NORME DAUDIT DES SYSTMES DINFORMATION

UTILISATION DU TRAVAIL D'AUTRES EXPERTS DOCUMENT S13

Le caractre spcialis de laudit des systmes dinformation (SI) et les comptences requises pour effectuer un tel audit rendent ncessaire la mise en uvre de normes spcifiquement adaptes cette discipline. Un des objectifs dISACA consiste proposer des normes mondialement applicables conformes son optique. Le dveloppement et la promulgation de Normes daudit des SI sont des pierres angulaires de la contribution de lISACA la communaut des auditeurs. La structure des Normes daudit des SI fournit de nombreux niveaux dassistance : Les Normes dfinissent des exigences obligatoires en matire daudit des SI et de reporting. Elles informent : Les auditeurs des SI sur le niveau minimum de performances requis pour satisfaire aux responsabilits stipules dans le Code dthique professionnelle de lISACA Les dirigeants dentreprise et les autres parties concernes sur les attentes de la profession en matire dagissements des praticiens Les titulaires de la certification CISA (Certified Information Systems Auditor Auditeur informatique certifi) sur les exigences de leur charge. Toute incapacit mettre en uvre ces normes peut entraner une enqute sur la conduite du titulaire de la certification CISA par le Conseil dadministration de lISACA ou tout autre Comit appropri et, en dfinitive, des actions disciplinaires. Les Directives apportent des instructions sur lapplication des Normes daudit des SI. Lauditeur des SI doit sy rfrer au moment de mettre en uvre les normes, faire appel son jugement professionnel avant de les appliquer et se prparer justifier tout cart vis--vis delles. Les Directives daudit des SI visent fournir de plus amples informations sur la manire de se conformer aux normes applicables. Les Procdures constituent des exemples de mthodes quun auditeur des SI peut appliquer lors dune mission daudit. La documentation des procdures contient des informations sur la mise en uvre des normes daudit des SI, mais ne fixe pas dobligations. Les Procdures daudit des SI visent fournir de plus amples informations sur la manire de se conformer aux normes applicables. Les ressources du COBIT constituent un modle de bonnes pratiques. La structure du COBIT prcise : Les dirigeants ont pour responsabilit de prserver lensemble des actifs de lentreprise. Pour exercer cette responsabilit et atteindre leurs objectifs, les dirigeants doivent tablir un systme de contrle interne adapt. Le rfrentiel COBIT fournit un ensemble dtaill de contrles et de techniques de contrle destin aux environnements de gestion des systmes dinformation. Dans le COBIT, le choix des lments les plus pertinents pour un audit particulier est bas sur la slection de processus TI spcifiques et sur la prise en compte des critres dinformation du COBIT. Comme le prcise la structure du COBIT, chacun des lments suivants est organis par processus de gestion TI. Le modle COBIT est destin aux dirigeants et aux responsables des TI, mais aussi aux auditeurs des SI. Par consquent, son utilisation permet de comprendre les objectifs de lentreprise, de faire connatre les meilleures pratiques et dmettre des recommandations autour dune rfrence normative comprise et respecte de tous. Le COBIT inclut : Des objectifs de contrle Dclarations gnriques dtailles et de haut niveau pour un contrle de qualit minimale Des pratiques de contrle Justifications pratiques et instructions de mise en uvre pour les objectifs de contrle Des directives daudit Instructions relatives chaque zone de contrle sur la manire de comprendre les problmatiques, dvaluer chaque contrle, de mesurer la conformit et de quantifier le risque de contrles non satisfaisants Des directives de gestion Instructions sur la manire dvaluer et damliorer les performances des processus TI laide de la mtrologie, de modles de maturit et de facteurs de succs essentiels. Elles constituent une structure oriente gestion pour lauto-valuation des contrles continus et proactifs spcifiquement centre sur : La mesure des performances Jusqu quel point la fonction TI rpond-elle aux besoins de lentreprise ? Les directives de gestion permettent de mettre en uvre des ateliers dauto-valuation, mais aussi dassurer lapplication par les dirigeants de procdures de vrification et damlioration continues dans le cadre dun plan de gouvernance TI. Dfinition du profil des contrles TI Quels sont les processus TI importants ? Quels sont les facteurs de succs essentiels dun contrle ? Sensibilisation Quels sont les risques que les objectifs ne soient pas atteints ? talonnage concurrentiel Que font les autres ? Comment mesurer et comparer les rsultats ? Les directives de gestion proposent des exemples de mtrologie au service de lvaluation des performances TI en entreprise. Les indicateurs dobjectifs essentiels soulignent et mesurent les rsultats des processus TI et les indicateurs de performances essentiels valuent lefficacit des processus en quantifiant les lments favorables. Les modles et attributs de maturit assurent lvaluation des capacits et ltalonnage concurrentiel. Ils aident les dirigeants mesurer les capacits de contrle, mais aussi identifier les besoins de vrification et les stratgies damlioration. Un glossaire est disposition sur le site Internet de lISACA ladresse www.isaca.org/glossary. Dans ce glossaire, les termes audit et rvision sont interchangeables. Exclusion de responsabilit : LISACA a conu ces directives comme le niveau minimum de performances requis pour satisfaire aux responsabilits stipules dans son Code dthique professionnelle. LISACA ne saurait garantir que lutilisation de ce produit constitue une assurance de rsultat. La prsente publication ne saurait tre considre comme incluant lensemble des procdures et tests adapts ou comme excluant dautres procdures et tests susceptibles de conduire raisonnablement des rsultats similaires. Au moment de dterminer la proprit dune procdure ou dun test spcifique, le professionnel du contrle doit faire appel son propre jugement professionnel en fonction des circonstances, des systmes impliqus ou de lenvironnement technologique.

Le Comit de normalisation de lISACA sengage raliser une vaste consultation pour prparer les Normes, Directives et Procdures daudit des SI. Avant dditer ses documents, le Comit de normalisation publie des exposs-sondages lchelle internationale pour recueillir les avis du grand public. Si ncessaire, le Comit de normalisation consulte galement des personnalits dont lexpertise ou lintrt dans le domaine abord est susceptible dapporter un clairage utile. Dans le cadre de son programme de dveloppement continu, le Comit de normalisation encourage les membres de lISACA et toutes les parties intresses lui signaler les problmes mergents qui ncessitent ltablissement de nouvelles normes. Envoyer les suggestions par courrier lectronique (standards@isaca.org), par tlcopie (+1.847.253.1443) ou par courrier postal (adresse la fin de ce document) au sige international de lISACA, lattention du directeur de la recherche normative et des relations avec les universits. Date de publication du prsent document : 15 mai 2006. S13 Utilisation du travail dautres experts Introduction 01 Les Normes de lISACA contiennent des principes de base et des procdures essentielles obligatoires, indiqus en caractres gras, ainsi que les instructions associes. 02 Cette norme daudit des SI a pour objet dtablir et de fournir des instructions lauditeur des SI qui utilise le travail dautres experts sur un audit. Normes 03 Lauditeur des SI doit, le cas chant, envisager dutiliser le travail dautres experts pour laudit. 04 Avant de commencer la mission, lauditeur des SI doit valuer et tre satisfait des qualifications professionnelles, des comptences, de lexprience voulue, des ressources, de lindpendance et des processus de contrle de la qualit dautres experts. 05 Lauditeur des SI doit valuer et examiner le travail dautres experts dans le cadre de laudit et conclure dans quelle mesure le travail de lexpert peut tre utilis et considr comme fiable. 06 Lauditeur des SI doit dterminer et conclure si le travail dautres experts est adquat et complet afin quil puisse tirer des conclusions concernant les objectifs daudit actuels. Une telle conclusion doit tre clairement documente. 07 Lauditeur des SI doit appliquer des procdures de test supplmentaires afin de rassembler suffisamment dlments probants daudit dans des circonstances o le travail dautres experts ne fournit pas des lments probants suffisants et appropris. 08 Lauditeur des SI doit fournir une opinion adquate et inclure une limitation de ltendue si des procdures de test supplmentaires ne permettent pas dobtenir des lments probants. Instructions complmentaires 09 Lauditeur des SI doit envisager dutiliser le travail dautres experts dans laudit en prsence de contraintes susceptibles de nuire au travail daudit effectuer ou aux gains potentiels en matire de qualit de laudit. Ces contraintes sont notamment la connaissance requise par la nature technique des tches effectuer, des ressources daudit insuffisantes et des contraintes de temps. 10 Un expert pourrait tre un auditeur des SI du cabinet dexpertise comptable externe, un consultant de direction, un expert informatique ou un expert dans le domaine de laudit qui a t nomm par la direction ou par lquipe daudit des SI. 11 Un expert peut appartenir ou non une organisation. Si un expert est engag par un autre tiers de lorganisation, le rapport de cet expert peut tre considr comme fiable. Dans certains cas, cela peut rduire le besoin de ltendue dun audit des SI mme si lauditeur des SI na pas accs aux documents papier et la documentation justificative. Lauditeur des SI doit tre prudent lors de lmission dun avis sur de tels cas. 12 Lauditeur des SI doit avoir accs tous les documents papiers, toute la documentation justificative et tous les rapports dautres experts, lorsquun tel accs ne gnre pas de questions de droit. Lorsque laccs de lexpert aux dossiers cre des questions de droit, et quainsi un tel accs nest pas disponible, lauditeur des SI doit dterminer et conclure de faon adquate dans quelle mesure le travail de cet expert peut tre utilis et considr comme fiable. 13 Lavis/la pertinence/les commentaires de lauditeur des SI concernant la possible adoption du rapport de lexpert doivent tre inclus dans le rapport de lauditeur des SI. 14 Lauditeur des SI doit se reporter la norme daudit des SI no S6 Ralisation du travail daudit qui indique que lauditeur des SI doit obtenir des lments probants suffisants, fiables, pertinents et utiles pour atteindre les objectifs de laudit. 15 Si lauditeur des SI ne dispose pas des aptitudes ou autres comptences ncessaires la ralisation de laudit, il doit demander une aide comptente auprs dautres experts. Nanmoins, lauditeur des SI doit avoir une bonne connaissance du travail effectu mais ne pas tre sens disposer dun niveau de connaissance comparable celui de lexpert. 16 Lauditeur des SI doit se reporter la Directive daudit des SI no G1 Utilisation du travail dautres experts. 17 Se reporter aux instructions suivantes afin dobtenir des informations complmentaires concernant lutilisation du travail dautres auditeurs et experts : Directives daudit des SI : G5 Charte daudit G8 Documentation daudit G2 Demande dlments probants de laudit G10 Audit par sondages G13 Utilisation de lvaluation des risques dans la planification daudit COBIT 4.0, IT Governance Institute, 2005 IT Control Objectives for Sarbanes-Oxley, IT Governance Institute, 2004

Date de prise deffet 18 La prsente Norme ISACA sappliquera tous les audits de SI dbutant compter du 1er juillet 2006. Association de laudit et du contrle des systmes dinformation 2005-2006 Comit de normalisation Prsident, Sergio Fleginsky, CISA ICI Paints, Uruguay Svein Aldal Aldal Consulting, Norvge John Beveridge, CISA, CISM, CFE, CGFM, CQA Office of the Massachusetts State Auditor, tats-Unis Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguay Andrew MacLeod, CISA, CIA, FCPA, MACS PCP Brisbane City Council, Australie Meera Venkatesh, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, tats-Unis Ravi Muthukrishnan, CISA, CISM, FCA, ISCA Ikanos Communications, Inde John G. Ott, CISA, CPA AmerisourceBergen, tats-Unis Thomas Thompson, CISA, PMP Ernst & Young, mirats Arabes Unis

Copyright 2006 Information Systems Audit and Control Association (ISACA) 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 tats-Unis Tlphone : +1.847.253.1545 Tlcopie : +1.847.253.1443 E-mail : standards@isaca.org Site Web : www.isaca.org