Audit informatique
IT Governance est le leader de l’industrie en matière de gouvernance informatique, de gestion des risques, de conformité et de sécurité de l’information.
Vous trouverez sur cette page une sélection de nos formations reconnues en matière d’audit informatique.
Notre livre Swanson on Internal Auditing: Raising the Bar, est un point de départ essentiel pour tout professionnel IT souhaitant devenir un expert des audits informatiques.
CISA & qualification d’audit IT
ISACA (Information Systems Audit and Control Association) est une organisation professionnelle internationale dédiée à l’audit, au contrôle et à la sécurité des systèmes d’information. La qualification clé ISACA pour les auditeurs est CISA (Certified Information Systems Auditor).
Plus de 50 000 personnes ont obtenu cette qualification. Les Examens CISA se déroulent deux fois par an, en juin et en décembre.
Le texte officiel de préparation et de révision est mis à jour tous les ans. Vous pouvez commander votre copie ici : CISA Review and exam manual (worldwide shipping available).
Audit de sécurité de l’information et norme ISO 27001
La norme ISO 27001 sur la sécurité de l’information présente des exigences particulières en termes d’audits, internes et externes de sécurité de l’information. Une checklist complète sur les audits ISO 27001 est comprise dans notre livre Are You Ready for an ISO 27001 Audit?
ISAE 3402 et SSAE 16
ISAE 3402 et SSAE 16 sont les normes de l’industrie pour les entreprises de services et ont remplacé l’ancienne certification SAS 70.
ISAE 3402 est la norme internationale en matière de mission d’assurance (développée par l’International Auditing and Assurance Standards Board), alors que SSAE 16 est son équivalent américain (développé par l’American Institute of Certified Public Accountants).
Les entreprises de service souhaitant se lancer sur la scène internationale avec des cabinets requérant des rapports SOC seront audité contre ISAE 3402.
Types de rapports :
- Le rapport SOC 1 fournit des informations aux clients sur les contrôles internes affectant les états financiers de votre organisation.
- Le rapport SOC 2 fournit des informations sur les contrôles non-financiers affectant l’intégrité de la sécurité des données, de la confidentialité, de la disponibilité, de la vie privée et du traitement. Le rapport vérifie l’application et la mise en place des contrôles.
- Un rapport SOC 3 fournit des informations sur les contrôles non-financiers et vérifie que ces contrôles sont appliqués et mise en place de manière efficace afin d’atteindre leurs objectifs.
L’ISAE (International Standard on Assurance Engagements) 3402 Type II, contrairement à Type I, vérifie que les contrôles soient réellement appliqués et mis en place, alors que Type III évalue l’efficacité de ces contrôles.
Apprenez en plus sur notre page dédiée aux rapports SOC.
Qu’est-ce qu’un audit informatique ?
Etudier “ce qui se passe dehors” de manière pro-active est de plus en plus important pour des audits IT réussis. Des recherches régulières sur les sites ci-dessous, en plus d’explorations périodiques des ressources d’audit via Google et autres outils de recherche, peuvent vous aider à rester à jour en matière d’outils et d’informations concernant les pratiques d’audit. Les auditeurs doivent faire des recherches concernant les outils d’audit disponibles, mais également les pratiques d’audit recommandées par les professionnels. Ces deux aspects sont essentiels en matière d’audit.
"Un audit informatique (en anglais Information Technology Audit ou IT Audit) est une évaluation des contrôles au sein de l’infrastructure des technologies de l’information de l’entité. Ces examens peuvent être effectués conjointement à un audit des états financiers, à un audit interne ou une autre forme de preuves d’engagement.
Un audit informatique est le processus de collecte et d’évaluation des opérations, des pratiques et des systèmes d’informations d’une organisation. Cette évaluation permet de savoir si les systèmes d’information d’une entreprise protègent les actifs, entretiennent l’intégrité des données et opèrent de manière efficace afin d’atteindre les objectifs de l’entreprise." (Wikipedia)
- The Institute of Internal Auditors, y compris :
- The Institute of Chartered Accountants in England and Wales (ICAEW), y compris :
- EU Single Market - Auditing
- AuditNet
- The Information Systems Audit and Control Association (ISACA), y compris :
- US Federal Financial Institutions Examination Council (FFIEC)
- US Government Accountability Office (GAO)
- The Treasury Board of Canada Secretariat
- CCAF (Canadian Comprehensive Auditing Foundation)
- The International Organisation of Supreme Audit Institutions (INTOSAI)
- The Center for Education and Research in Information Assurance and Security (CERIAS)
- Wikipedia entry: Information technology audit
Les informations et ressources comprises sur cette page sont fournies par Dan Swanson, spécialiste des audits internes ayant plus de 26 ans d’expérience, et qui était récemment directeur des pratiques professionnelles à l’Institut des auditeurs internes.
Dan a effectué des projets d’audit pour plus de 30 entreprises, passant près de 10 ans à effectuer des audits pour le gouvernement, au niveau fédéral, provincial et municipal et le reste dans le secteur privé principalement dans les secteurs financiers, de transport et de santé.
Il a effectué près de 100 audits internes au cours de sa carrière, y compris : des audits opérationnels, des audits de système, des audits financiers, des audits sur le rapport qualité-prix, des audits exhaustifs et plus encore. Il a réalisé près de 50 audits de conversion informatique et une douzaine d’audits exhaustifs de la fonction de la technologie de l’information.
Auteur de plus de 70 articles sur l’audit interne, Dan est un auteur indépendant et consultant dans un cabinet éponyme. Il peut être contacté via email.
Discuter avec un expert
Vous avez besoin d'aide ? Nous sommes là pour vous aider.