Scribd Logo
Importer

Bienvenue sur Scribd !

  • 744 vues

    5 - Concepts Et Principes Fondamentaux D'audit PDF

    Transféré par

    Sabrine Aydi

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    5 - Concepts Et Principes Fondamentaux D'audit PDF

    Transféré par

    Sabrine Aydi
    744 vues26 pages

    Titre original

    5_Concepts et principes fondamentaux d'audit.pdf

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    744 vues26 pages

    5 - Concepts Et Principes Fondamentaux D'audit PDF

    Transféré par

    Sabrine Aydi

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    Vous êtes sur la page 1sur 26

    Concepts et

    principes fondamentaux
    d’audit
    Présenté par : Saber ISSA
    Les normes ISO 19011/ISO 27007
    Présentation

    - ISO 19011: lignes directrices pour l'audit de systèmes de


    management
    - ISO 19011 est la norme pour l’audit des systèmes de management
    qualité, environnement, de la sécurité alimentaire, de la santé et
    sécurité au travail et même pour les SMSI.
    - ISO 27007: Lignes directrices pour l'audit des SMSI.

    - Il concerne le responsable du management du programme d'audit,


    les auditeurs et les équipes d'audit.
    - Il est applicable à tous les organismes qui doivent planifier et réaliser
    des audits internes ou externes de systèmes de management ou
    manager un programme d'audit.

    2
    Les normes ISO 19011/ISO 27007
    Présentation

    - Il contient:
     les principes de l'audit,
     le management d'un programme d'audit,
     la réalisation d'audits de systèmes de management,
     des lignes directrices sur l'évaluation de la compétence des
    personnes impliquées dans le processus d'audit.

    3
    Qu’est ce qu’un audit ?
    ISO 19011
    processus systématique, indépendant et documenté permettant
    d’obtenir des preuves d’audit et de les évaluer de manière objective
    pour déterminer dans quelle mesure les critères d’audit sont
    satisfaits.

    4
    Critères d’audit
    ISO 19011
    Ensemble de politiques, procédures ou exigences utilisées comme
    référence vis-à-vis de laquelle les preuves d’audit sont comparées.

    Exemples:

    ISO 27001 PCI DSS ISO 9001


    preuves d’audit
    ISO 19011
    Enregistrements, énoncés de faits ou autres informations
    pertinents qui se rapportent aux critères d’audit et qui sont
    vérifiables.
    Les acteurs
    ISO 19011

    Client Organisme ou personne demandant un audit

    Audité Organisme qui est audité

    Auditeur Personne qui réalise l’audit

    Personne apportant à l’équipe d’audit des


    Expert technique
    connaissances ou une expertise spécifiques

    Un ou plusieurs auditeurs réalisant un audit, assistés, si


    Equipe d’audit
    nécessaire, par des experts techniques

    738
    Types d’audit

    Réalisé par l’organisme lui-même


    Audit interne ou
    L’indépendance doit être montrée par l’absence de
    audit de 1ère partie
    responsabilité face à l’activité à auditer
    Réalisé par une partie ayant un intérêt à l ’égard de
    Audit externe de
    l’organisme audité
    second partie
    Exemple: le client audite l’organisme qui audite le fournisseur

    Audit externe de Réalisé par un organisme d’audit externe et indépendant


    tierce partie Exemple: organisme certificateur ISO 27001

    8 38
    Audit combiné et audit conjoint
    Audit combiné: lorsque deux ou plusieurs systèmes de management de
    différentes disciplines font l’objet d’un audit commun

    Audit combiné

    ISO 27001 ISO 20000 ISO 9001 ISO 14001

    Audit conjoint: lorsque deux ou plusieurs organismes d’audit coopèrent


    pour auditer un seul audité, on parle d’audit conjoint.
    9
    Principes de l'audit

    Présentation Conscience
    Déontologie
    impartiale professionnelle

    Approche fondée
    Confidentialité Indépendance
    sur la preuve

    1039
    Principes de l'audit

    Déontologie

     réaliser leurs tâches avec honnêteté, diligence et responsabilité;


     observer et respecter toutes les exigences légales applicables;
     démontrer leur compétence technique dans l’accomplissement de
    leurs tâches;
     réaliser leurs tâches en toute impartialité, c’est-à-dire qu’ils restent
    justes et sans parti pris dans toutes leurs actions;
     être sensibilisés à toutes les influences que peuvent exercer d’autres
    parties intéressées sur leur jugement lorsqu’ils réalisent un audit.

    1139
    Principes de l'audit

    Présentation impartiale

     Les constatations, conclusions et rapports d’audit reflètent de


    manière honnête et précise les activités d’audit.
     consigner les obstacles importants rencontrés pendant l’audit et les
    questions non résolues ou les avis divergents entre l’équipe d’audit et
    l’audité.
     La communication doit être honnête, précise, objective, opportune,
    claire et complète.

    1239
    Principes de l'audit

    Conscience professionnelle

     Agir en accord avec l’importance des tâches qu’ils réalisent et la


    confiance que leur ont accordée le client de l’audit et les autres
    parties intéressées.
     Avoir la capacité à prendre des décisions avisées dans toutes les
    situations d’audit.

    1339
    Principes de l'audit

    Confidentialité

     utiliser avec précaution les informations acquises au cours de leurs


    missions.
     respecter les règles de confidentialité.
     traiter correctement les informations sensibles ou confidentielles.

    1439
    Principes de l'audit

    Indépendance

     Il convient que l’auditeur soit indépendant de l’activité auditée et n’ait


    ni parti pris ni conflit d’intérêt dans toute la mesure du possible.
     Pour les audits internes, il convient que l’auditeur soit indépendant
    des responsables opérationnels de la fonction auditée.
     Il convient que l’auditeur conserve un état d’esprit objectif tout au
    long du processus d’audit pour s’assurer que les constatations et
    conclusions sont uniquement fondées sur les preuves d’audit.

    1539
    Principes de l'audit

    Approche fondée sur la preuve

    Il convient que les preuves d’audit soient vérifiables. Elles s’appuient


    généralement sur des échantillons des informations disponibles, dans la
    mesure où un audit est réalisé avec une durée et des ressources
    délimitées. Il convient d’utiliser l’échantillonnage de manière
    appropriée, dans la mesure où cette utilisation est étroitement liée à la
    confiance qui peut être accordée aux conclusions d’audit.

    1639
    Services de conseil et audit
    ISO 17021
     Un auditeur ne peut pas contribuer à l’élaboration, à la mise en œuvre
    ou à l’entretien d’un système de management pour l’organisme audité.
     Période minimum de 2 ans entre service de conseil et audit.
     La formation est permise.

    17
    Types de preuves d’audit
    Preuve physique

    Physique mathématique Confirmative

    technique Analytique Documentaire

    Orale

    18
    Types de preuves d’audit
    Preuve physique

    Est toute preuve obtenue via l’observation directe ou par l’inspection


    directe d’éléments tangibles.
    Exemples:
    ─ La présence de dispositifs de protection d’incendie.

    19
    Types de preuves d’audit
    Preuve mathématique

    Consiste à valider l’exactitude mathématique de certains documents ou


    enregistrements.
    Ce sont les calculs mathématiques effectués par l’auditeur.
    Exemples:
    ─ Calcul de nombre d’heures de formation suivies par les employés en
    relation avec le SMSI et valider si cela respecte les objectifs.
    ─ Calcul du temps moyen de résolution d’incidents à partir d’un
    échantillon prélevé par l’auditeur.
    ─ Le rapprochement des factures d’achats de licences avec l’inventaire
    des logiciels.
    20
    Types de preuves d’audit
    Preuve confirmative

    Preuve provenant d’entités ayant une relation externe avec l’audité.


    Exemples:
    ─ Résultats d’un test d’intrusion effectué par un organisme externe;
    ─ Un avis juridique d’un bureau d’avocat qui confirme les différentes
    législations auxquelles l’organisme doit se conformer.

    21
    Types de preuves d’audit
    Preuve technique

    Consiste à valider le fonctionnement d’un système d’information. C’est le


    résultat d’analyse de tests techniques ou d’observations réalisés sur un
    système d’information.
    Exemples:
    ─ Observation de la configuration du firewall pour s’assurer de la
    sécurité d’accès à un service réseau conformément à la politique en
    vigueur;
    ─ Analyse du résultat de test d’intrusion sur un réseau.

    22
    Types de preuves d’audit
    Preuve analytique

    Il s’agit des résultats de l’analyse des relations et des comparaisons entre


    différentes données.
    Toutes les preuves recueillies par des méthodes statistiques sont
    analytiques.
    Exemples:
    ─ Analyse des logs des accès au réseau pour détecter des anomalies.
    ─ Résultat d’analyse de la procédure de retrait des droits d’accès à un
    échantillon d’utilisateurs ayant quitté l’organisme.

    23
    Types de preuves d’audit
    Preuve documentaire

    C’est la vérification de tout enregistrement ou document.


    Exemples:
    ─ Politiques et procédures;
    ─ Rapports;
    ─ Factures d’achats de licences;
    ─ PVs de réunions.

    24
    Types de preuves d’audit
    Preuve orale

    C’est la preuve récoltée lors des échanges entre l’auditeur et le personnel


    de l’audité
    Exemples:
    ─ Notes d’entretiens réalisés avec le RSI expliquant ses relations avec des
    groupes d’experts.
    ─ Notes d’entretiens réalisés avec le personnel de l’audité expliquant
    leurs rôles et leurs responsabilités en sécurité de l’information

    25
    Preuve orale

    Preuve
    documentaire

    Preuve
    analytique
    Fiabilité de la preuve dans l’audit

    Preuve
    technique

    Preuve
    confirmative

    Preuve Preuve
    mathématique physique
    Fiabilité
    Types de preuves d’audit

    26

    Vous aimerez peut-être aussi