NORME DAUDIT DES SYSTMES DINFORMATION IRRGULARITS ET ACTES ILLGAUX

DOCUMENT N S9
Le caractre spcialis de laudit des systmes d'information (SI) et les comptences requises pour effectuer un tel audit rendent ncessaire la mise en uvre de normes spcifiquement adaptes cette discipline. Lun des objectifs de lISACA (Information Systems Audit and Control Association Association de laudit et du contrle des systmes dinformation) est de proposer des normes mondialement applicables conformes son optique. Le dveloppement et la promulgation de Normes daudit des SI sont des pierres angulaires de la contribution de lISACA la communaut des auditeurs. La structure des Normes daudit des SI fournit de nombreux niveaux dassistance : Les Normes dfinissent des exigences obligatoires en matire daudit des SI et de reporting. Elles informent : Les auditeurs des SI sur le niveau minimum de performances requis pour satisfaire aux responsabilits stipules dans le Code dthique professionnelle de lISACA Les dirigeants dentreprise et les autres parties concernes sur les attentes de la profession en matire dagissements des praticiens Les titulaires de la certification CISA (Certified Information Systems Auditor Auditeur informatique certifi) sur les exigences de leur charge. Toute incapacit mettre en uvre ces normes peut entraner une enqute sur la conduite du titulaire de la certification CISA par le Conseil dadministration de lISACA ou tout autre Comit appropri et, en dfinitive, des actions disciplinaires. Les Directives apportent des instructions sur lapplication des Normes daudit des SI. Lauditeur des SI doit sy rfrer au moment de mettre en uvre les normes, faire appel son jugement professionnel avant de les appliquer et se prparer justifier tout cart vis-vis delles. Les Directives daudit des SI visent fournir de plus amples informations sur la manire de se conformer aux normes applicables. Les Procdures constituent des exemples de mthodes quun auditeur des SI peut appliquer lors dune mission daudit. La documentation des procdures contient des informations sur la mise en uvre des normes daudit des SI, mais ne fixe pas dobligations. Les Procdures daudit des SI visent fournir de plus amples informations sur la manire de se conformer aux normes applicables. Les ressources du COBIT constituent un modle de bonnes pratiques. La structure du COBIT prcise : Les dirigeants ont pour responsabilit de prserver lensemble des actifs de lentreprise. Pour exercer cette responsabilit et atteindre ses objectifs, les dirigeants doivent tablir un systme de contrle interne adapt. Le rfrentiel COBIT fournit un ensemble dtaill de contrles et de techniques de contrle destin aux environnements de gestion des systmes dinformation. Dans le COBIT, le choix des lments les plus pertinents pour un audit particulier est bas sur la slection de processus TI spcifiques et sur la prise en compte des critres dinformation du COBIT. Comme le prcise la structure du COBIT, chacun des lments suivants est organis par processus de gestion TI. Le modle COBIT est destin aux dirigeants et aux responsables des TI, mais aussi aux auditeurs des SI. Par consquent, son utilisation permet de comprendre les objectifs de lentreprise, de faire connatre les meilleures pratiques et dmettre des recommandations autour dune rfrence normative comprise et respecte de tous. Le COBIT inclut : Des objectifs de contrle Dclarations gnriques dtailles et de haut niveau pour un contrle de qualit minimale Des pratiques de contrle Justifications pratiques et instructions de mise en uvre pour les objectifs de contrle Des directives daudit Instructions relatives chaque zone de contrle sur la manire de comprendre les problmatiques, dvaluer chaque contrle, de mesurer la conformit et de quantifier le risque de contrles non satisfaisants Des directives de gestion Instructions sur la manire dvaluer et damliorer les performances des processus TI laide de la mtrologie, de modles de maturit et de facteurs de succs essentiels. Elles constituent une structure oriente gestion pour lautovaluation des contrles continus et proactifs spcifiquement centre sur : La mesure des performances Jusqu quel point la fonction TI rpond-elle aux besoins de lentreprise ? Les directives de gestion permettent de mettre en uvre des ateliers dauto-valuation, mais aussi dassurer lapplication par les dirigeants de procdures de vrification et damlioration continues dans le cadre dun plan de gouvernance TI. Dfinition du profil des contrles TI Quels sont les processus TI importants ? Quels sont les facteurs de succs essentiels dun contrle ? Sensibilisation Quels sont les risques que les objectifs ne soient pas atteints ? talonnage concurrentiel Que font les autres ? Comment mesurer et comparer les rsultats ? Les directives de gestion proposent des exemples de mtrologie au service de lvaluation des performances TI en entreprise. Les indicateurs dobjectifs essentiels soulignent et mesurent les rsultats des processus TI et les indicateurs de performances essentiels valuent lefficacit des processus en quantifiant les lments favorables. Les modles et attributs de maturit assurent lvaluation des capacits et ltalonnage concurrentiel. Ils aident les dirigeants mesurer les capacits de contrle, mais aussi identifier les besoins de vrification et les stratgies damlioration. Un glossaire est disposition sur le site Internet de lISACA ladresse www.isaca.org/glossary. Dans ce glossaire, les termes audit et review sont interchangeables. Exclusion de responsabilit : LISACA a conu ces directives comme le niveau minimum de performances requis pour satisfaire aux responsabilits stipules dans son Code dthique professionnelle. LISACA ne saurait garantir que lutilisation de ce produit constitue une assurance de rsultat. La prsente publication ne saurait tre considre comme incluant lensemble des procdures et tests adapts ou comme excluant dautres procdures et tests susceptibles de conduire raisonnablement des rsultats similaires. Au moment de

dterminer la proprit dune procdure ou dun test spcifique, le professionnel du contrle doit faire appel son propre jugement professionnel en fonction des circonstances, des systmes impliqus ou de lenvironnement technologique. Le Comit de normalisation de lISACA sengage raliser une vaste consultation pour prparer les Normes, Directives et Procdures daudit des SI. Avant dditer ses documents, le Comit de normalisation publie des exposs-sondages lchelle internationale pour recueillir les avis du grand public. Si ncessaire, le Comit de normalisation consulte galement des personnalits dont lexpertise ou lintrt dans le domaine abord est susceptible dapporter un clairage utile. Dans le cadre de son programme de dveloppement continu, le Comit de normalisation encourage les membres de lISACA et toutes les parties intresses lui signaler les problmes mergents qui ncessitent ltablissement de nouvelles normes. Envoyer les suggestions par courrier lectronique (standards@isaca.org), par tlcopie (+1 847 253 1443) ou par courrier postal (adresse la fin de ce document) au sige international de lISACA, lattention du directeur de la recherche er normative et des relations avec les universits. Date de publication du prsent document : 1 juillet 2005. S9 Irrgularits et actes illgaux Introduction 01 Les Normes de lISACA contiennent des principes de base et des procdures essentielles obligatoires, indiqus en caractres gras, ainsi que les instructions associes. 02 La prsente Norme ISACA a pour objectif ltablissement et la promulgation dinstructions concernant les irrgularits et les actes illgaux que lauditeur des SI doit prendre en compte durant le processus daudit. Norme 03 Pendant la planification et lexcution du contrle visant rduire les risques daudit au minimum, lauditeur des SI doit prendre en compte la possibilit dirrgularits et dactes illgaux. 04 Lauditeur des SI doit conserver une attitude de scepticisme professionnel au cours de laudit. Il doit admettre la possibilit que des anomalies significatives dues des irrgularits ou des actes illgaux puissent exister, quelle que soit sa propre valuation du risque en la matire. 05 Lauditeur des SI doit comprendre lentreprise et son environnement, notamment ses contrles internes. 06 Il doit collecter des lments probants suffisants et pertinents pour dterminer si la direction ou dautres personnes dans lentreprise ont connaissance dirrgularits ou dactes illgaux avrs, suspects ou allgus. 07 Lorsquil met en uvre les procdures daudit pour comprendre lentreprise et son environnement, lauditeur des SI doit tenir compte des relations inhabituelles ou inattendues susceptibles dindiquer un risque danomalies significatives rsultant dirrgularits ou dactes illgaux. 08 Lauditeur des SI doit laborer et appliquer des procdures visant vrifier la pertinence des contrles internes et le risque de voir la direction passer outre ces contrles. 09 Lorsque lauditeur des SI identifie une anomalie, il doit valuer si elle constitue un signe dirrgularit ou dacte illgal. Si tel est le cas, lauditeur des SI doit envisager les implications dans dautres aspects de laudit, en particulier dans les dclarations de la direction. 10 Au minimum une fois par an, ou plus souvent si la mission daudit le prvoit, la direction doit remettre une dclaration crite lauditeur des SI. La direction doit : reconnatre sa responsabilit dans llaboration et la mise en uvre de contrles internes visant prvenir et reprer les irrgularits ou les actes illgaux ; dvoiler lauditeur des SI tout rsultat dune valuation des risques indiquant une possible anomalie significative issue dune irrgularit ou dun acte illgal ; informer lauditeur des SI des irrgularits ou actes illgaux touchant lentreprise dont elle a pris connaissance et lis : la direction les personnes qui jouent un rle important dans les contrles internes informer lauditeur des SI des irrgularits ou actes illgaux allgus ou suspects touchant lentreprise dont elle a pris connaissance et rvls par des collaborateurs, des ex-collaborateurs, des autorits de rglementation et autres. 11 Si lauditeur des SI identifie une irrgularit matrielle ou un acte illgal, ou sil obtient des informations sur des faits de ce type, il doit avertir en temps utile le niveau hirarchique appropri de la direction. 12 Si lauditeur des SI identifie une irrgularit matrielle ou un acte illgal impliquant la direction ou des collaborateurs de lentreprise qui jouent un rle important dans les contrles internes, il doit avertir en temps utile les personnes charges de la gouvernance. 13 Lauditeur des SI doit avertir le niveau hirarchique appropri de la direction et les personnes charges de la gouvernance en cas de faiblesse matrielle dcele dans la conception et la mise en uvre des contrles internes, ceci afin de prvenir et de reprer les irrgularits et les actes illgaux qui auront t ports sa connaissance durant laudit. 14 Si lauditeur des SI rencontre des circonstances exceptionnelles qui affectent sa capacit poursuivre laudit en raison dune anomalie significative ou dun acte illgal, il doit prendre en compte les responsabilits juridiques et professionnelles applicables en pareil cas. Par exemple, il peut se demander sil est soumis lobligation de signaler ces circonstances aux commanditaires de sa mission, voire aux personnes charges de la gouvernance ou aux autorits de rglementation. Il peut galement envisager de se retirer de sa mission. 15 Lauditeur des SI doit documenter lensemble des communications, planifications, rsultats, valuations et conclusions lis aux irrgularits matrielles et aux actes illgaux signals la direction, aux personnes charges de la gouvernance, aux autorits de rglementation et autres.

Page 2 Norme daudit des SI Irrgularits et actes illgaux

Commentaire 16 Lauditeur des SI doit se rfrer la Directive daudit des SI n G19, Irrgularits et actes illgaux, pour obtenir une dfinition de ce qui constitue une irrgularit et un acte illgal. 17 Dans la limite du raisonnable, lauditeur des SI doit vrifier labsence danomalies significatives dues des irrgularits ou des actes illgaux. En raison de divers facteurs, par exemple lutilisation de son jugement, ltendue de laudit et les limites inhrentes aux contrles internes, il nest pas possible lauditeur des SI dobtenir une certitude absolue. Les lments probants mis la disposition de lauditeur des SI pendant le contrle doivent tre de nature convaincante plutt que concluante . 18 Le risque de ne pas dceler une anomalie significative due un acte illgal est plus important que celui de ne pas dceler une anomalie significative due une irrgularit ou une erreur. En effet, les actes illgaux peuvent saccompagner de manuvres complexes visant dissimuler les faits ou les fausses dclarations intentionnelles lauditeur des SI. 19 Lauditeur des SI doit sappuyer sur sa connaissance et son exprience de lentreprise pour raliser laudit. Lorsquil demande des renseignements et applique les procdures daudit, lauditeur des SI ne doit pas occulter compltement toute exprience passe, mais doit faire montre dun certain scepticisme professionnel. Lauditeur des SI ne doit pas se satisfaire dlments probants qui ne seraient pas au minimum convaincants au motif quil considre la direction et les personnes charges de la gouvernance comme honntes et intgres. Dans le cadre du processus de planification et au cours de laudit lui-mme, lauditeur des SI et lquipe de mission doivent discuter de la sensibilit de lentreprise aux irrgularits et aux actes illgaux. 20 Pour valuer le risque dirrgularits matrielles et dactes illgaux, lauditeur des SI doit faire appel : sa connaissance et son exprience de lentreprise (notamment son exprience de lhonntet et de lintgrit de la direction et des personnes charges de la gouvernance) ; aux informations obtenues aprs demande de renseignements auprs de la direction ; aux dclarations de la direction et aux approbations des contrles internes ; toute autre information fiable obtenue au cours de laudit ; lvaluation par la direction du risque dirrgularits et dactes illgaux, aux procdures que la direction a mises en uvre pour identifier ce risque et aux contre-mesures quelle a prvues le cas chant. 21 Se rfrer aux instructions suivantes pour plus dinformations sur les irrgularits et les actes illgaux : Directive daudit des SI n G5, Charte daudit Structure COBIT, objectifs de contrle DS3, DS5, DS9, DS11 et PO6 Loi Sarbanes-Oxley Act de 2002 Loi Foreign Corrupt Practices Act de 1977 Date de prise deffet er 22 La prsente Norme ISACA sappliquera tous les audits de systmes dinformation dbutant compter du 1 septembre 2005 inclus. Association de laudit et du contrle des systmes dinformation 2004-2005 Comit de normalisation Prsident, Sergio Fleginsky, CISA ICI Paints, Uruguay Svein Aldal Aldal Consulting, Norvge John Beveridge, CISA, CISM, CFE, CGFM, CQA Office of the Massachusetts State Auditor, tats-Unis Claudio Cilli, Ph.D., CISA, CISM, CIA, CISSP Tangerine Consulting, Italie Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguay Andrew MacLeod, CISA, CIA, FCPA, PCP Brisbane City Council, Australie V. Meera, CISA, CISM, ACS, CWA Microsoft Corporation, tats-Unis Ravi Muthukrishnan, CISA, CISM, FCA, ISCA Ikanos Communications, Inde Peter Niblett, CISA, CISM, CA, CIA, FCPA WHK Day Neilson, Australie John G. Ott, CISA, CPA AmerisourceBergen, tats-Unis Thomas Thompson, CISA Ernst & Young, mirats Arabes Unis Copyright 2005 Information Systems Audit and Control Association 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 tats-Unis Tlphone : +1.847.253.1545 Tlcopie : +1.847.253.1443 E-mail : standards@isaca.org Site Web : www.isaca.org

Norme daudit des SI Irrgularits et actes illgaux Page 3