1. Résumé du livre de l'ISACA éléments clés
1.1. • Gain und. Of the business, mission, objectives, purpose and processes
1.2. • Indépendance du vérificateur (esprit et d'Apparence)
1.3. SKILLS most important do develop? PROJECT manager
1.4. • Audit doit
1.4.1. o Apporter valeur ajoutée
1.4.2. o Une gestion efficiente des TI et l’atteinte des objectifs d’affaires
1.5. • Critical success factor (CSF) : implication stakeholders
1.6. • Audit externe, contrat en bonne et due forme
1.7. Plan d’audit 1.2.3 p.29 élaboré en y incluant, à la suite de l’évaluation des facteurs de risques
1.7.1. o Mis à jour
1.7.2. o Tenir compte de l’évolution des activités
1.7.3. o Être approuvé par la haute direction
1.8. • Étapes de la planification d’un audit exhibit 1.2
1.8.1. o FIRST Acquérir compréhension de la business (objectifs, process, DIC, etc.) (Und. Busin. Mission (gather information))
1.8.2. o Comprendre les changements dans l’env. d’affaires, règlementation (Identify system and components (policies, proc. Etc.)) Lire les docs. De référence de l’industrie, Étudier rapports antérieurs d’audit, Consulter les plans strat., Discuter avec les responsables, Déterminer les règles des TI et les fonctions ou act. TI imparties, Visiter les installations de l’organisation
1.8.3. o Passer en revue les anciens docs de travail
1.8.4. o Déterminer les politiques, normes, directives, procédures et structure p.30 (Conduct internal control review)
1.8.5. o MOST Réaliser une analyse de R pour aider à la conception du plan d’audit (Perform R analysis p39-40 (purpose : identify threats, evaluate countermeasures,
1.8.5.1. Identify bus. Obj. , ident. Information assets supp. BO, Faire analyse de R (R assessment) (RA)), Perform R mitigation (RM), Perform R treatment (RT) (diminue R), periodic révision dev.
1.8.5.2. Permet
1.8.5.2.1. • Identifier les zones à R
1.8.5.2.2. • Identifier les contrôles en place
1.8.5.2.3. • Planifier l'audit en fonction de la relation R-contrôles
1.8.6. o Établir la portée et les obj. De l’audit (Set audit scope and objective)
1.8.7. o Concevoir la stratégie de l’audit (Dev. Audit approach or audit strat.)
1.8.8. o Affecter ressour. Aux tâches d’audit (Assign personnel resources)
1.8.9. o Prévoir la logistique du mandat
1.9. o HIPAA, COSO, Bâle (lois et/ou règlements)
1.10. • ITAF p.32-34
1.10.1. o Géréralité 1001-1008
1.10.2. o Rendement 1201-1207
1.10.3. o Rapport 1401-1402
1.11. • Normes d’assurance et d’audit p.34-37
1.11.1. o Important : charte audit G5, irrégularités G9, actes illégaux S9, indépendance G17-S2, activités de suivi G35
1.12. • Internal controls :
1.12.1. o preventive (Segregation of duties),
1.12.2. o detective (checkup), DECISIONS + ACTIONS of an auditor affecte plus le detective!
1.12.3. o corrective (BU procedures) p41
1.12.4. o Existence of dual control : observation
1.13. • Cobit 5 p.42 (5 principes)
1.14. • Réaliser audit p.43
1.14.1. o Planifier audit
1.14.2. o Concevoir le plan
1.14.3. o Éxécuter le plan
1.14.4. o Surveiller les activités du projet
1.15. • Types AUDIT p.44
1.16. • 8 phases d’Audit p.45 exibit 1,6
1.16.1. o Audit subject,
1.16.2. o Audit objective,
1.16.3. o Audit scope,
1.16.3.1. Scope creep : uncontrolled changes
1.16.3.2. Mauvais baseline : scope creep
1.16.4. o Pré-Audit analyzing,
1.16.5. o accumuler l’information et l’analyser,
1.16.6. o évaluer et tester les résultats,
1.16.7. o communiquer et confirmer les informations au management,
1.16.8. o préparer le rapport d’Audit)
1.16.8.1. Si gestionnaire pas d’accord avec le résultat de l’audit, alors l’auditeur doit revalider les évidences
1.16.8.2. REPORT BEFORE TESTING!!!!!!! Revalidate findings before retest
1.17. • Fraud
1.18. • Démarche axée sur le R p.47
1.18.1. o Recueillir des renseignements et planifier
1.18.2. o Comprendre les contrôles internes (control objectives)
1.18.3. o Effectuer des tests de conformité (compliance)
1.18.4. o Effectuer des tests de corroboration (substantive test)
1.18.5. o Conclure l’audit
1.19. • Risks p.46
1.19.1. o Inherent (number of user and business)
1.19.2. o Control
1.19.3. o Detection
1.19.4. o Overall audit R
1.20. • Évaluation et traitement des R
1.20.1. o P.48 Mitigation (reciprocal agreements), acceptance, avoidance transfer/sharing
1.21. • Compliance (contrôles appliqués afin de respecter les politiques et procédures)
1.21.1. o Droits users
1.21.2. o Program change control
1.21.3. o Doc. Et program procédures
1.21.3.1. o Review logs, etc.
1.22. • Substantive testing, s’assurer de l’intégrité du traitement réellement effectué p.49
1.22.1. o Inventaire vérifié
1.22.2. o Calcul intérêt
1.23. • Evidence (fiabilité des preuves (probant et suffisant)) p.49
1.23.1. o Force de preuve
1.23.1.1. Indépendance du fournisseur de la preuve
1.23.1.2. Le titre de la personne fournissant la preuve
1.23.1.3. Objectivités de la preuve
1.23.1.4. Échéancier de la preuve
1.24. Obtention de la preuve
1.24.1. Techniques pour réunir (gathering) preuves : examiner la structure org. TI et pol. + proc., normes, documentation, entretiens, observer les employés, réexécution (reperformance =effectiveness of controls), walktrought (PASSER AU TRAVERS) (inquiry + inspection, respect bus. Process test de cheminement)
1.24.1.1. CAAT p.54
1.24.1.1.1. • GAS, utility soft., debugging, test, etc.
1.24.1.1.2. • Improve audits efficiency
1.25. • Sampling (quand tu n’as pas le $ et temps pour faire audit total) p-51-52
1.25.1. o Stats (mathematical)
1.25.2. o Non-stats (subjective judgement)
1.25.3. o Types of
1.25.3.1. proportionnal sampling
1.25.3.1.1. • Attribute SAMPLING COMPLIANCE (how many?) EX. : 10000 BOLTS ET QUELLE % DÉFECT = 2% (EXPRIMER EN %)
1.25.3.1.2. • Stop or go (excicived sampling)
1.25.3.1.3. • Discovery SAMPLING (used fraud, regulation) PETIT % (VOIR FRAUD)
1.25.3.2. Variable sampling (quantitative) DEVIATION FROM THE NORM!
1.25.3.2.1. • Stratified moyenne
1.25.3.2.2. • Unstratified moyenne
1.25.3.2.3. • Difference estimation
1.25.4. o Do attribute or variable sampling p.52
1.26. o 1,6,17 Comm. Audit results
1.26.1. o Compensating controls
1.26.2. o Overlapping controls (plusieurs contrôles qui se complètent)
1.27. • CSA p.57 (être plus efficace, trouver les R plus rapidement, FACILITATOR etc.)
1.27.1. o CSA : employé, continious improvement, more participating
1.27.2. o Traditional : assign duties, policy rule driven, limited employee participation, narrow stakeholder focus
1.28. • Faire les Audits spécifiques (gov, bcp, etc.)
1.29. • Legal impact, prereporting, validation, reporting
1.30. • Evolving IS audit processus
1.30.1. o Continious
1.30.2. o Collaborate with financial auditor based on R