Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Mes notes d’audit IT Processus d'audit L'OBJECTIF DE CE CHAPITRE EST D'ACQUERIR

Mes notes d’audit IT Processus d'audit L'OBJECTIF DE CE CHAPITRE EST D'ACQUERIR AU LECTEUR LES CONCEPTS SUIVANTS : ✓ Compréhension de la gestion du programme d'audit global ✓ Développer et mettre en œuvre une stratégie d'audit basée sur les risques ✓ Comprendre comment structurer un audit ✓ Mettre en œuvre les principes de qualité dans les activités d'audit ✓ Planification requise pour des audits spécifiques ✓ Mettre en place des pratiques de gestion et de contrôle des risques tout en gardant son indépendance ✓ Comprendre les qualifications et les compétences exigences ✓ Réaliser des audits conformément aux normes, directives et bonnes pratiques ✓ Connaître les types de contrôles et comment les mettre en œuvre ✓ Comprendre l'effet des contrôles omniprésents sur les audits ✓ Acquisition et utilisation des preuves d'audit appropriées ✓ Comprendre le nouveau défi de la découverte électronique ✓ Gérer les conflits, les risques potentiels et communiquer aux parties prenantes ✓ Préparation de la documentation et des rapports d'audit Chaque client sollicitant l'assistance d'un CISA souhaite obtenir une certification annuelle comme l'exige la réglementation ou tester la conformité de son organisation. Pour atteindre cet objectif, il faut une série d'audits individuels englobant toutes les étapes nécessaires pour parvenir à cette lettre de conformité convoitée. Une fois que l'organisation est certifiée, une série d'audits de surveillance est nécessaire tous les six mois pour vérifier que l'audité continue d'exécuter toutes les bonnes tâches chaque mois avec précision. Les auditeurs marquent tout enregistrement manquant ou le non-respect de leurs propres procédures comme une violation dans le rapport de surveillance de six mois. Comprendre le programme d'audit Un programme d'audit est une série continue d'audits plus petits pour s'assurer que l'organisation prend les mesures nécessaires pour rester conforme à l'évolution des réglementations ou des conditions du marché. Il est important de comprendre qu’un programme d’audit fonctionnel intègre toutes les exigences de l’organisation dans un plan de conformité global intégré. Le groupe d'audit interne recevra sa charte du comité d'audit dans le cadre de son plan de programme annuel. Le programme d'audit est généralement habilité à engager des auditeurs indépendants tiers pour des tests annuels afin d'obtenir la certification organisationnelle. Objectifs et portée du programme d'audit Chaque programme d'audit contiendra une liste d'objectifs. Les objectifs de haut niveau peuvent provenir de la réglementation, du mandat exécutif et des normes de l'industrie. En tant qu'auditeur, vous devez vous attendre à ce que les objectifs du programme d'audit varient en fonction des tâches du service, du sujet traité ou d'une étape particulière du flux de travail. Les grandes organisations ont plus d'objectifs d'audit, et les petites organisations en ont généralement moins, car dans une organisation plus petite, la direction a un meilleur contrôle, moins de problèmes de communication et une meilleure visibilité des situations. Prenons l'exemple d'une entreprise qui accepte les cartes de crédit comme moyen de paiement. Le tableau 3.1 présente une vue simplifiée de certains objectifs du programme d'audit que cette organisation serait susceptible de rencontrer. Remarquez comment les objectifs du programme d'audit s'étendent sur différents départements, chacun avec ses propres experts techniques spécialisés. Les technologies de l'information (matériel) et les systèmes d'information (programmation) auront probablement un rôle quotidien dans le respect de chacun de ces objectifs. Cela signifie qu'en raison du sujet traité, un auditeur CISA peut occuper un rôle de membre junior en participant à l'équipe d'audit pour les audits financiers ou ISO. Dans plusieurs de ces exemples, l'auditeur principal devra être ou avoir dans son équipe un comptable agréé, un ISO certifié en qualité, un ISO certifié ISO en systèmes environnementaux et une personne certifiée par la société pour la gestion des ressources humaines. La disposition relative à la compétence de l'auditeur dans la norme d'audit vise à nous rappeler de limiter les activités à notre domaine d'expertise avérée ou d'obtenir une formation supplémentaire pour développer nos compétences. La disposition relative à la compétence de l'auditeur dans la norme d'audit vise à nous rappeler de limiter les activités à notre domaine d'expertise avérée ou d'obtenir une formation supplémentaire pour développer nos compétences. ISO 19011 et 27006 spécifient l'éligibilité avant de pouvoir mener un audit. D'abord en se basant sur le nombre d'employés de l'entreprise, pour déterminer la charge initiale d'audit. Puis en rajoutant des charges :  de revue documentaire du SMSI (de 1 à 3 journées selon complexité)  d'audit des mesures de sécurité (2 jours)  de visite des sites (0,5 jour par site à auditer)  de rédaction du rapport (de 1 à 3 journées selon complexité) Une formation supplémentaire est nécessaire pour exécuter chacune des procédures de tâche d'audit avec une expérience réelle. Être certifié CISA n'est pas suffisant. Nous explorerons plus en détail les rôles et les responsabilités de l'équipe d'audit plus loin dans ce chapitre. À ce stade, mon objectif est de démontrer comment un programme d'audit organisationnel gère plusieurs exigences de conformité tout en ignorant les limites des services. Étendue du programme d'audit La taille et la complexité d'une organisation auditée auront une influence directe sur le programme d'audit. En tant qu'auditeurs, notre objectif est le même, mais l'échelle et le volume deviennent le défi. Les grandes organisations exigeront une approche d'audit plus impliquée en raison du volume de personnel et de la diversité des rôles. Prouver la gouvernance est un défi dans les grandes organisations, où il peut être difficile de déterminer exactement qui est responsable d'une activité spécifique. Les auditeurs doivent trouver suffisamment de preuves à tester à l'appui de l'hypothèse d'audit avant de parvenir à une conclusion. Dans une grande organisation, les membres du personnel peuvent se demander s'ils ont le pouvoir de prendre des décisions qui n'ont pas été rencontrées auparavant. Si suffisamment de preuves ne sont pas trouvées, les auditeurs de l'équipe doivent énumérer tout ce qui a été demandé, recherché, recherché et vérifié physiquement avant de déclarer qu'aucune preuve n'a été trouvée. Beaucoup trop d'auditeurs sont laxistes dans ce domaine. Les petites organisations ont des exigences d'audit nettement inférieures simplement parce que moins de personnes sont impliquées et que la direction a l'avantage d'une plus grande visibilité au jour le jour. Dans une petite entreprise, la majorité des travailleurs savent généralement ce qui se passe et pourquoi les décisions sont prises. Examinons les problèmes de planification d'audit que vous devez prendre en compte, quelle que soit la taille de l’organisation :  Nombre d'emplacements géographiques  Activités externalisées à des tiers (sous-traitance)  Besoin de certification, d'accréditation, de licence ou d'enregistrement  Préoccupations soulevées par les parties intéressées  Complexité des réglementations et des termes des contrats signés à tester  Type, portée et nombre d'activités à auditer  Participation requise par des sous-traitants externes  Fréquence des audits  Suivi des recommandations des audits précédents  Sponsor, coût, limitations de ressources et délais  Raccourcis peu recommandables autorisés par la direction Les organisations changeront en réponse aux situations économiques du marché. Les coûts de conformité sont inclus dans les frais généraux d'un produit ou d'un service. Indépendamment de l'industrie, il n'y a que deux résultats possibles : les produits ou services rentables continueront, ou s'il n'est pas rentable d'être conforme, il y aura un arrêt. En réalité, de nombreux cadres réalisent qu'il n'y a pas de retour sur investissement rentable pour la conformité. La conformité est un fardeau des frais généraux. La conformité mange les bénéfices. Si vous êtes conforme, vous pouvez poursuivre vos activités tout en tentant de réaliser un profit. Une organisation sera expulsée si elle est découverte en infraction, ou elle devra peut-être fermer si elle est incapable de faire un profit après tous les coûts de conformité encourus. L'un des principaux objectifs de chaque programme d'audit est de produire des éléments probants suffisamment fiables en utilisant les auditeurs internes pour réduire le fardeau financier lié au recours à des auditeurs externes. Responsabilités du programme d'audit Un programme d'audit permanent fait partie de la stratégie d'atténuation des risques. Comme mentionné précédemment, son objectif est de combiner les exigences globales en un seul plan géré de manière centralisée. Il est important de garantir une bonne tenue des registres de toutes les activités d'audit afin de réaliser les avantages escomptés.  La gestion du programme d'audit comprendra généralement un système de gestion de l'audit (AMS) commercialisé avec les fonctions suivantes :  Base de données des éléments individuels dans les objectifs de conformité (série NIST 800, ISO, SOX, FFIEC, HIPAA)  Liste des tâches d'audit (planifiées, ouvertes, terminées, clôturées)  Procédures d'audit étape par étape approuvées, pas de lignes directrices  Modèles approuvés avec documents de travail  Matrice de compétences couvrant les tâches de chaque membre de l'équipe d'audit  Fonctionnalités de planification des ressources  Estimation du budget  Système de suivi des performances  Historique des audits antérieurs à des fins de comparaison Sans ce type de contrôle centralisé du programme d’audit, la performance de l’auditeur serait au mieux aléatoire. Les équipes d'audit individuelles s'appuieront sur l'AMS pour assurer la cohérence entre les projets d'audit. Dans les organisations à faible maturité, l'AMS uploads/Management/ mes-notes-audit-it.pdf