluer si les processus de sélection des fournisseurs informatiques et de gestion des</p><p>contrats correspondent aux exigences commerciales. (T15)</p><p>• Évaluer si les pratiques de gestion des services informatiques correspondent aux</p><p>exigences de l'entreprise. (T20)</p><p>• Effectuer un examen périodique des systèmes d'information et de l'architecture</p><p>d'entreprise. (T21)</p><p>• Évaluer les politiques et pratiques de gouvernance des données. (T25)</p><p>• Évaluer le programme de sécurité de l'information pour déterminer son efficacité et son</p><p>alignement sur les stratégies et les objectifs de l'organisation. (T34)</p><p>• Évaluer les opportunités et menaces potentielles associées aux technologies,</p><p>réglementations et pratiques émergentes. (T39)</p><p>RESSOURCES SUGGÉRÉES POUR UNE ÉTUDE SUPPLÉMENTAIRE</p><p>Hales, Andrew; Le manuel définitif de la continuité des activités</p><p>Gestion, 3 e édition , John Wiley & Sons Inc., USA, 2011</p><p>Organisation internationale de normalisation (ISO), ISO / IEC 38500: 2015:</p><p>Technologies de l'information - Gouvernance de l'informatique pour</p><p>l'Organisation, Suisse, 2015</p><p>ISACA, COBIT 2019 , USA, 2018, www.isaca.org/cobit</p><p>ISACA, Getting Started with Governance of Enterprise IT (GEIT) , USA,</p><p>2015, http://www.isaca.org/Knowledge-</p><p>Center / Research / ResearchDeliverables / Pages / Getting-started-withgovernance-of-</p><p>enterprise-it.aspx</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/cobit</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/getting-started-with-governance-of-enterprise-it.aspx</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/getting-started-with-governance-of-enterprise-it.aspx</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/getting-started-with-governance-of-enterprise-it.aspx</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/getting-started-with-governance-of-enterprise-it.aspx</p><p>Manuel d’examen 27 e édition</p><p>129 | P a g e</p><p>By BlackHavok</p><p>ISACA, Getting Started with GEIT: A Primer for Implementing Governance of Enterprise</p><p>IT , USA, 2016</p><p>ISACA, The Risk IT Framework , États-Unis, 2011</p><p>ISACA, Livres blancs, http://www.isaca.org/KnowledgeCenter/Research/Pages/White-</p><p>Papers.aspx</p><p>QUESTIONS D'AUTOÉVALUATION</p><p>Les questions d'auto-évaluation CISA soutiennent le contenu de ce manuel et permettent</p><p>de comprendre le type et la structure des questions qui apparaissent généralement à</p><p>l'examen. Souvent, une question obligera le candidat à choisir</p><p>la réponse la PLUS probable ou la MEILLEURE parmi les options proposées. Veuillez</p><p>noter que ces questions ne sont pas des éléments d'examen réels ou retirés. Veuillez</p><p>consulter la section «À propos de ce manuel» au début de ce manuel pour plus</p><p>d'informations sur les questions de pratique.</p><p>2-1 Afin que la direction surveille efficacement la conformité des processus et des</p><p>applications, lequel des éléments suivants serait le PLUS idéal?</p><p>A. Un référentiel central de documents</p><p>B. Un système de gestion des connaissances</p><p>C. Un tableau de bord</p><p>D. Analyse comparative</p><p>2-2 Lequel des éléments suivants serait inclus dans un plan stratégique de SI?</p><p>A. Spécifications pour les achats de matériel planifiés</p><p>B. Analyse des objectifs commerciaux futurs</p><p>C. Dates cibles pour les projets de développement</p><p>D. Objectifs budgétaires annuels pour le service informatique</p><p>2-3 Lequel des éléments suivants MEILLEURE décrit le processus de planification</p><p>stratégique d'un service informatique?</p><p>R. Le service informatique aura des plans à court ou à long terme en fonction des</p><p>plans et objectifs plus larges de l'organisation.</p><p>B. Le plan stratégique du service informatique doit être axé sur le temps et les</p><p>projections, mais pas suffisamment détaillé pour aborder et aider à déterminer</p><p>les priorités pour répondre aux besoins de l'entreprise.</p><p>C. La planification à long terme du service informatique doit tenir compte des</p><p>objectifs organisationnels, des avancées technologiques et des exigences</p><p>réglementaires.</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/Knowledge-Center/Research/Pages/White-Papers.aspx</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/Knowledge-Center/Research/Pages/White-Papers.aspx</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/Knowledge-Center/Research/Pages/White-Papers.aspx</p><p>Manuel d’examen 27 e édition</p><p>130 | P a g e</p><p>By BlackHavok</p><p>D. La planification à court terme du service informatique n'a pas besoin d'être</p><p>intégrée dans les plans à court terme de l'organisation, car les progrès</p><p>technologiques conduiront les plans du service informatique beaucoup plus</p><p>rapidement que les plans organisationnels.</p><p>2-4 La PLUS importante responsabilité d'un agent de la sécurité des données dans une</p><p>organisation est:</p><p>A. recommander et surveiller les politiques de sécurité des données.</p><p>B. promouvoir la sensibilisation à la sécurité au sein de l'organisation.</p><p>C. établir des procédures pour les politiques de sécurité informatique.</p><p>D. administrer les contrôles d'accès physiques et logiques.</p><p>2-5 Qu'est-ce qui est considéré comme l' élément le PLUS critique pour la mise en</p><p>œuvre réussie d'un programme de sécurité de l'information?</p><p>A. Un cadre efficace de gestion des risques d'entreprise</p><p>B. engagement de la haute direction</p><p>C. Un processus budgétaire adéquat</p><p>D. Planification méticuleuse du programme</p><p>2-6 Un auditeur SI doit s'assurer que les mesures de performance de la gouvernance</p><p>informatique:</p><p>A. évaluer les activités des comités de supervision informatique.</p><p>B. fournir des pilotes informatiques stratégiques.</p><p>C. adhérer aux normes et définitions de rapports réglementaires.</p><p>D. évaluer le service informatique.</p><p>2-7 Laquelle des tâches suivantes peut être effectuée par la même personne dans un</p><p>centre informatique de traitement de l'information bien contrôlé?</p><p>A. Administration de la sécurité et gestion du changement</p><p>B. Opérations informatiques et développement de systèmes</p><p>C. Développement du système et gestion du changement</p><p>D. Développement et maintenance du système</p><p>2-8 Lequel des éléments suivants est le contrôle le PLUS critique sur l'administration de</p><p>la base de données (DBA)?</p><p>A. Approbation des activités du DBA</p><p>Manuel d’examen 27 e édition</p><p>131 | P a g e</p><p>By BlackHavok</p><p>B. Séparation des tâches en ce qui concerne l'octroi / la révocation des droits</p><p>d'accès</p><p>C. Examen des journaux d'accès et des activités</p><p>D. Examen de l'utilisation des outils de base de données</p><p>2-9 Lorsqu'une séparation complète des tâches ne peut pas être réalisée dans un</p><p>environnement de système en ligne, laquelle des fonctions suivantes doit être séparée</p><p>des autres?</p><p>A. Origine</p><p>B. Autorisation</p><p>C. Enregistrement</p><p>D. Correction</p><p>2-10 Dans une petite organisation où la séparation des tâches (SoD) n'est pas pratique,</p><p>un employé remplit la fonction d'opérateur informatique et de programmeur</p><p>d'applications. Lequel des contrôles suivants l'auditeur du SI devrait-il recommander?</p><p>A. Journalisation automatisée des modifications apportées aux bibliothèques de</p><p>développement</p><p>B. Personnel supplémentaire pour fournir le SoD</p><p>C. Procédures qui vérifient que seules les modifications de programme approuvées</p><p>sont mises en œuvre</p><p>D. Contrôles d'accès pour empêcher l'opérateur d'apporter des modifications au</p><p>programme</p><p>RÉPONSES AUX QUESTIONS D'AUTOÉVALUATION</p><p>2-1 A. Un référentiel central de documents fournit une grande quantité de données mais</p><p>pas nécessairement les informations spécifiques qui seraient utiles pour la surveillance</p><p>et la conformité.</p><p>B. Un système de gestion des connaissances fournit des informations précieuses</p><p>mais n'est généralement pas utilisé par la direction à des fins de</p><p>conformité.</p><p>C. Un tableau de bord fournit un ensemble d'informations pour illustrer la</p><p>conformité des processus, des applications et des éléments</p><p>configurables et maintient l'entreprise sur la bonne voie.</p><p>D. L' analyse comparative fournit des informations pour aider la direction à adapter</p><p>l'organisation, en temps opportun, en fonction des tendances et de</p><p>l'environnement.</p><p>2-2 A. Les spécifications pour les achats de matériel planifiés ne sont pas des éléments</p><p>stratégiques.</p><p>B. Les plans stratégiques des SI doivent répondre aux besoins de</p><p>l'entreprise et répondre aux objectifs commerciaux futurs. Les</p><p>achats de matériel peuvent être décrits, mais non spécifiés, et ni les</p><p>Manuel d’examen 27 e édition</p><p>132 | P a g e</p><p>By BlackHavok</p><p>objectifs budgétaires ni les projets de développement ne sont des</p><p>choix pertinents.</p><p>C. Les dates cibles pour les projets de développement ne sont pas des éléments</p><p>stratégiques.</p><p>D. Les objectifs budgétaires annuels pour le service informatique ne sont pas des</p><p>éléments stratégiques.</p><p>2-3 A. Généralement, le service informatique aura des plans à court ou à long terme</p><p>cohérents et intégrés aux plans de l'organisation.</p><p>B. Ces plans doivent être axés sur le temps et le projet et répondre aux plans plus</p><p>larges de l'organisation pour atteindre ses objectifs.</p><p>C. La planification à long terme du service informatique doit tenir compte</p><p>des objectifs organisationnels, des avancées technologiques et des</p><p>exigences réglementaires.</p><p>D. La planification à court terme du service informatique doit être intégrée dans</p><p>les plans à court terme de l'organisation pour mieux permettre au service</p><p>informatique d'être agile et réactif aux progrès technologiques nécessaires</p><p>qui s'alignent sur les buts et objectifs de l'organisation.</p><p>2-4 A. La responsabilité première d'un responsable de la sécurité des données</p><p>est de recommander et de surveiller les politiques de sécurité des</p><p>données.</p><p>B. Promouvoir la sensibilisation à la sécurité au sein de l'organisation est l'une des</p><p>responsabilités d'un responsable de la sécurité des données, mais ce n'est</p><p>pas aussi important que de recommander et de surveiller les politiques de</p><p>sécurité des données.</p><p>C. Le service informatique, et non le responsable de la sécurité des données, est</p><p>responsable de l'établissement des procédures pour les politiques de</p><p>sécurité informatique recommandées par le responsable de la sécurité des</p><p>données.</p><p>D. Le service informatique, et non le responsable de la sécurité des données, est</p><p>responsable de l'administration des contrôles d'accès physiques et</p><p>logiques.</p><p>2-5 A. Un cadre efficace de gestion des risques d'entreprise (GRE) est</p><p>n'est pas un facteur clé de succès d'un programme de sécurité de</p><p>l'information.</p><p>B. L' engagement de la haute direction constitue la base du succès de la</p><p>mise en œuvre d'un programme de sécurité de</p><p>l'information.</p><p>C. Bien qu'un processus efficace de budgétisation de la sécurité de l'information</p><p>contribue au succès, l'engagement de la haute direction est l'élément</p><p>clé.</p><p>D. La planification du programme est importante mais ne sera pas suffisante</p><p>sans</p><p>engagement de la haute direction.</p><p>Manuel d’examen 27 e édition</p><p>133 | P a g e</p><p>By BlackHavok</p><p>2-6 A. L' évaluation des</p><p>activités des conseils et des comités de surveillance est</p><p>un aspect important de la gouvernance et doit être mesurée.</p><p>B. La fourniture de moteurs informatiques stratégiques n'est pas pertinente pour</p><p>l'évaluation des mesures de performance de la gouvernance</p><p>informatique.</p><p>C. L' adhésion aux normes et définitions de reporting réglementaire est sans</p><p>pertinence pour l'évaluation des mesures de performance de la gouvernance</p><p>informatique.</p><p>D. L' évaluation du service informatique n'est pas pertinente pour l'évaluation des</p><p>mesures de performance de la gouvernance informatique.</p><p>2-7 A. Les rôles d'administration de la sécurité et de gestion du changement sont des</p><p>fonctions incompatibles. Le niveau des droits d'accès à l'administration de la sécurité</p><p>pourrait permettre de ne pas détecter les modifications.</p><p>B. Les opérations informatiques et le développement du système ne sont pas le</p><p>bon choix car cela permettrait à un opérateur d'exécuter un programme qu'il</p><p>/ elle a modifié.</p><p>C. La combinaison du développement du système et du contrôle des changements</p><p>permettrait aux modifications du programme de contourner les approbations</p><p>du contrôle des changements.</p><p>D. Il est courant que le développement et la maintenance du système</p><p>soient effectués par la même personne. Dans les deux cas, le</p><p>programmeur a besoin d'accéder au code source dans</p><p>l'environnement de développement mais ne doit pas être autorisé à</p><p>accéder dans l'environnement de production.</p><p>2-8 A. L'approbation des activités d'administration de base de données (DBA) n'empêche</p><p>pas la combinaison de fonctions conflictuelles. L'examen des journaux d'accès et des</p><p>activités est un contrôle de détection.</p><p>B. La séparation des tâches (SoD) empêchera la combinaison de fonctions</p><p>conflictuelles. Il s'agit d'un contrôle préventif, et c'est le contrôle le</p><p>plus critique sur DBA.</p><p>C. Si les activités du DBA sont incorrectement approuvées, l'examen des journaux</p><p>d'accès et des activités peut ne pas réduire le risque.</p><p>D. L' examen de l'utilisation des outils de base de données ne réduit pas le risque</p><p>car il s'agit uniquement d'un contrôle de détection et n'empêche pas la</p><p>combinaison de fonctions conflictuelles.</p><p>2-9 A. L' origine, conjointement avec l'enregistrement et la correction, ne permet pas</p><p>que la transaction soit autorisée pour traitement et validée dans le système</p><p>d'enregistrement.</p><p>B. L' autorisation doit être séparée de tous les aspects de la tenue des</p><p>registres (création, enregistrement et correction). Une telle</p><p>séparation améliore la capacité de détecter l'enregistrement des</p><p>transactions non autorisées.</p><p>C. L' enregistrement, conjointement avec l'origination et la correction, ne permet</p><p>pas que la transaction soit autorisée pour traitement et validée dans le</p><p>système d'enregistrement.</p><p>Manuel d’examen 27 e édition</p><p>134 | P a g e</p><p>By BlackHavok</p><p>D. La correction, conjointement avec l'origination et l'enregistrement, ne permet</p><p>pas que la transaction soit autorisée pour traitement et validée dans le</p><p>système d'enregistrement.</p><p>2-10 A. L'enregistrement des modifications dans les bibliothèques de développement ne</p><p>détecterait pas les modifications dans les bibliothèques de production.</p><p>B. Dans les petites organisations, il n'est généralement pas approprié de recruter</p><p>du personnel supplémentaire pour réaliser une stricte séparation des tâches</p><p>(SoD). L'auditeur du SI doit rechercher des alternatives.</p><p>C. L'auditeur du SI doit recommander des processus qui détectent les</p><p>modifications du code source et objet de la production, tels que les</p><p>comparaisons de code, afin que les modifications puissent être</p><p>examinées régulièrement par un tiers. Ce serait un processus de</p><p>contrôle compensatoire.</p><p>D. Les contrôles d'accès pour empêcher l'opérateur d'apporter des modifications</p><p>au programme nécessitent un tiers pour effectuer les modifications, ce qui</p><p>peut ne pas être pratique dans une petite organisation.</p><p>PARTIE A: GOUVERNANCE INFORMATIQUE</p><p>2.0 INTRODUCTION</p><p>La gouvernance informatique n'est pas une discipline isolée. Il fait plutôt partie intégrante</p><p>d'un programme complet de gouvernance d'entreprise / d'entreprise et partage les</p><p>objectifs de fournir une orientation stratégique, de s'assurer que les objectifs sont</p><p>atteints, de s'assurer que le risque est géré de manière appropriée et de vérifier que les</p><p>ressources sont utilisées de manière responsable. Le processus de gouvernance</p><p>informatique commence généralement par la définition d'objectifs pour l'informatique</p><p>d'une entreprise, puis une boucle continue est créée pour mesurer les performances,</p><p>comparer les objectifs et avancer ou changer de direction, selon le cas.</p><p>2.1 GOUVERNANCE ET STRATÉGIE INFORMATIQUES</p><p>Les questions éthiques, la prise de décision et les pratiques générales au sein d'une</p><p>organisation doivent être encouragées par des pratiques de gouvernance</p><p>d'entreprise. Ceux-ci constituent le système par lequel les entreprises sont dirigées et</p><p>contrôlées. Le conseil d'administration est responsable de la gouvernance de</p><p>l'entreprise. La gouvernance informatique se compose du leadership et des structures et</p><p>processus organisationnels qui garantissent que l'entreprise maintient et étend ses</p><p>stratégies et ses objectifs.</p><p>La gouvernance d'entreprise implique un ensemble de relations entre la direction d'une</p><p>entreprise, son conseil d'administration, ses actionnaires et d'autres parties</p><p>prenantes. La gouvernance d'entreprise fournit également la structure à travers laquelle</p><p>les objectifs de l'entreprise sont fixés, et les moyens d'atteindre ces objectifs et de</p><p>contrôler la performance sont déterminés. Le but de la gouvernance d'entreprise est</p><p>d'aider à créer un environnement de confiance, de transparence et de responsabilité</p><p>nécessaire pour favoriser l'investissement à long terme, la stabilité financière et</p><p>l'intégrité des entreprises, soutenant ainsi une croissance plus forte et des sociétés plus</p><p>Manuel d’examen 27 e édition</p><p>135 | P a g e</p><p>By BlackHavok</p><p>inclusives (OCDE, G20 / Principes de gouvernance d'entreprise du G20 / OCDE , Éditions</p><p>OCDE, Paris, 2015).</p><p>Un cadre de gouvernance d'entreprise est de plus en plus utilisé par les organismes</p><p>gouvernementaux à l'échelle mondiale dans le but de réduire la fréquence et l'impact des</p><p>informations financières inexactes et d'assurer une plus grande transparence et</p><p>responsabilité. Bon nombre de ces réglementations gouvernementales prévoient que la</p><p>haute direction approuve l'adéquation des contrôles internes et inclut une évaluation des</p><p>contrôles internes organisationnels dans les rapports financiers de l'organisation. La</p><p>figure 2.1 illustre les composants d'un cadre de gouvernance d'entreprise.</p><p>2.1.1 GOUVERNANCE D'ENTREPRISE DE L'INFORMATION ET DE LA</p><p>TECHNOLOGIE</p><p>La gouvernance d'entreprise de l'information et de la technologie (EGIT) implique un</p><p>système dans lequel toutes les parties prenantes, y compris le conseil d'administration,</p><p>la haute direction, les clients internes et les services tels que les finances, contribuent au</p><p>processus décisionnel informatique. EGIT est sous la responsabilité du conseil</p><p>d'administration et de la direction générale. En d'autres termes, EGIT concerne la gestion</p><p>des ressources informatiques au nom de toutes les parties prenantes (internes et</p><p>externes) qui s'attendent à ce que leurs intérêts soient respectés. Le conseil</p><p>d'administration responsable de cette gérance se tournera vers la direction pour mettre</p><p>en œuvre les systèmes et les contrôles informatiques nécessaires.</p><p>Le but d'EGIT est d'orienter les efforts informatiques pour s'assurer</p><p>que l'informatique</p><p>s'aligne et soutient les objectifs de l'entreprise et la réalisation des avantages promis. De</p><p>plus, l'informatique doit permettre à l'entreprise en exploitant les opportunités et en</p><p>maximisant les avantages. Les ressources informatiques doivent être utilisées de</p><p>manière responsable et les risques informatiques doivent être gérés de manière</p><p>appropriée.</p><p>Source: Fédération internationale des comptables, Enterpreise Governance: Getting the</p><p>Balance Right , USA, 2003, www.ifac.org</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.ifac.org/</p><p>Manuel d’examen 27 e édition</p><p>136 | P a g e</p><p>By BlackHavok</p><p>La mise en œuvre d'un cadre EGIT résout ces problèmes en mettant en œuvre des</p><p>pratiques qui fournissent une rétroaction sur la livraison de valeur et la gestion des</p><p>risques. Les processus généraux sont les suivants:</p><p>• Gestion des ressources informatiques - se concentre sur le maintien d'un</p><p>inventaire à jour de toutes les ressources informatiques et aborde le processus de</p><p>gestion des risques</p><p>• Mesure du rendement - se concentre sur la garantie que toutes les ressources</p><p>informatiques fonctionnent comme prévu pour apporter de la valeur à l'entreprise et</p><p>identifier les risques dès le début. Ce processus est basé sur des indicateurs de</p><p>performance optimisés pour la livraison de valeur et à partir desquels tout écart peut</p><p>entraîner des risques.</p><p>• Gestion de la conformité - se concentre sur la mise en œuvre de processus qui</p><p>répondent aux politiques juridiques et réglementaires et aux exigences de conformité</p><p>contractuelle</p><p>Le cadre COBIT d'ISACA, qui a été développé pour aider les entreprises à optimiser la</p><p>valeur des actifs informationnels, fait une distinction claire entre la gouvernance et la</p><p>gestion. Ces deux disciplines englobent différents types d'activités, nécessitent des</p><p>structures organisationnelles différentes et servent des objectifs différents. Le point de</p><p>vue de COBIT sur cette distinction clé entre gouvernance et gestion est:</p><p>• Gouvernance: garantit que les besoins, les conditions et les options des parties</p><p>prenantes sont évalués afin de déterminer des objectifs d'entreprise équilibrés et</p><p>convenus; l'orientation est établie par l'établissement de priorités et la prise de</p><p>décisions; la performance et la conformité sont contrôlées par rapport aux orientations</p><p>et objectifs convenus</p><p>• Gestion - Planifie, construit, exécute et surveille les activités conformément à la</p><p>direction définie par l'organe de gouvernance pour atteindre les objectifs de</p><p>l'entreprise</p><p>EGIT, l'un des domaines de la gouvernance d'entreprise, comprend l'ensemble des</p><p>questions abordées lors de l'examen de la manière dont les technologies de l'information</p><p>sont appliquées au sein de l'entreprise.</p><p>Une gouvernance d'entreprise efficace concentre l'expertise et l'expérience individuelles</p><p>et collectives dans des domaines spécifiques où elle peut être la plus efficace. Pendant</p><p>longtemps, l'informatique n'a été considérée que comme un catalyseur d'une stratégie</p><p>d'organisation; désormais, l'informatique est considérée comme faisant partie intégrante</p><p>de la stratégie. La haute direction convient que l'alignement stratégique entre les</p><p>objectifs informatiques et d'entreprise est devenu un facteur de réussite critique (CSF)</p><p>pour les organisations et ne peut pas être considéré simplement comme une gestion</p><p>informatique ou des opérations de spécialistes informatiques. Au contraire, l'informatique</p><p>doit recevoir les conseils et la supervision de la haute direction et être supervisée par le</p><p>conseil d'administration. L'élément clé d'EGIT est l'alignement de l'entreprise et de</p><p>l'informatique qui conduit à la réalisation de la valeur commerciale.</p><p>Fondamentalement, EGIT se préoccupe de deux problèmes: (1) que l'informatique</p><p>apporte de la valeur à l'entreprise et (2) que le risque informatique est géré. La première</p><p>est motivée par l'alignement stratégique de l'informatique sur l'entreprise. Le second est</p><p>motivé par l'intégration de la responsabilité dans l'entreprise.</p><p>Manuel d’examen 27 e édition</p><p>137 | P a g e</p><p>By BlackHavok</p><p>2.1.2 BONNES PRATIQUES POUR EGIT</p><p>Le but d'un système de gouvernance informatique est de satisfaire les besoins des parties</p><p>prenantes et de générer de la valeur à l'aide de l'informatique. Cette valeur est un</p><p>équilibre entre les avantages, les risques et les ressources.</p><p>EGIT est devenu significatif en raison d'un certain nombre de facteurs:</p><p>• Chefs d'entreprise et conseils d'administration exigeant un meilleur retour sur</p><p>investissement informatique (c'est-à-dire que l'informatique fournit ce dont</p><p>l'entreprise a besoin pour améliorer la valeur pour les parties prenantes)</p><p>• Préoccupation concernant le niveau généralement croissant des dépenses</p><p>informatiques</p><p>• La nécessité de respecter les exigences réglementaires pour les contrôles</p><p>informatiques dans des domaines tels que la confidentialité et les rapports financiers</p><p>(par exemple, la loi Sarbanes-Oxley des États-Unis, les accords de Bâle, le règlement</p><p>général sur la protection des données [RGPD] de l'Union européenne (UE)) et dans des</p><p>secteurs spécifiques tels que comme la finance, les produits pharmaceutiques et les</p><p>soins de santé</p><p>• La sélection des fournisseurs de services et la gestion de l'externalisation et de</p><p>l'acquisition de services (par exemple, le cloud computing)</p><p>• Initiatives de gouvernance informatique qui incluent l'adoption de cadres de contrôle</p><p>et de bonnes pratiques pour aider à surveiller et à améliorer les activités informatiques</p><p>critiques afin d'augmenter la valeur commerciale et de réduire les risques commerciaux</p><p>(par exemple, les risques émergents liés à la cybersécurité)</p><p>• La nécessité d'optimiser les coûts en suivant, dans la mesure du possible, des</p><p>approches standardisées plutôt que spécialement développées</p><p>• La maturité croissante et l'acceptation conséquente de cadres bien pensés</p><p>• La nécessité pour les entreprises d'évaluer leurs performances par rapport aux normes</p><p>généralement acceptées et à celles de leurs pairs (c.-à-d. L'analyse comparative)</p><p>Les processus d'évaluation, de direction et de suivi sont intégrés de bout en bout dans le</p><p>processus de gouvernance et se concentrent sur l'évaluation, la direction et le suivi des</p><p>éléments suivants:</p><p>• Conformité et performances</p><p>• Le système de contrôle interne</p><p>• Conformité aux exigences externes</p><p>2.1.3 RÔLE DE L'AUDIT DANS EGIT</p><p>Les entreprises sont régies par des bonnes pratiques généralement acceptées, garanties</p><p>par la mise en place de contrôles. Les bonnes pratiques guident les organisations pour</p><p>déterminer comment utiliser les ressources. Les résultats sont mesurés et communiqués,</p><p>fournissant une contribution à la révision cyclique et à la maintenance des contrôles.</p><p>De même, l'informatique est régie par de bonnes pratiques, qui garantissent que les</p><p>informations et les technologies connexes de l'organisation soutiennent les objectifs</p><p>commerciaux de l'entreprise (c'est-à-dire l'alignement stratégique), fournissent de la</p><p>valeur, utilisent les ressources de manière responsable, gèrent les risques de manière</p><p>appropriée et mesurent les performances.</p><p>Manuel d’examen 27 e édition</p><p>138 | P a g e</p><p>By BlackHavok</p><p>L'audit joue un rôle important dans la mise en œuvre réussie d'EGIT au sein d'une</p><p>organisation. L'audit est bien placé pour fournir des recommandations de pratiques</p><p>exemplaires à la haute direction afin d'améliorer la qualité et l'efficacité des initiatives de</p><p>gouvernance informatique mises en œuvre.</p><p>En tant qu'entité qui contrôle la conformité, l'audit aide à garantir la conformité aux</p><p>initiatives EGIT mises en œuvre au sein d'une organisation. Le suivi, l'analyse et</p><p>l'évaluation continus des paramètres associés aux initiatives EGIT nécessitent une vision</p><p>indépendante et équilibrée pour garantir</p><p>une évaluation qualitative qui facilite ensuite</p><p>l'amélioration qualitative des processus informatiques et des initiatives EGIT associées.</p><p>L'établissement de rapports sur EGIT implique un audit au plus haut niveau de</p><p>l'organisation et peut dépasser les frontières des divisions, des fonctions ou des</p><p>départements. L'auditeur du SI doit confirmer que le mandat énonce:</p><p>• Portée du travail, y compris une définition claire des domaines fonctionnels et des</p><p>questions à couvrir.</p><p>• Ligne hiérarchique à utiliser, où les problèmes EGIT sont identifiés au plus haut niveau</p><p>de l'organisation.</p><p>• Droit d'accès de l'auditeur SI à l'information à la fois au sein de l'organisation et auprès</p><p>de prestataires de services tiers.</p><p>Le statut organisationnel et les compétences de l'auditeur SI doivent être pris en compte</p><p>pour la pertinence de la nature de l'audit prévu. Lorsque cela s'avère insuffisant, le</p><p>recrutement d'un tiers indépendant pour gérer ou réaliser l'audit doit être envisagé par</p><p>un niveau de direction approprié.</p><p>Conformément au rôle défini de l'auditeur du SI, les aspects suivants liés à l'EGIT doivent</p><p>être évalués:</p><p>• Comment la gouvernance d'entreprise et EGIT sont alignés</p><p>• Alignement de la fonction informatique sur la mission, la vision, les valeurs, les</p><p>objectifs et les stratégies de l'organisation</p><p>• Atteinte des objectifs de performance (par exemple, efficacité et efficience) fixés par</p><p>l'entreprise et la fonction informatique</p><p>• Exigences juridiques, environnementales, de qualité de l'information, fiduciaires, de</p><p>sécurité et de confidentialité</p><p>• L'environnement de contrôle de l'organisation</p><p>• Le risque inhérent à l'environnement SI</p><p>• Investissements / dépenses informatiques</p><p>2.1.4 GOUVERNANCE DE LA SÉCURITÉ DE L'INFORMATION</p><p>L'orientation stratégique d'une entreprise est définie par ses buts et objectifs. La sécurité</p><p>de l'information doit soutenir les activités commerciales pour être utile à</p><p>l'organisation. La gouvernance de la sécurité de l'information est un sous-ensemble de</p><p>la gouvernance d'entreprise qui fournit une orientation stratégique pour les activités de</p><p>sécurité et garantit que les objectifs sont atteints. Il garantit que le risque de sécurité</p><p>des informations est géré de manière appropriée et que les ressources d'informations de</p><p>l'entreprise sont utilisées de manière responsable. Selon la publication spéciale 800-100</p><p>Manuel d’examen 27 e édition</p><p>139 | P a g e</p><p>By BlackHavok</p><p>du National Institute of Standards and Technology (NIST) des États-Unis, Information</p><p>Security Handbook: A Guide for Managers :</p><p>La gouvernance de la sécurité de l'information peut être définie comme le</p><p>processus d'établissement et de maintien d'un cadre et d'une structure et de</p><p>processus de gestion de soutien pour garantir que les stratégies de sécurité de</p><p>l'information sont alignées et soutiennent les objectifs commerciaux, sont</p><p>conformes aux lois et réglementations applicables en respectant les politiques et</p><p>les contrôles internes , et assurer l'attribution des responsabilités, le tout dans</p><p>un effort de gestion des risques.</p><p>Pour parvenir à une gouvernance efficace de la sécurité de l'information, la direction doit</p><p>établir et maintenir un cadre pour guider l'élaboration et la gestion d'un programme</p><p>complet de sécurité de l'information qui soutient les objectifs de l'entreprise.</p><p>Un cadre de gouvernance de la sécurité de l'information comprend généralement les</p><p>éléments suivants:</p><p>• Une stratégie de sécurité globale intrinsèquement liée aux objectifs commerciaux</p><p>• Gouverner les politiques de sécurité qui traitent de chaque aspect de la stratégie, des</p><p>contrôles et de la réglementation</p><p>• Un ensemble complet de normes pour chaque politique afin de garantir que les</p><p>procédures et directives sont conformes à la politique</p><p>• Une structure organisationnelle de sécurité efficace sans conflits d'intérêts</p><p>• Processus de surveillance institutionnalisés pour garantir la conformité et fournir un</p><p>retour d'information sur l'efficacité</p><p>Ce cadre fournit la base pour le développement d'un programme de sécurité de</p><p>l'information rentable qui soutient les objectifs commerciaux de l'organisation. L'objectif</p><p>du programme de sécurité de l'information est un ensemble d'activités qui garantit que</p><p>les actifs informationnels bénéficient d'un niveau de protection proportionné à leur valeur</p><p>ou au risque que leur compromis représente pour l'organisation.</p><p>Gouvernance efficace de la sécurité de l'information</p><p>En raison de son rôle de premier plan au sein des processus de gouvernance</p><p>informatique, la gouvernance de la sécurité de l'information a atteint l'un des plus hauts</p><p>niveaux d'activité ciblée avec des facteurs de valeur spécifiques: confidentialité, intégrité</p><p>et disponibilité des informations; continuité des services; et la protection des actifs</p><p>informationnels. La sécurité est devenue un problème de gouvernance important en</p><p>raison de la mise en réseau mondiale, de l'innovation et des changements technologiques</p><p>rapides, de la dépendance accrue à l'égard des TI, de la sophistication accrue des agents</p><p>de menace et des exploits, et d'une extension de l'entreprise au-delà de ses frontières</p><p>traditionnelles. Par conséquent, la sécurité des informations est une partie importante et</p><p>intégrante de la gouvernance informatique. La négligence à cet égard diminuera la</p><p>capacité d'une organisation à atténuer les risques et à tirer parti des opportunités</p><p>informatiques pour l'amélioration des processus métier.</p><p>Les conseils d'administration et les directeurs généraux (PDG) du monde entier sont</p><p>responsables et responsables de la gouvernance de la sécurité de l'information. Le PDG</p><p>Manuel d’examen 27 e édition</p><p>140 | P a g e</p><p>By BlackHavok</p><p>est responsable devant le conseil d'administration de la gouvernance de la sécurité de</p><p>l'information et responsable de sa décharge par le biais de la direction générale et de</p><p>l'organisation et des ressources dont il a la charge.</p><p>Les membres de la haute direction qui approuvent les politiques de sécurité devraient</p><p>provenir de diverses opérations et fonctions du personnel au sein de l'entreprise afin de</p><p>garantir une représentation équitable de l'entreprise dans son ensemble. Ceci afin de</p><p>minimiser tout potentiel potentiel vers une priorité commerciale spécifique ou des frais</p><p>généraux technologiques ou des problèmes de sécurité. En règle générale, le comité du</p><p>conseil d'administration approuvant les politiques de sécurité peut comprendre des</p><p>administrateurs, le chef de la direction, le chef de l'exploitation (COO), le chef des</p><p>finances (CFO), le chef des risques (CRO), le chef de l'information (CIO), le chef de la</p><p>technologie (CTO), le chef des ressources humaines (RH), le chef de l'audit, le chef de la</p><p>conformité (CCO) et juridique. L'approbation de la politique devrait, dans la mesure du</p><p>possible, être fondée sur un consensus.</p><p>L'information est une ressource clé pour toutes les entreprises, et à partir du moment où</p><p>l'information est créée ou reçue jusqu'au moment où elle est détruite, la technologie joue</p><p>un rôle important. L'informatique est de plus en plus avancée et est devenue</p><p>omniprésente dans les entreprises et dans les environnements sociaux, publics et</p><p>commerciaux. En conséquence, les entreprises et leurs dirigeants s'efforcent d'accomplir</p><p>les tâches suivantes:</p><p>• Maintenir des informations de haute qualité pour soutenir les décisions</p><p>commerciales</p><p>• Générer de la valeur commerciale à partir d'investissements informatiques (c.-à-d.</p><p>Atteindre des objectifs stratégiques et réaliser des avantages commerciaux grâce à</p><p>une utilisation efficace et innovante de l'informatique)</p><p>• Atteindre l'excellence opérationnelle grâce à l'application fiable et efficace de la</p><p>technologie</p><p>• Maintenir le risque informatique à un niveau acceptable</p><p>• Optimiser le coût des services</p><p>Cadres, normes et lignes directrices sur la sécurité des</p><p>actifs informationnels</p><p>5.1.1 Audit du cadre de gestion de la sécurité de l'information</p><p>Examen des politiques, procédures et normes écrites</p><p>Sensibilisation à la sécurité formelle et formation</p><p>Propriété des données</p><p>Propriétaires de données</p><p>Dépositaires de données</p><p>Administrateur de la sécurité</p><p>Nouveaux utilisateurs informatiques</p><p>Utilisateurs de données</p><p>Autorisations documentées</p><p>Accès des employés licenciés</p><p>Bases de sécurité</p><p>Normes d'accès</p><p>5.2 Principes de confidentialité</p><p>5.2.1 Considérations d'audit pour la confidentialité</p><p>5.3 Accès physique et contrôles environnementaux</p><p>5.3.1 Contrôles de gestion, techniques et physiques</p><p>5.3.2 Surveillance et efficacité du contrôle</p><p>5.3.3 Expositions et contrôles environnementaux</p><p>Problèmes d'équipement et expositions liés à l'environnement</p><p>Contrôles des expositions environnementales</p><p>5.3.4 Expositions et contrôles d'accès physique</p><p>Problèmes d'accès physique et expositions</p><p>Contrôles d'accès physiques</p><p>Audit de l'accès physique</p><p>5.4 Gestion des identités et des accès</p><p>5.4.1 Autorisation d'accès au système</p><p>5.4.2 Contrôles d'accès obligatoires et discrétionnaires</p><p>5.4.3 Sécurité de l'information et parties externes Identification des</p><p>risques liés aux parties externes</p><p>Gestion de la sécurité lors de la négociation avec les clients</p><p>Sécurité des ressources humaines et tierces parties</p><p>5.4.4 Accès logique</p><p>Expositions d'accès logique</p><p>Familiarisation avec l'environnement informatique de l'entreprise</p><p>Chemins d'accès logique</p><p>5.4.5 Logiciel de contrôle d'accès</p><p>5.4.6 Identification et authentification</p><p>Manuel d’examen 27 e édition</p><p>18 | P a g e</p><p>By BlackHavok</p><p>5.4.7 ID de connexion et mots de passe</p><p>Caractéristiques des mots de passe</p><p>Identifiant de connexion et bonnes pratiques de mot de passe</p><p>Dispositifs à jeton, mots de passe à usage unique</p><p>5.4.8 Biométrie</p><p>Biométrie physiquement orientée</p><p>Biométrie comportementale</p><p>Gestion de la biométrie</p><p>5.4.9 Authentification unique</p><p>5.4.10 Problèmes d'autorisation</p><p>Listes de contrôle d'accès</p><p>Administration de la sécurité de l'accès logique</p><p>Sécurité d'accès à distance</p><p>5.4.11 Journalisation d'audit dans la surveillance de l'accès au système</p><p>Droits d'accès aux journaux système</p><p>Outils d'analyse de piste d'audit (journaux)</p><p>Considérations sur les coûts</p><p>5.4.12 Conventions de dénomination pour les contrôles d'accès logiques</p><p>5.4.13 Gestion fédérée des identités</p><p>5.4.14 Audit de l'accès logique</p><p>Familiarisation avec l'environnement informatique</p><p>Évaluer et documenter les chemins d'accès</p><p>Entretien avec le personnel des systèmes</p><p>Examen des rapports du logiciel de contrôle d'accès</p><p>Examen du manuel d'exploitation des systèmes d'application</p><p>5.4.15 Fuite des données</p><p>Prévention des fuites de données</p><p>5.5 Sécurité du réseau et des points finaux</p><p>5.5.1 Infrastructure réseau IS</p><p>5.5.2 Architectures de réseau d'entreprise</p><p>5.5.3 Types de réseaux</p><p>5.5.4 Services réseau</p><p>5.5.5 Normes et protocoles réseau</p><p>5.5.6 Architecture OSI</p><p>5.5.7 Application du modèle OSI dans les architectures réseau</p><p>Réseau local</p><p>Réseau à grande distance</p><p>Réseaux privés virtuels</p><p>TCP / IP et sa relation avec le modèle de référence OSI</p><p>Administration et contrôle du réseau</p><p>Mesures de performances du réseau</p><p>Applications dans un environnement en réseau</p><p>Informatique à la demande</p><p>5.5.8 Sécurité de l'infrastructure réseau</p><p>Sécurité client-serveur</p><p>Contrôles de sécurité Internet</p><p>Manuel d’examen 27 e édition</p><p>19 | P a g e</p><p>By BlackHavok</p><p>Systèmes de sécurité pare-feu</p><p>Développement et autorisation des changements de réseau</p><p>5.5.9 Shadow IT</p><p>5.6 Classification des données 5.7 Cryptage des données et techniques liées au</p><p>cryptage</p><p>5.7.1 Éléments clés des systèmes de cryptage</p><p>5.7.2 Systèmes cryptographiques à clé symétrique</p><p>5.7.3 Systèmes cryptographiques à clé publique (asymétrique)</p><p>Cryptographie quantique</p><p>Signatures numériques</p><p>Enveloppe numérique</p><p>5.7.4 Applications des systèmes cryptographiques</p><p>Sécurité de la couche de transport</p><p>Sécurité IP</p><p>Enveloppe de protection</p><p>Extensions de messagerie Internet polyvalentes sécurisées (S / MIME)</p><p>5.8 Infrastructure à clé publique 5.9 Technologies de communication Web</p><p>5.9.1 Voix sur IP</p><p>Problèmes de sécurité VoIP</p><p>5.9.2 Échange de succursales privées</p><p>Risque PBX</p><p>Audit PBX</p><p>5.9.3 Problèmes de sécurité des e-mails</p><p>5.9.4 Informatique poste à poste</p><p>5.9.5 Messagerie instantanée</p><p>5.9.6 Médias sociaux</p><p>5.9.7 Cloud Computing</p><p>5.10 Environnements virtualisés</p><p>5.10.1 Domaines de risques clés</p><p>5.10.2 Commandes typiques</p><p>5.11 Appareils mobiles, sans fil et Internet des objets</p><p>5.11.1 Informatique mobile Apportez</p><p>votre propre appareil</p><p>Accès Internet sur les appareils mobiles</p><p>5.11.2 Réseaux sans fil</p><p>Réseaux étendus sans fil</p><p>Réseaux locaux sans fil</p><p>Accès protégé WEP et Wi-Fi (WPA / WPA2)</p><p>Réseaux personnels sans fil</p><p>Réseaux ad hoc</p><p>Infrastructure Internet mondiale publique</p><p>Menaces de sécurité sans fil et atténuation des risques</p><p>5.11.3 Internet des objets</p><p>Partie B: Gestion des événements de sécurité</p><p>Manuel d’examen 27 e édition</p><p>20 | P a g e</p><p>By BlackHavok</p><p>5.12 Formation et programmes de sensibilisation à la sécurité 5.13 Méthodes et</p><p>techniques d'attaque des systèmes d'information</p><p>5.13.1 Facteurs de risque de fraude</p><p>5.13.2 Problèmes de criminalité informatique et expositions</p><p>5.13.3 Menaces Internet et sécurité</p><p>Menaces de sécurité réseau</p><p>Attaques passives</p><p>Attaques actives</p><p>Facteurs causaux des attaques Internet</p><p>5.13.4 Malware</p><p>Contrôles de virus et de vers</p><p>Contrôles procéduraux de gestion</p><p>Contrôles techniques</p><p>Stratégies d'implémentation de logiciels anti-malware Attaques</p><p>ciblées</p><p>5.14 Outils et techniques de test de sécurité</p><p>5.14.1 Techniques de test pour les contrôles de sécurité courants</p><p>Cartes et clés de terminal</p><p>Identification du terminal</p><p>ID de connexion et mots de passe</p><p>Contrôle des ressources de production</p><p>Journalisation et rapport des violations d'accès à l'ordinateur</p><p>Contournement des contrôles de sécurité et de compensation</p><p>5.14.2 Tests de pénétration du réseau</p><p>5.14.3 Intelligence des menaces</p><p>5.15 Outils de surveillance de la sécurité et techniques</p><p>5.15.1 Systèmes de détection d'intrusion</p><p>Caractéristiques</p><p>Limites</p><p>Politique</p><p>5.15.2 Systèmes de prévention des intrusions</p><p>Honeypots et Honeynets</p><p>Revues d'évaluation complète du réseau</p><p>5.15.3 Informations de sécurité et gestion des événements</p><p>5.16 Gestion de la réponse aux incidents 5.17 Collecte des preuves et</p><p>criminalistique</p><p>5.17.1 Informatique légale</p><p>Protection des données</p><p>L'acquisition des données</p><p>Imagerie</p><p>Extraction</p><p>Interrogatoire</p><p>Ingestion / Normalisation</p><p>Rapports</p><p>5.17.2 Protection des éléments de preuve et chaîne de détention</p><p>Manuel d’examen 27 e édition</p><p>21 | P a g e</p><p>By BlackHavok</p><p>Étude de cas</p><p>Réponse aux questions de l'étude de cas</p><p>Annexe A: Informations générales sur l'examen CISA</p><p>Annexe B: Pratique d'emploi CISA 2019</p><p>Glossaire</p><p>Acronymes</p><p>Indice</p><p>À propos de ce manuel</p><p>APERÇU</p><p>Le CISA® Review Manual 27 e édition est destiné à aider les candidats à se préparer à</p><p>l'examen CISA. Ce manuel est une source de préparation à l'examen et n'est pas la seule</p><p>source. Il ne s'agit pas d'une collection complète de toutes les informations et</p><p>de l'expérience nécessaires pour réussir l'examen. Aucune publication n'offre une</p><p>telle couverture et détails. Si les candidats lisent le manuel et rencontrent un sujet</p><p>nouveau pour eux ou dans lequel ils estiment que leurs connaissances et leur expérience</p><p>sont limitées, ils doivent rechercher des références supplémentaires. L'examen CISA est</p><p>une combinaison de questions qui testent les connaissances techniques et pratiques des</p><p>candidats et leur capacité à appliquer leurs connaissances basées sur l'expérience dans</p><p>des situations données.</p><p>Le CISA® Review Manual 27 e édition fournit</p><p>et technologies informatiques</p><p>• Se conformer aux lois, réglementations, accords contractuels et politiques en constante</p><p>augmentation</p><p>Jusqu'à récemment, les efforts de protection se sont concentrés sur les systèmes</p><p>d'information qui collectent, traitent et stockent les informations plutôt que sur les</p><p>informations elles-mêmes. Cette approche est devenue trop étroite pour assurer la</p><p>sécurité globale nécessaire. La sécurité des informations considère que les données, ainsi</p><p>que les informations et les connaissances qui en découlent, doivent être protégées de</p><p>manière adéquate, quel que soit l'endroit où elles sont créées, reçues, traitées,</p><p>transportées ou stockées et éliminées. Cela s'applique en particulier aux situations dans</p><p>lesquelles les données sont partagées facilement sur Internet via des blogs, des flux</p><p>d'actualités, des réseaux peer-to-peer ou sociaux, ou des sites Web. Ainsi, la portée des</p><p>efforts de protection devrait englober non seulement le processus qui génère les</p><p>informations, mais également la préservation continue des informations générées à la</p><p>suite des processus contrôlés.</p><p>Certaines des grandes tendances que connaît actuellement le commerce mondial</p><p>comprennent l'externalisation des processus internes et l'utilisation accrue du cloud</p><p>Manuel d’examen 27 e édition</p><p>141 | P a g e</p><p>By BlackHavok</p><p>computing. La couverture de la sécurité de l'information s'étend au-delà de la frontière</p><p>géographique des locaux de l'entreprise dans les modèles de délocalisation et de</p><p>délocalisation adoptés par les organisations.</p><p>Les résultats de base d'une gouvernance efficace de la sécurité de l'information</p><p>comprennent l'alignement stratégique, la gestion des risques, la conformité et la livraison</p><p>de valeur. Ces résultats sont rendus possibles grâce au développement de:</p><p>• Mesure du rendement —Mesure, surveillance et rapports sur les processus de</p><p>sécurité de l'information pour s'assurer que des objectifs spécifiques, mesurables,</p><p>atteignables, réalistes et opportuns (SMART) sont atteints. Les étapes suivantes</p><p>doivent être accomplies pour réaliser la mesure du rendement:</p><p>- Un ensemble de paramètres définis, convenus et significatifs correctement alignés</p><p>sur les objectifs stratégiques</p><p>- Un processus de mesure qui aidera à identifier les lacunes et à fournir une rétroaction</p><p>sur les progrès réalisés dans la résolution des problèmes</p><p>- Assurance indépendante fournie par des évaluations et audits externes</p><p>• Gestion des ressources - Utilisation efficace et efficiente des connaissances et des</p><p>infrastructures en matière de sécurité de l'information. Pour réaliser la gestion des</p><p>ressources, les éléments suivants doivent être pris en compte:</p><p>- Veiller à ce que les connaissances soient saisies et disponibles.</p><p>- Documenter les processus et les pratiques de sécurité.</p><p>- Développer des architectures de sécurité pour définir et utiliser efficacement les</p><p>ressources d'infrastructure.</p><p>• Intégration des processus: accent mis sur l'intégration des processus d'assurance</p><p>de gestion d'une organisation pour la sécurité. Les activités de sécurité sont parfois</p><p>fragmentées et segmentées en silos avec différentes structures de rapport. Cela rend</p><p>difficile, voire impossible, leur intégration transparente. L'intégration des processus</p><p>permet d'améliorer la sécurité globale et l'efficacité opérationnelle.</p><p>2.1.5 STRATÉGIE DES SYSTÈMES D'INFORMATION</p><p>Les systèmes d'information sont essentiels au soutien, à la durabilité et à la croissance</p><p>des entreprises. Auparavant, les conseils d'administration et les cadres supérieurs</p><p>pouvaient minimiser leur implication dans la direction et le développement de la stratégie</p><p>SI, laissant la plupart des décisions à la direction fonctionnelle. Cependant, cette</p><p>approche n'est plus acceptable ou possible avec une dépendance accrue ou totale à</p><p>l'égard des SI pour les opérations quotidiennes et une croissance réussie. Parallèlement</p><p>à la dépendance quasi complète du SI pour les activités fonctionnelles et opérationnelles,</p><p>les organisations sont également confrontées à de nombreuses menaces internes et</p><p>externes allant de l'utilisation abusive des ressources du SI à la cybercriminalité, à la</p><p>fraude et aux erreurs et omissions. Les processus stratégiques des SI font partie</p><p>intégrante de la structure de gouvernance de l'organisation pour fournir une assurance</p><p>raisonnable que les buts et objectifs commerciaux existants et émergents seront atteints</p><p>en tant que facilitateurs essentiels pour l'amélioration de l'avantage concurrentiel.</p><p>2.1.6 PLANIFICATION STRATÉGIQUE</p><p>La planification stratégique d'un point de vue SI se rapporte à la direction à long terme</p><p>qu'une entreprise veut prendre en tirant parti de l'informatique pour améliorer ses</p><p>processus d'affaires. Sous la responsabilité de la haute direction, les facteurs à considérer</p><p>Manuel d’examen 27 e édition</p><p>142 | P a g e</p><p>By BlackHavok</p><p>comprennent l'identification de solutions informatiques rentables pour traiter les</p><p>problèmes et les opportunités auxquels l'entreprise est confrontée et élaborer des plans</p><p>d'action pour identifier et acquérir les ressources nécessaires. Lorsqu'elles élaborent des</p><p>plans stratégiques, généralement d'une durée de trois à cinq ans, les entreprises doivent</p><p>veiller à ce que les plans soient entièrement alignés et cohérents avec les buts et objectifs</p><p>généraux de l'organisation. La direction du département informatique, ainsi que le comité</p><p>de pilotage informatique et le comité stratégique (qui fournit une contribution stratégique</p><p>précieuse liée à la valeur pour les parties prenantes), jouent un rôle clé dans l'élaboration</p><p>et la mise en œuvre des plans.</p><p>Une planification stratégique efficace des SI implique la prise en compte des besoins de</p><p>l'entreprise en matière de systèmes d'information nouveaux et révisés et de la capacité</p><p>de l'organisation informatique à fournir de nouvelles fonctionnalités par le biais de projets</p><p>bien gérés. La détermination des exigences pour les systèmes d'information nouveaux</p><p>et révisés implique une prise en compte systématique des intentions stratégiques de</p><p>l'entreprise , de la manière dont celles-ci se traduisent en objectifs spécifiques et des</p><p>initiatives commerciales, et des capacités informatiques qui seront nécessaires pour</p><p>soutenir ces objectifs et initiatives.</p><p>Lors de l'évaluation des capacités informatiques, le portefeuille du système existant doit</p><p>être examiné en termes d'ajustement fonctionnel, de coût et de risque. L'évaluation de</p><p>la capacité du service informatique à fournir implique un examen de l'infrastructure</p><p>informatique technique et des processus de support clés d'une organisation (par</p><p>exemple, la gestion de projet, les pratiques de développement et de maintenance des</p><p>logiciels, l'administration de la sécurité et les services d'assistance) pour déterminer si</p><p>une expansion ou une amélioration est nécessaire. Il est important que le processus de</p><p>planification stratégique englobe la livraison de nouveaux systèmes et technologies et</p><p>envisage le retour sur investissement (ROI) sur l'informatique existante et le</p><p>déclassement des anciens systèmes. Le plan informatique stratégique doit équilibrer le</p><p>coût de la maintenance des systèmes existants et le coût des nouvelles initiatives ou des</p><p>nouveaux systèmes pour soutenir les stratégies commerciales.</p><p>Les auditeurs des SI doivent prêter toute leur attention à l'importance de la planification</p><p>stratégique des SI, en tenant compte des pratiques de contrôle de gestion. Les plans</p><p>stratégiques informatiques doivent être synchronisés avec la stratégie commerciale</p><p>globale. Les auditeurs des SI doivent se concentrer sur l'importance d'un processus de</p><p>planification stratégique ou d'un cadre de planification. Une attention particulière devrait</p><p>être accordée à la nécessité d'évaluer la manière dont les plans opérationnels, tactiques</p><p>ou de développement commercial</p><p>les connaissances et les activités pour les</p><p>fonctions dans les domaines de contenu CISA et</p><p>décrit dans le Guide d’information des candidats à l’examen</p><p>ISACA ( www.isaca.org/examguide ) :</p><p>Remarque: Chaque chapitre passe en revue les connaissances que les candidats CISA</p><p>sont censés comprendre pour soutenir et accomplir les tâches qu'ils devraient être en</p><p>mesure d'accomplir dans un domaine de pratique professionnelle. Ces tâches</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/examguide</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/examguide</p><p>Manuel d’examen 27 e édition</p><p>22 | P a g e</p><p>By BlackHavok</p><p>constituent les pratiques actuelles de l'auditeur SI. Les pratiques d'emploi détaillées</p><p>de la CISA peuvent être consultées sur www.isaca.org/cisajobpractice . L'examen</p><p>CISA est basé sur cette pratique professionnelle.</p><p>Le manuel a été élaboré et organisé pour aider les candidats dans leur étude. Les</p><p>candidats au CISA devraient évaluer leurs forces, sur la base de leurs connaissances et</p><p>de leur expérience, dans chacun de ces domaines.</p><p>FORMAT DE CE MANUEL</p><p>Chaque chapitre du Manuel de révision de la CISA suit le même format:</p><p>• La section d'aperçu fournit un résumé de l'objectif du chapitre, ainsi que:</p><p>- Le plan du contenu de l'examen de domaine</p><p>- Énoncés de tâches connexes</p><p>- Ressources suggérées pour une étude plus approfondie</p><p>- Questions d'auto-évaluation • La section de contenu comprend:</p><p>- Contenu pour prendre en charge les différentes zones du plan du contenu de</p><p>l'examen</p><p>- Définition des termes couramment rencontrés à l'examen</p><p>- Etudes de cas pour renforcer l'apprentissage de chaque domaine</p><p>Le matériel inclus est pertinent pour les connaissances et / ou la compréhension des</p><p>candidats CISA lors de la préparation à l'examen de certification CISA.</p><p>La structure du contenu comprend la numérotation pour identifier le chapitre où se trouve</p><p>un sujet et les en-têtes des niveaux suivants de sujets abordés dans le chapitre (par</p><p>exemple, 2.6.3 Méthodes d'analyse des risques, est un sous-thème de la gestion des</p><p>risques d'entreprise dans le chapitre 2 ) . Le contenu pertinent d'un sous-thème est mis</p><p>en gras pour une attention particulière.</p><p>Comprendre le contenu de ce manuel est une mesure des connaissances, des forces et</p><p>des faiblesses d'un candidat et une indication des domaines dans lesquels une étude</p><p>supplémentaire ou ciblée est nécessaire. Cependant, les documents écrits ne remplacent</p><p>pas l'expérience. Les questions de l'examen CISA permettront de tester</p><p>l'application pratique de ces connaissances par le candidat.</p><p>Bien que tous les efforts soient faits pour traiter la majorité des informations que les</p><p>candidats sont censés connaître, toutes les questions d'examen ne sont pas</p><p>nécessairement traitées dans le manuel, et les candidats devront s'appuyer sur leur</p><p>expérience professionnelle pour fournir la meilleure réponse.</p><p>Tout au long du manuel, le mot «association» fait référence à l'ISACA. Veuillez également</p><p>noter que le manuel a été rédigé en anglais américain standard.</p><p>Remarque: Le Manuel de révision CISA® 27 e édition est un document évolutif . À</p><p>mesure que la technologie progresse, le manuel sera mis à jour pour refléter ces</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/cisajobpractice</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/cisajobpractice</p><p>Manuel d’examen 27 e édition</p><p>23 | P a g e</p><p>By BlackHavok</p><p>avancées. D'autres mises à jour de ce document avant la date de l'examen peuvent</p><p>être consultées sur www.isaca.org/studyaidupdates .</p><p>SE PRÉPARER À L'EXAMEN CISA</p><p>L'examen CISA évalue les connaissances pratiques d'un candidat, y compris son</p><p>expérience et son application, dans les domaines de la pratique professionnelle décrits</p><p>dans ce manuel d'examen. L'ISACA recommande que le candidat à l'examen recherche</p><p>plusieurs ressources pour se préparer à l'examen, y compris ce manuel, le CISA®</p><p>Questions, Answers & Explanation Manual 12 e édition ou base de données, et des</p><p>publications externes. Cette section couvrira quelques conseils pour étudier pour</p><p>l'examen et la meilleure façon d'utiliser ce manuel conjointement avec d'autres</p><p>ressources.</p><p>COMMENCER</p><p>Il est essentiel d'avoir suffisamment de temps pour se préparer à l'examen CISA. La</p><p>plupart des candidats passent entre trois et six mois à étudier avant de passer</p><p>l'examen. Assurez-vous de réserver une semaine pour étudier chaque semaine, que vous</p><p>souhaiterez peut-être augmenter à mesure que votre date d'examen approche.</p><p>L'élaboration d'un plan pour vos efforts d'étude peut également vous aider à utiliser le</p><p>plus efficacement possible votre temps avant de passer l'examen.</p><p>Auto-évaluation CISA</p><p>Afin d'étudier efficacement pour l'examen CISA, vous devez d'abord identifier les</p><p>domaines de pratique professionnelle dans lesquels vous êtes faible. Un bon point de</p><p>départ est l' auto-évaluation CISA , disponible</p><p>sur https://www.isaca.org/Certification/CISACertified-Information-Systems-</p><p>Auditor/Prepare-for-the-Exam/Pages/CISASelf-Assessment.aspx .</p><p>Cet exemple d'examen de 50 questions est basé sur la distribution des questions de</p><p>l'examen CISA et peut vous fournir une évaluation de haut niveau de vos domaines de</p><p>besoin. Lorsque vous aurez terminé l'auto-évaluation, vous recevrez un résumé de vos</p><p>résultats dans chacun des cinq domaines de pratique professionnelle . Vous pouvez</p><p>utiliser ce résumé pour passer en revue les énoncés de tâches et de connaissances dans</p><p>la pratique professionnelle et vous faire une idée de l'endroit où vous devriez</p><p>principalement concentrer vos efforts d'étude.</p><p>UTILISATION DU MANUEL D'EXAMEN CISA</p><p>Le Manuel de révision CISA est divisé en cinq chapitres, chacun correspondant à un</p><p>domaine dans la pratique professionnelle CISA. Bien que le manuel n'inclue pas tous les</p><p>concepts qui pourraient être testés à l'examen CISA, il couvre un large éventail de</p><p>connaissances qui fournit une base solide pour le candidat à l'examen. Le manuel est</p><p>une source de préparation à l'examen et ne doit pas être considéré comme la seule</p><p>source ni considéré comme une collection complète de toutes les informations et de</p><p>l'expérience nécessaires pour réussir l'examen.</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/studyaidupdates</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/studyaidupdates</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=https://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Prepare-for-the-Exam/Pages/CISA-Self-Assessment.aspx</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=https://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Prepare-for-the-Exam/Pages/CISA-Self-Assessment.aspx</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=https://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Prepare-for-the-Exam/Pages/CISA-Self-Assessment.aspx</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=https://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Prepare-for-the-Exam/Pages/CISA-Self-Assessment.aspx</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=https://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Prepare-for-the-Exam/Pages/CISA-Self-Assessment.aspx</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=https://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Prepare-for-the-Exam/Pages/CISA-Self-Assessment.aspx</p><p>Manuel d’examen 27 e édition</p><p>24 | P a g e</p><p>By BlackHavok</p><p>CARACTÉRISTIQUES MANUELLES</p><p>Le Manuel de révision CISA comprend plusieurs fonctionnalités pour vous aider à</p><p>naviguer dans les pratiques</p><p>de travail CISA et améliorer votre apprentissage et la</p><p>rétention du matériel.</p><p>Aperçu</p><p>L'aperçu fournit le contexte du domaine, y compris les zones de contour du contenu de</p><p>l'examen et les objectifs d'apprentissage / énoncés de tâches applicables.</p><p>Ressources suggérées pour une étude plus approfondie</p><p>Étant donné que de nombreux concepts présentés dans le manuel d'examen sont</p><p>complexes, il peut être utile de consulter des sources externes pour compléter votre</p><p>compréhension de ces concepts. Les ressources suggérées sont des références que vous</p><p>pouvez utiliser pour améliorer vos efforts d'étude en ce qui concerne chaque chapitre.</p><p>Questions et réponses d'auto-évaluation</p><p>Les questions d'auto-évaluation à la fin de la première section de chaque chapitre aident</p><p>à comprendre comment une question CISA pourrait être présentée à l'examen CISA et</p><p>ne devrait pas être utilisée indépendamment comme source de connaissances. Les</p><p>questions d'auto-évaluation ne doivent pas être considérées comme une mesure de la</p><p>capacité du candidat à répondre correctement aux questions de l'examen CISA pour ce</p><p>domaine. Les questions visent à familiariser le candidat avec la structure des questions</p><p>et peuvent ou non être similaires aux questions qui apparaîtront lors de l'examen</p><p>proprement dit.</p><p>Études de cas</p><p>Les études de cas fournissent un apprentissage basé sur des scénarios qui se concentre</p><p>sur les concepts présentés dans chaque chapitre. Chaque étude de cas comprend un</p><p>scénario d'audit du SI lié à chaque domaine et des questions liées au scénario. Le but de</p><p>ces études de cas est de fournir une perspective du monde réel sur le contenu de chaque</p><p>domaine et comment il se rapporte à la pratique de la CISA.</p><p>Glossaire</p><p>Un glossaire est inclus à la fin du manuel et contient les termes qui s'appliquent au</p><p>matériel inclus dans les chapitres. Sont également inclus les termes qui s'appliquent à</p><p>des domaines connexes non spécifiquement discutés. Le glossaire est une extension du</p><p>texte du manuel et peut donc être une autre indication des domaines dans lesquels le</p><p>candidat peut avoir besoin de rechercher des références supplémentaires.</p><p>UTILISATION DU MANUEL D'EXAMEN CISA ET D'AUTRES RESSOURCES ISACA</p><p>Le manuel d'examen CISA peut être utilisé conjointement avec d'autres activités de</p><p>préparation aux examens CISA. Les produits suivants sont basés sur les pratiques de</p><p>travail CISA, et les énoncés de tâches et de connaissances référencés peuvent être</p><p>utilisés pour trouver du contenu connexe dans le Manuel de révision CISA . Ces</p><p>ressources comprennent: • CISA Review Questions, Answers & Explanations Manual</p><p>12 th Edition</p><p>• Base de données des questions, réponses et explications sur la revue</p><p>CISA - abonnement de 12 mois</p><p>Manuel d’examen 27 e édition</p><p>25 | P a g e</p><p>By BlackHavok</p><p>• Cours de révision en ligne CISA</p><p>• Cours de révision CISA (dispensés par les sections locales de l'ISACA et les organismes</p><p>de formation accrédités)</p><p>À PROPOS DE LA CISA REVIEW QUESTIONS, RÉPONSES ET EXPLICATIONS</p><p>PRODUITS</p><p>La CISA Review Questions, Answers & Explanations Manual 12 th Edition se compose de</p><p>1 000 questions à réponses multiples, réponses et explications organisées dans les</p><p>domaines de la pratique professionnelle actuelle de la CISA.</p><p>Une autre aide à l’étude disponible est la CISA Review Questions, Answers &</p><p>Base de données d'explications - abonnement de 12 mois. La base de données comprend</p><p>1 000 questions, réponses et explications incluses dans la revue CISA</p><p>Questions, réponses et explications Manuel 12 e édition . Avec ce produit, les candidats</p><p>CISA peuvent rapidement identifier leurs forces et leurs faiblesses en prenant des</p><p>échantillons d'échantillons aléatoires de durée variable et en décomposant les résultats</p><p>par domaine. Des exemples d'examens peuvent également être choisis par domaine, ce</p><p>qui permet une étude concentrée, un domaine à la fois, et d'autres fonctionnalités de tri</p><p>telles que l'omission de questions précédemment correctement répondues sont</p><p>disponibles.</p><p>Les questions de ces produits sont représentatives des types de questions qui pourraient</p><p>apparaître à l'examen et comprennent des explications sur les réponses correctes et</p><p>incorrectes. Les questions sont triées par domaine CISA et comme exemple de test. Ces</p><p>produits sont idéaux pour une utilisation en conjonction avec le Manuel d'examen</p><p>de la CISA, 27 e édition . Ils peuvent être utilisés comme sources d'étude tout au long du</p><p>processus d'étude ou dans le cadre d'un examen final pour déterminer où les candidats</p><p>peuvent avoir besoin d'études supplémentaires. Il convient de noter que ces questions</p><p>et réponses suggérées sont fournies à titre d'exemples; ce ne sont pas des questions</p><p>réelles de l'examen et leur contenu peut différer de ceux qui apparaissent réellement à</p><p>l'examen.</p><p>Types de questions sur l'examen CISA</p><p>Les questions d'examen CISA sont élaborées dans le but de mesurer et de tester les</p><p>connaissances pratiques et l'application des principes et normes d'audit / d'assurance</p><p>des SI. Comme mentionné précédemment, toutes les questions sont présentées dans un</p><p>format à choix multiples et sont conçues pour une meilleure réponse.</p><p>Lisez attentivement chaque question. Savoir que ces types de questions sont posées et</p><p>comment étudier pour y répondre contribuera grandement à y répondre correctement. La</p><p>meilleure réponse est celle des choix proposés. Il peut y avoir de nombreuses solutions</p><p>potentielles aux scénarios posés dans les questions, en fonction de l'industrie, de la</p><p>situation géographique, etc. Tenez compte des informations fournies dans la question et</p><p>déterminez la meilleure réponse des options proposées.</p><p>Chaque question CISA a une tige (question) et quatre options (choix de réponse). Le</p><p>candidat est invité à choisir la bonne ou la meilleure réponse parmi les options. La tige</p><p>peut prendre la forme d'une question ou d'une déclaration incomplète. Dans certains cas,</p><p>Manuel d’examen 27 e édition</p><p>26 | P a g e</p><p>By BlackHavok</p><p>un scénario ou une description peut également être inclus. Ces questions comprennent</p><p>normalement une description d'une situation et exigent que le candidat réponde à deux</p><p>questions ou plus sur la base des informations fournies.</p><p>Une approche utile à ces questions comprend les éléments suivants:</p><p>• Lisez l'intégralité de la tige et déterminez ce que la question pose. Recherchez les mots</p><p>clés tels que «meilleur», «la plupart» et «premier» et les termes clés qui peuvent</p><p>indiquer quel domaine ou concept est testé.</p><p>• Lisez toutes les options, puis relisez la tige pour voir si vous pouvez éliminer l'une des</p><p>options en fonction de votre compréhension immédiate de la question.</p><p>• Relisez les options restantes et apportez toute expérience personnelle que vous</p><p>pourriez avoir pour déterminer quelle est la meilleure réponse à la question.</p><p>Une autre condition que le candidat doit considérer lors de la préparation à l'examen est</p><p>de reconnaître que l'audit SI est une profession mondiale, et les perceptions et</p><p>expériences individuelles peuvent ne pas refléter la position ou les circonstances plus</p><p>globales. Étant donné que les manuels d'examen et de CISA sont rédigés pour la</p><p>communauté d'audit internationale des SI, le candidat devra être quelque peu flexible</p><p>lors de la lecture d'une condition qui peut être contraire à son expérience. Il convient de</p><p>noter que les questions d'examen CISA sont rédigées par des professionnels</p><p>expérimentés de l'audit des systèmes d'information du monde entier. Chaque question</p><p>de l'examen est examinée par l'examen CISA de l'ISACA</p><p>Groupe de travail sur le développement des objets, composé de membres</p><p>internationaux. Cette représentation géographique garantit que toutes les questions</p><p>d'examen sont comprises de manière égale dans tous les pays et toutes les langues.</p><p>Remarque: Lorsque vous utilisez les documents d'examen CISA pour préparer</p><p>l'examen, il convient</p><p>de noter qu'ils couvrent un large éventail de questions d'audit /</p><p>d'assurance des systèmes d'information. Encore une fois, les candidats ne doivent pas</p><p>supposer que la lecture</p><p>ces manuels et les réponses aux questions d'examen les prépareront pleinement</p><p>à l'examen. Étant donné que les questions d'examen réelles se rapportent souvent</p><p>à des expériences pratiques, les candidats doivent se référer à leurs propres</p><p>expériences et à d'autres sources de référence et s'appuyer sur les expériences de</p><p>collègues et d'autres personnes ayant obtenu le titre CISA.</p><p>Chapitre 1:</p><p>Processus d'audit du système d'information</p><p>Aperçu</p><p>Aperçu du contenu de l'examen du domaine 1</p><p>Manuel d’examen 27 e édition</p><p>27 | P a g e</p><p>By BlackHavok</p><p>Objectifs d'apprentissage / énoncés de tâches</p><p>Ressources suggérées pour une étude plus approfondie</p><p>Questions d'auto-évaluation</p><p>Réponses aux questions d'auto-évaluation</p><p>Partie A: Planification</p><p>1.0 Introduction</p><p>1.1 Normes d'audit, directives et codes d'éthique des SI</p><p>1.2 Processus commerciaux</p><p>1.3 Types de contrôles</p><p>1.4 Planification de la vérification fondée sur les risques</p><p>1.5 Types de vérifications et d'évaluations</p><p>Partie B: Exécution</p><p>1.6 Gestion de projet d'audit</p><p>1.7 Méthodologie d'échantillonnage</p><p>1.8 Techniques de collecte des éléments probants</p><p>1.9 Analyse des données</p><p>1.10 Techniques de communication et de communication</p><p>1.11 Assurance qualité et amélioration du processus d'audit</p><p>Étude de cas</p><p>Étude de cas</p><p>Réponses aux questions des études de cas</p><p>APERÇU</p><p>Le processus d'audit des systèmes d'information (SI) englobe les normes, principes,</p><p>méthodes, lignes directrices, pratiques et techniques qu'un auditeur SI utilise pour</p><p>planifier, exécuter, évaluer et examiner les systèmes commerciaux ou d'information et</p><p>les processus connexes. Un auditeur SI doit avoir une compréhension approfondie de ce</p><p>processus d'audit ainsi que des processus SI, des processus métier et des contrôles</p><p>conçus pour atteindre les objectifs organisationnels et protéger les actifs</p><p>organisationnels.</p><p>Ce domaine représente 21% de l'examen CISA (environ 32 questions).</p><p>DOMAINE 1 EXAMEN DU CONTENU DU CONTENU</p><p>Partie A: Planification</p><p>1. Normes d'audit, directives et codes d'éthique des SI</p><p>2. Processus opérationnels</p><p>Manuel d’examen 27 e édition</p><p>28 | P a g e</p><p>By BlackHavok</p><p>3. Types de contrôles</p><p>4. Planification de la vérification fondée sur les risques</p><p>5. Types d'audits et d'évaluations</p><p>Partie B: Exécution</p><p>1. Gestion de projet d'audit</p><p>2. Méthodologie d'échantillonnage</p><p>3. Techniques de collecte des éléments probants</p><p>4. Analyse des données</p><p>5. Techniques de communication et de communication</p><p>6. Assurance qualité et amélioration du processus d'audit</p><p>OBJECTIFS D'APPRENTISSAGE / ÉNONCÉS DE TÂCHES</p><p>Dans ce domaine, l'auditeur SI doit être capable de:</p><p>• Planifier un audit pour déterminer si les systèmes d'information sont protégés,</p><p>contrôlés et apportent de la valeur à l'organisation. (T1)</p><p>• Mener un audit conformément aux normes d'audit des SI et à une stratégie d'audit des</p><p>SI basée sur les risques. (T2)</p><p>• Communiquer les progrès, les constatations, les résultats et les recommandations de</p><p>l'audit aux parties prenantes. (T3)</p><p>• Effectuer un suivi d'audit pour évaluer si le risque a été suffisamment traité. (T4)</p><p>• Évaluer la gestion informatique et la surveillance des contrôles. (T11)</p><p>• Utilisez des outils d'analyse de données pour rationaliser les processus</p><p>d'audit. (T36)</p><p>• Fournir des services de conseil et des conseils à l'organisation afin d'améliorer la qualité</p><p>et le contrôle des systèmes d'information. (T37)</p><p>• Identifier les opportunités d'amélioration des processus dans les politiques et pratiques</p><p>informatiques de l'organisation. (T38)</p><p>RESSOURCES SUGGÉRÉES POUR UNE ÉTUDE SUPPLÉMENTAIRE</p><p>ISACA, Programmes d'audit / d'assurance, www.isaca.org/auditprograms ISACA</p><p>COBIT® Focus, http://www.isaca.org/COBIT/focus/Pages/FocusHome.aspx</p><p>ISACA, ITAF TM : A Professional Practices Framework for IS Audit /</p><p>Assurance , www.isaca.org/ITAF</p><p>ISACA, IT Audit Basics , www.isaca.org/Knowledge-Center/ITAFISAssurance-Audit-/IT-</p><p>Audit-Basics/Pages/IT-Audit-Basics-Articles.aspx</p><p>ISACA, Livres blancs, www.isaca.org/whitepapers</p><p>QUESTIONS D'AUTOÉVALUATION</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/auditprograms</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/COBIT/focus/Pages/FocusHome.aspx</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/ITAF</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/Knowledge-Center/ITAFIS-Assurance-Audit-/IT-Audit-Basics/Pages/IT-Audit-Basics-Articles.aspx</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/Knowledge-Center/ITAFIS-Assurance-Audit-/IT-Audit-Basics/Pages/IT-Audit-Basics-Articles.aspx</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/Knowledge-Center/ITAFIS-Assurance-Audit-/IT-Audit-Basics/Pages/IT-Audit-Basics-Articles.aspx</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/Knowledge-Center/ITAFIS-Assurance-Audit-/IT-Audit-Basics/Pages/IT-Audit-Basics-Articles.aspx</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/Knowledge-Center/ITAFIS-Assurance-Audit-/IT-Audit-Basics/Pages/IT-Audit-Basics-Articles.aspx</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/whitepapers</p><p>https://translate.google.com/translate?hl=fr&prev=_t&sl=auto&tl=fr&u=http://www.isaca.org/whitepapers</p><p>Manuel d’examen 27 e édition</p><p>29 | P a g e</p><p>By BlackHavok</p><p>Les questions d'auto-évaluation CISA soutiennent le contenu de ce manuel et permettent</p><p>de comprendre le type et la structure des questions qui apparaissent généralement à</p><p>l'examen. Souvent, une question obligera le candidat à choisir</p><p>la réponse la PLUS probable ou la MEILLEURE parmi les options proposées. Veuillez</p><p>noter que ces questions ne sont pas des éléments d'examen réels ou retirés. Veuillez</p><p>consulter la section «À propos de ce manuel» pour plus d'informations sur les questions</p><p>pratiques.</p><p>1-1 Lequel des énoncés suivants décrit le pouvoir général d'effectuer un audit</p><p>SI?</p><p>A. Portée de l'audit avec buts et objectifs</p><p>B. Une demande de la direction d'effectuer un audit</p><p>C. La charte d'audit approuvée</p><p>D. Le calendrier d'audit approuvé</p><p>1-2 Lors de la réalisation d'un audit basé sur les risques, quelle évaluation des risques</p><p>est effectuée EN PREMIER par un auditeur SI?</p><p>A. Évaluation des risques de détection</p><p>B. Contrôle de l'évaluation des risques</p><p>C. Évaluation des risques inhérents</p><p>D. Évaluation des risques de fraude</p><p>1-3 Lequel des éléments suivants serait un auditeur des PLUS accent probable sur</p><p>l'élaboration d' un programme de vérification axé sur les risques?</p><p>A. Processus opérationnels</p><p>B. Contrôles administratifs</p><p>C. Contrôles environnementaux</p><p>D. Stratégies commerciales</p><p>1-4 Lequel des types de risques d'audit suivants suppose une absence de contrôles</p><p>compensatoires dans le domaine examiné?</p><p>A. Contrôle du risque</p><p>B. risque de détection</p><p>C. Risque inhérent</p><p>D. Risque d'échantillonnage</p><p>1-5 Un auditeur SI effectuant un examen des contrôles d'une application trouve une</p><p>faiblesse dans le logiciel système qui pourrait avoir un impact significatif sur</p><p>l'application. Dans cette situation, un auditeur SI doit:</p><p>Manuel</p><p>d’examen 27 e édition</p><p>30 | P a g e</p><p>By BlackHavok</p><p>A. Ne tenez pas compte de ces faiblesses de contrôle car une revue du logiciel</p><p>système dépasse le cadre de cette revue.</p><p>B. Procéder à un examen détaillé du logiciel du système et signaler les faiblesses</p><p>du contrôle.</p><p>C. Inclure dans le rapport une déclaration selon laquelle l'audit s'est limité à un</p><p>examen des contrôles de l'application.</p><p>D. Passez en revue les commandes du logiciel système, le cas échéant, et</p><p>recommandez une revue détaillée du logiciel système.</p><p>1-6 Laquelle des raisons suivantes est la PLUS IMPORTANTE pour laquelle un</p><p>processus de planification de l'audit devrait être examiné à intervalles</p><p>périodiques?</p><p>A. Planifier le déploiement des ressources d'audit disponibles</p><p>B. Examiner les modifications de l'environnement de risque</p><p>C. Fournir des informations pour la documentation de la charte d'audit</p><p>D. Identifier les normes d'audit SI applicables</p><p>1-7 Lequel des éléments suivants est LE PLUS efficace pour mettre en œuvre une auto-</p><p>évaluation du contrôle au sein des petites entreprises?</p><p>A. Examens informels par les pairs</p><p>B. Ateliers facilités</p><p>C. Récits des flux de processus</p><p>D. Diagrammes de flux de données</p><p>1-8 Lequel des éléments suivants un auditeur SI effectuerait-il EN PREMIER lors de la</p><p>planification d'un audit SI?</p><p>A. Définir les livrables d'audit.</p><p>B. Finaliser la portée et les objectifs de l'audit.</p><p>C. Acquérir une compréhension des objectifs et du but de l'entreprise.</p><p>D. Élaborer l'approche ou la stratégie d'audit.</p><p>1-9 L'approche qu'un auditeur SI doit utiliser pour planifier la couverture d'audit IS doit</p><p>être basée sur:</p><p>A. risque.</p><p>B. l' importance relative.</p><p>C. surveillance de la fraude.</p><p>D. suffisance des éléments probants.</p><p>Manuel d’examen 27 e édition</p><p>31 | P a g e</p><p>By BlackHavok</p><p>1-10 Une organisation effectue une sauvegarde quotidienne des données critiques et des</p><p>fichiers logiciels et stocke les bandes de sauvegarde à un emplacement hors site. Les</p><p>bandes de sauvegarde sont utilisées pour restaurer les fichiers en cas de</p><p>perturbation. Voici un exemple de:</p><p>A. contrôle préventif.</p><p>B. contrôle de gestion.</p><p>C. contrôle correctif.</p><p>D. contrôle de détective.</p><p>RÉPONSES AUX QUESTIONS D'AUTOÉVALUATION</p><p>1-1 A. La portée de l'audit est spécifique à un seul audit et ne confère pas le pouvoir</p><p>d'effectuer un audit.</p><p>B. Une demande de la direction d'effectuer un audit n'est pas suffisante car elle</p><p>concerne un audit spécifique.</p><p>C. La charte d'audit approuvée définit la responsabilité, l'autorité et la</p><p>responsabilité de l'auditeur.</p><p>D. Le calendrier d'audit approuvé ne donne pas le pouvoir d'effectuer un</p><p>audit.</p><p>1-2 A. L' évaluation des risques de détection n'est effectuée qu'après que les évaluations</p><p>des risques inhérents et de contrôle ont été effectuées pour déterminer la capacité de</p><p>détecter les erreurs dans un processus ciblé.</p><p>B. L'évaluation des risques de contrôle est effectuée une fois l'évaluation des</p><p>risques inhérents terminée et consiste à déterminer le niveau de risque qui</p><p>subsiste après la mise en place des contrôles pour le processus</p><p>ciblé.</p><p>C. Le risque inhérent existe indépendamment d'un audit et peut survenir</p><p>en raison de la nature de l'entreprise. Pour mener à bien un audit, il</p><p>est important de connaître les processus métier associés. Pour</p><p>effectuer l'audit, un auditeur SI doit comprendre le processus</p><p>métier; en comprenant le processus opérationnel, un auditeur SI</p><p>comprend mieux le risque inhérent.</p><p>D. Les évaluations des risques de fraude sont un sous-ensemble d'une évaluation</p><p>des risques de contrôle dans laquelle un professionnel de l'audit et de</p><p>l'assurance détermine si le risque de contrôle porte sur la capacité des</p><p>parties internes et / ou externes à commettre des transactions frauduleuses</p><p>au sein du système.</p><p>1-3 A. Une approche d'audit basée sur les risques se concentre sur la</p><p>compréhension de la nature de l'entreprise et sur la capacité d'identifier et de</p><p>catégoriser les risques. Le risque commercial a une incidence sur la viabilité à</p><p>long terme d'une entreprise spécifique. Ainsi, un auditeur SI utilisant une</p><p>approche d'audit basée sur les risques doit être capable de comprendre les</p><p>processus métier.</p><p>Manuel d’examen 27 e édition</p><p>32 | P a g e</p><p>By BlackHavok</p><p>B. Les contrôles administratifs, bien qu'ils constituent un sous-ensemble important</p><p>de contrôles, ne sont pas le principal objectif nécessaire pour comprendre</p><p>les processus opérationnels dans le cadre de l'audit.</p><p>C. Comme les contrôles administratifs, les contrôles environnementaux sont un</p><p>sous-ensemble de contrôle important; cependant, ils ne traitent pas des</p><p>processus opérationnels globaux de haut niveau à l'étude.</p><p>D. Les stratégies commerciales sont les moteurs des processus</p><p>commerciaux; cependant, dans ce cas, un auditeur SI se concentre sur les</p><p>processus métier qui ont été mis en place pour permettre à l'organisation</p><p>de respecter la stratégie.</p><p>1-4 A. Le risque de contrôle est le risque qu'une erreur importante existe qui ne sera pas</p><p>évitée ou détectée en temps opportun par le système de contrôles</p><p>internes.</p><p>B. Le risque de détection est le risque qu'une anomalie significative avec une</p><p>assertion de gestion ne soit pas détectée par les tests de corroboration d'un</p><p>professionnel de l'audit et de l'assurance. Il se compose de deux</p><p>composantes: le risque d'échantillonnage et le risque de non-</p><p>échantillonnage.</p><p>C. Le risque inhérent est le niveau de risque ou l'exposition sans tenir</p><p>compte des mesures que la direction a prises ou pourrait</p><p>prendre.</p><p>D. Le risque d'échantillonnage est le risque que des hypothèses incorrectes soient</p><p>formulées concernant les caractéristiques d'une population à partir de</p><p>laquelle un échantillon est prélevé. Le risque de non-échantillonnage est le</p><p>risque de détection non lié à l'échantillonnage; cela peut être dû à une</p><p>variété de raisons, y compris, mais sans s'y limiter, l'erreur</p><p>humaine.</p><p>1-5 A. On ne s'attend pas à ce qu'un auditeur des SI ignore les faiblesses des contrôles</p><p>simplement parce qu'elles sortent du cadre de l'examen en cours.</p><p>B. La conduite d'un examen détaillé du logiciel des systèmes peut entraver le</p><p>calendrier de l'audit, et un auditeur SI peut ne pas être techniquement</p><p>compétent pour effectuer un tel examen pour le moment.</p><p>C. S'il y a des faiblesses de contrôle qui ont été découvertes par un auditeur du</p><p>SI, elles doivent être divulguées. En émettant un avertissement, cette</p><p>responsabilité serait abandonnée.</p><p>D. L'option appropriée consisterait à examiner le logiciel des systèmes en</p><p>fonction de l'examen et à recommander un examen détaillé du</p><p>logiciel des systèmes pour lequel des ressources supplémentaires</p><p>pourraient être recommandées.</p><p>1-6 A. La planification du déploiement des ressources d'audit disponibles est déterminée</p><p>par les missions d'audit planifiées, qui sont influencées par le processus de</p><p>planification.</p><p>B. Les problèmes à court et à long terme qui déterminent la planification</p><p>de l'audit peuvent être fortement affectés par les modifications de</p><p>Manuel d’examen 27 e édition</p><p>33 | P a g e</p><p>By BlackHavok</p><p>l'environnement de risque, des technologies et des processus</p><p>commerciaux de l'entreprise.</p><p>C. La charte d'audit reflète le mandat de la haute direction de la fonction d'audit</p><p>et</p>