NORME DAUDIT DES SYSTMES DINFORMATION

CHARTE DAUDIT
DOCUMENT N S1
Le caractre spcialis de laudit des systmes d'information (SI) et les comptences requises pour effectuer un tel audit rendent ncessaire la mise en uvre de normes spcifiquement adaptes cette discipline. Lun des objectifs de lISACA (Information Systems Audit and Control Association Association de laudit et du contrle des systmes dinformation) est de proposer des normes mondialement applicables conformes son optique. Le dveloppement et la promulgation de Normes daudit des SI sont des pierres angulaires de la contribution de lISACA la communaut des auditeurs. La structure des Normes daudit des SI fournit de nombreux niveaux dassistance : Les Normes dfinissent des exigences obligatoires en matire daudit des SI et de reporting. Elles informent : Les auditeurs des SI sur le niveau minimum de performances requis pour satisfaire aux responsabilits stipules dans le Code dthique professionnelle de lISACA Les dirigeants dentreprise et les autres parties concernes sur les attentes de la profession en matire dagissements des praticiens Les titulaires de la certification CISA (Certified Information Systems Auditor Auditeur informatique agr) sur les exigences de leur charge. Toute incapacit mettre en uvre ces normes peut entraner une enqute sur la conduite du titulaire de la certification CISA par le Conseil dadministration de lISACA ou tout autre Comit appropri et, en dfinitive, des actions disciplinaires. Les Directives apportent des instructions sur lapplication des Normes daudit des SI. Lauditeur des SI doit sy rfrer au moment de mettre en uvre les normes, faire appel son jugement professionnel avant de les appliquer et se prparer justifier tout cart vis--vis delles. Les Directives daudit des SI visent fournir de plus amples informations sur la manire de se conformer aux normes applicables. Les Procdures constituent des exemples de mthodes quun auditeur des SI peut appliquer lors dune mission daudit. La documentation des procdures contient des informations sur la mise en uvre des normes daudit des SI, mais ne fixe pas dobligations. Les Procdures daudit des SI visent fournir de plus amples informations sur la manire de se conformer aux normes applicables. Les ressources du COBIT constituent un modle de bonnes pratiques. La structure du COBIT prcise : Les dirigeants ont pour responsabilit de prserver lensemble des actifs de lentreprise. Pour exercer cette responsabilit et atteindre ses objectifs, les dirigeants doivent tablir un systme de contrle interne adapt. Le rfrentiel COBIT fournit un ensemble dtaill de contrles et de techniques de contrle destin aux environnements de gestion des systmes dinformation. Dans le COBIT, le choix des lments les plus pertinents pour un audit particulier est bas sur la slection de processus TI spcifiques et sur la prise en compte des critres dinformation du COBIT. Comme le prcise la structure du COBIT, chacun des lments suivants est organis par processus de gestion TI. Le modle COBIT est destin aux dirigeants et aux responsables des TI, mais aussi aux auditeurs des SI. Par consquent, son utilisation permet de comprendre les objectifs de lentreprise, de faire connatre les meilleures pratiques et dmettre des recommandations autour dune rfrence normative comprise et respecte de tous. Le COBIT inclut : Des objectifs de contrle Dclarations gnriques dtailles et de haut niveau pour un contrle de qualit minimale Des pratiques de contrle Justifications pratiques et instructions de mise en uvre pour les objectifs de contrle Des directives daudit Instructions relatives chaque zone de contrle sur la manire de comprendre les problmatiques, dvaluer chaque contrle, de mesurer la conformit et de quantifier le risque de contrles non satisfaisants Des directives de gestion Instructions sur la manire dvaluer et damliorer les performances des processus TI laide de la mtrologie, de modles de maturit et de facteurs de succs essentiels. Elles constituent une structure oriente gestion pour lauto-valuation des contrles continus et proactifs spcifiquement centre sur : La mesure des performances Jusqu quel point la fonction TI rpond-elle aux besoins de lentreprise ? Les directives de gestion permettent de mettre en uvre des ateliers dauto-valuation, mais aussi dassurer lapplication par les dirigeants de procdures de vrification et damlioration continues dans le cadre dun plan de gouvernance TI. Dfinition du profil des contrles TI Quels sont les processus TI importants ? Quels sont les facteurs de succs essentiels dun contrle ? Sensibilisation Quels sont les risques que les objectifs ne soient pas atteints ? talonnage concurrentiel Que font les autres ? Comment mesurer et comparer les rsultats ? Les directives de gestion proposent des exemples de mtrologie au service de lvaluation des performances TI en entreprise. Les indicateurs dobjectifs essentiels soulignent et mesurent les rsultats des processus TI et les indicateurs de performances essentiels valuent lefficacit des processus en quantifiant les lments favorables. Les modles et attributs de maturit assurent lvaluation des capacits et ltalonnage concurrentiel. Ils aident les dirigeants mesurer les capacits de contrle, mais aussi identifier les besoins de vrification et les stratgies damlioration. Un glossaire est disposition sur le site Internet de lISACA ladresse www.isaca.org/glossary. Dans ce glossaire, les termes audit et review sont interchangeables. Exclusion de responsabilit : LISACA a conu ces directives comme le niveau minimum de performances requis pour satisfaire aux responsabilits stipules dans son Code dthique professionnelle. LISACA ne saurait garantir que lutilisation de ce produit constitue une assurance de rsultat. La prsente publication ne saurait tre considre comme incluant lensemble des procdures et tests adapts ou comme excluant dautres procdures et tests susceptibles de conduire raisonnablement des rsultats similaires. Au moment de dterminer la proprit dune procdure ou dun test spcifique, le professionnel du contrle doit faire appel son propre jugement professionnel en fonction des circonstances, des systmes impliqus ou de lenvironnement technologique. Le Comit de normalisation de lISACA sengage raliser une vaste consultation pour prparer les Normes, Directives et Procdures daudit des SI. Avant dditer ses documents, le Comit de normalisation publie des exposs-sondages lchelle internationale pour recueillir les avis du grand public. Si ncessaire, le Comit de normalisation consulte galement des personnalits dont lexpertise ou lintrt dans le domaine abord est susceptible dapporter un clairage utile. Dans le cadre de son programme de dveloppement continu, le Comit de normalisation encourage les membres de lISACA et toutes les parties intresses lui signaler les problmes mergents qui ncessitent ltablissement de nouvelles normes. Envoyer les suggestions par courrier lectronique (standards@isaca.org), par tlcopie (+1 847 253 1443) ou par courrier postal (adresse la fin de ce document) au sige international de lISACA, lattention du directeur de la recherche normative et des relations avec les universits. Date de publication du prsent document : 15 octobre 2004.

Charte daudit S1 Introduction 01 Les Normes de lISACA contiennent des principes de base et des procdures essentielles obligatoires, indiqus en caractres gras, ainsi que les instructions associes. 02 La prsente Norme daudit des SI a pour objectif ltablissement et la promulgation dinstructions concernant la Charte daudit applicable durant le processus daudit. Norme 03 Lobjectif, la responsabilit, lautorit et limputabilit de la fonction et des missions daudit des systmes dinformation doivent tre documents de manire adquate dans une charte daudit ou une lettre de mission. 04 La charte daudit ou la lettre de mission doit tre avalise au niveau appropri au sein de lentreprise concerne. Commentaire 05 Sagissant de la fonction daudit interne des systmes dinformation, une charte daudit doit tre prpare pour les activits en cours. La charte daudit doit faire lobjet de rvisions annuelles ou plus frquentes si les responsabilits viennent tre partages ou modifies. Lauditeur interne des SI peut utiliser une lettre de mission pour clarifier plus avant ou confirmer les implications dans des missions spcifiques daudit ou de nonaudit. Sagissant dun audit externe des SI, une lettre de mission doit normalement tre prpare pour chaque mission daudit ou de non-audit. 06 La charte daudit ou la lettre de mission doit tre suffisamment dtaille pour communiquer lobjectif, les responsabilits et les limites de la fonction ou de la mission daudit. 07 La charte daudit ou la lettre de mission doit tre rvise rgulirement pour vrifier que lobjectif et les responsabilits ont t correctement documents. 08 Se rfrer aux instructions suivantes pour plus dinformations sur la prparation dune charte daudit ou dune lettre de mission : Directive daudit des SI G5, Charte daudit Structure COBIT, objectif de contrle M4 Date de prise deffet La prsente Norme ISACA sappliquera tous les audits de systmes dinformation dbutant compter du 1er janvier 2005 inclus. Association de laudit et du contrle des systmes Prsident, Sergio Fleginsky, CISA Svein Aldal John Beveridge, CISA, CISM, CFE, CGFM, CQA Claudio Cilli, Ph.D., CISA, CISM, CIA, CISSP Christina Ledesma, CISA, CISM Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP V. Meera, CISA, CISM, ACS, CISSP, CWA Ravi Muthukrishnan, CISA, CISM, FCA, ISCA Peter Niblett, CISA, CISM, CA, CIA, FCPA John G. Ott, CISA, CPA Thomas Thompson, CISA Copyright 2004 Information Systems Audit and Control Association 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 tats-Unis Tlphone : +1.847.253.1545 Tlcopie : +1.847.253.1443 E-mail : standards@isaca.org Site Web : www.isaca.org dinformation 2004-2005 Comit de normalisation PricewaterhouseCoopers, Uruguay Aldal Consulting, Norvge Office of the Massachusetts State Auditor, tats-Unis Value Partners, Italie Citibank NA Sucursal, Uruguay Brisbane City Council, Australie Microsoft Corporation, tats-Unis NextLinx India Private Ltd., Inde WHK Day Neilson, Australie Aetna Inc., tats-Unis Ernst & Young, mirats Arabes Unis

09

Page 2 Norme daudit des SI Charte daudit