Principes de base de l'audit informatique

1. 1. Introduction: Bonjour et bienvenue dans le cours sur les fondamentaux de l' audit informatique. Je suis patient et, en tant que professeur, mon objectif est de partager avec vous les principes fondamentaux de l'audit informatique. Ce cours est un élément de important pour acquérir une meilleure compréhension de l'informatique. Audit et contrôles testés. 2. 2. Introduction à l'audit et aux contrôles informatiques: Bien, commençons par la première conférence, Introduction à l' audit et aux contrôles informatiques. Dans cette conférence, nous aborderons les points suivants. Nous définirons l'informatique, les audits, les contrôles définis, expliquerons la hiérarchie des contrôles, les raisons des contrôles et les éléments des contrôles. Nous passerons également en revue les types de commandes et passerons en revue plusieurs exemples pour vous familiariser avec le concept des commandes. Tout d'abord, qu'est-ce qu'un audit informatique ? À l'écran, vous pouvez voir ce que j'appelle la définition plus formelle des audits informatiques. En termes simples, un audit informatique est simplement un examen des contrôles intégrés dans et autour du système informatique. Et l'efficacité de ces contrôles est évaluée. Cela signifie que nous procédons à une évaluation pour déterminer s'il fonctionne comme il est censé l'être. Atténuer facilement le risque conçu pour remédier ou répond-il aux exigences de conformité minimales ? Vous vous demandez peut-être ce qu'est un contrôle ? Si vous ne savez pas ce qu' est un contrôle pour le moment, ce n'est pas grave. Accroche-toi. Nous y reviendrons un peu plus tard. Une chose que je souhaite aborder ici est que lorsque des audits informatiques sont effectués, ils ne fournissent qu'une assurance raisonnable quant l'exhaustivité et à l'exactitude des données des systèmes informatiques. Ils ne fournissent pas une assurance absolue car sont toujours des aspects de l'environnement de contrôle qui ne peuvent pas être pris en compte. Par exemple, les contrôles automatisés peuvent donner l'impression qu'un système tombe en panne. Ou un contrôle manuel peut être annulé par n'importe quel être humain. Ou vous pouvez avoir des objectifs de contrôle qui ne sont pas correctement conçus au départ. Il. Les audits ne sont pas censés être absolus. Ils ne peuvent que donner une assurance raisonnable quant l'exhaustivité et à l'exactitude des données des systèmes informatiques. Très bien, ensuite, définissons les contrôles. Quels sont nos contrôles. Encore une fois, à l'écran, vous pouvez voir une définition plus formelle des contrôles. Mais en termes simples, un contrôle est comme une activité de point de contrôle mise en œuvre pour réduire le risque qu' mise en œuvre pour réduire le risque une action indésirable se produise. Le but d'un contrôle est d'atténuer les risques qui peuvent empêcher l'entreprise atteindre ses objectifs d'entreprise. Les risques peuvent être des risques de conformité, des risques opérationnels, des risques de réputation ou même des risques liés à l' information financière. Le contrôle est donc l'activité mise en œuvre pour réduire ce risque. Parlons maintenant des contrôles clés, car il peut y avoir plusieurs, voire des centaines de contrôles dans une organisation. Cependant, seul un sous-ensemble d'entre eux est généralement considéré comme des contrôles clés. Les contrôles Keep sont les contrôles réellement essentiels pour protéger l'intégrité des systèmes du point de vue de la conformité ou de tout autre point de vue des zones à risque, comme indiqué sur le toboggan. Et vous pouvez voir que leurs contrôles clés sont nécessaires pour atteindre un objectif. La défaillance d'un contrôle clé a généralement un impact significatif sur l'organisation. Si un contrôle non clé le remplit parfois, d'accord ? Mais s'il s'agit d'un champ de contrôle clé, cela signifie généralement qu'il y a un problème plus important. Prenons donc un exemple ici. Par exemple, un contrôle clé peut consister à limiter l'accès pour apporter des modifications au bilan. Cela signifie qu'il existe un contrôle qui limite les personnes qui peuvent modifier directement le bilan. Si ce contrôle est rempli, cela signifie que les informations du bilan peuvent ne pas être fiables parce qu'une autre raison est qu'une personne non autorisée peut avoir apporté des modifications inappropriées. Veuillez noter qu' une compréhension approfondie des contrôles, de la façon dont ils sont définis et mis en œuvre est essentielle à votre succès en tant qu'auditeur informatique. Je suis convaincu que vous devez comprendre pourquoi vous testez un contrôle avant de pouvoir concevoir efficacement la manière dont vous testez ce contrôle. Si vous ne comprenez pas ce que le contrôle protège, par exemple les approbations de paiement du bilan ou des factures, le test que vous concevez et effectuez peut ne pas être adéquat pour traiter le risque de ce contrôle n'étant pas correctement mis en œuvre. Très bien, parlons de la hiérarchie des contrôles. Cette image montre la hiérarchie des contrôles ou des contrôles qui existent généralement pour atteindre un objectif de contrôle. Un exemple d' objectif de contrôle pourrait être un. Les contrôles fournissent une assurance raisonnable que l' accès au système des comptes fournisseurs est limité aux personnes autorisées. Deuxièmement, les contrôles fournissent une assurance raisonnable que l' accès aux systèmes financiers pour apporter des modifications aux systèmes financiers est limité aux personnes autorisées. Il s'agit d'objectifs de contrôle. Afin d'atteindre ces objectifs de contrôle, des contrôles tels que les contrôles d'accès des utilisateurs, qui limitent. Les personnes qui peuvent accéder à ces zones ou les contrôles par mot de passe qui déterminent ou imposent l'utilisation de mots de passe pour accéder à ces systèmes. Et des contrôles de privilèges sont mis en œuvre. Ensuite, je vais contrôler que l'objectif est en place pour atteindre un objectif d'audit. Un exemple d'objectif d'audit est qu'il existe une assurance raisonnable que les états financiers sont fiables et qu' ils sont exempts d' inexactitudes significatives. Ou pour les audits liés à la norme PCI, un des objectifs de l'audit pourrait être de garantir raisonnablement que le traitement des paiements par le système est garantir raisonnablement que adéquat rapidement sécurisé pour protéger les informations des clients. Les objectifs de cet audit sont donc du niveau supérieur. Ils constituent le niveau le plus élevé qui doit être atteint. Pour atteindre l'objectif de l'audit, nous devons nous en tenir à l'objectif de contrôle qui le décompose davantage. Ensuite, pour atteindre un objectif de contrôle, vous devez disposer des contrôles réels qui vous aideront à atteindre cet objectif. Et comme vous pouvez le voir sur la diapositive, l'objectif de l'audit est généralement le but de l'audit, ce que l'auditeur s'attend à atteindre. Ensuite, l' objectif de contrôle est constitué des objectifs de gestion qui sont utilisés comme cadre pour développer et mettre en œuvre des contrôles afin d'atteindre l'objectif global. Bienvenue dans la deuxième partie de la conférence sur l' audit et les contrôles informatiques. Nous commencerons par les raisons des contrôles. Voyons donc pourquoi les organisations mettent en œuvre des contrôles. Les contrôles sont mis en œuvre pour de nombreuses raisons différentes. L'une d'entre elles concerne la fiabilité des rapports financiers. Les organisations doivent démontrer qu'elles ont mis en place des contrôles pour fournir une assurance raisonnable que les rapports financiers sont exacts et fiables à l'aide de clés publiques ou privées, les parties prenantes. Ainsi, pour être en mesure de les démontrer, les organisations doivent démontrer qu'elles ont mis en place des contrôles pour garantir cette assurance. Un autre point que nous avons ici est la conformité aux lois et réglementations applicables. Les contrôles sont mis en œuvre parce que les lois et réglementations l'exigent. Par exemple, le règlement Sarbanes-Oxley oblige la direction à fournir une assertion sur les contrôles qu'elle a mis en œuvre et testés dans le cadre de son processus d'information financière. C'est ce que l'on appelle Eco pour les contrôles internes des rapports financiers. autres exemples, citons les normes réglementaires PCI et SSE 16. Cela nécessite également la mise en œuvre de contrôles afin de pouvoir tester, le cas échéant sur la base de ces normes particulières. Une autre raison des contrôles serait d' assurer l'efficacité et l' efficience des opérations. Lorsque les organisations disposent de contrôles, certaines activités opérationnelles sont plus rationalisées et elles sont mieux placées pour aider l'organisation à atteindre ses objectifs. Bien que cela ne soit pas lié à certaines lois et normes, elles sont tout de même cruciales pour le succès de l'entreprise. Par exemple, les pratiques d'embauche des ressources humaines sont soumises à des contrôles pour garantir que des candidats qualifiés sont embauchés. Il pourrait également y avoir des contrôles concernant la protection des secrets commerciaux ou des formules. Une autre raison des contrôles est qu'ils permettent d'obtenir des processus définissables et reproductibles qui améliorent la cohérence des résultats d'exploitation. Lorsque les contrôles sont correctement mis en œuvre, certaines activités deviennent reproductibles et standardisées voire automatisées pour garantir la cohérence continue des processus. Par exemple rapports de bilan de référence peuvent être revus périodiquement afin détecter et de corriger toute anomalie dans les livres financiers. En outre, vous pouvez avoir contrôles de rapprochement mis en œuvre des contrôles de rapprochement pour garantir que les soldes financiers sont toujours synchronisés entre les entités afin que vous puissiez identifier et traiter rapidement tout incohérences. Vous voulez donc être en mesure de vérifier fréquemment les éléments pour vous assurer que les éléments censés être synchronisés ou qu'ils surviennent toujours. Enfin, et certainement pas la liste, la sécurité du système garantit que des contrôles sont mis en œuvre pour empêcher ou au moins dissuader les malfaiteurs d'accéder aux systèmes. d'accès utilisateur, contrôles par mot de passe, contrôles réseau, par exemple, configuration du pare-feu. Ils sont tous mis en œuvre pour garantir que seuls les utilisateurs autorisés et appropriés accèdent aux systèmes. Cela donne donc un aperçu de certaines raisons justifiant les contrôles. Ensuite, nous allons passer en revue les éléments des contrôles. Les contrôles doivent comporter certains éléments pour être considérés comme des contrôles adéquats. Selon le type de contrôle, il se peut qu'il ne contienne pas tous les éléments répertoriés dans cette diapositive. Cependant, il doit contenir suffisamment de ces éléments pour être considéré comme adéquat. Exemple adéquat de contrôle. Je vais lire un exemple, puis nous allons passer en revue cet élément. Des mots de passe sont nécessaires pour accéder au système. Il s'agit donc de la vérification du mot de passe ou d'un autre contrôle si l' accès au système nécessite un formulaire de demande d'accès utilisateur rempli et l'approbation du responsable. Il s'agit de contrôles pour des éléments spécifiques du système. Le premier élément est donc qu'est-ce qu'une activité de contrôle ? Qu'est-ce que l'activité de contrôle ? Par exemple, il peut s' d' un contrôle d'authentification et d'autorisation, d'un contrôle par mot de passe, comme ce que je viens de lire. Contrôle d'accès pour les livres, contrôle de rapprochement. Votre contrôle doit indiquer quelle est l'activité dans l'un des exemples que j'ai lus plus tôt , notamment l'approbation d' un formulaire de demande d'accès par un responsable. Le deuxième élément ici est la fréquence à laquelle le contrôle se produit, c'est-à-dire la fréquence. Cela peut être horaire, quotidien, hebdomadaire ou même M0. Et vous pouvez également avoir un contrôle automatique qui n' est qu'une vérification fréquente. Vous voulez donc indiquer quelle est la fréquence. Et s'il n'y a pas de fréquence définie, si c'est automatique, vous devez également la régler. Je vais plutôt m'en tenir à ça. Un autre élément est le titre de l'OMS qui effectue le contrôle. Et s'il y a une séparation des tâches, y a-t-il des conflits potentiels avec la personne qui effectue le contrôle, le responsable qui approuve le formulaire ne doit pas être la même personne qui est création d'un accès au système, par exemple vous voulez vous assurer que vous avez mis en place une séparation des tâches. Vous voulez donc indiquer le titre de la personne qui effectue le contrôle. Dans un exemple que j'ai mentionné plus tôt, le responsable est la personne ou a prouvé le formulaire, mais l'accès au système est généralement accordé par l'administrateur et vous pouvez l'inclure dans contrôle. Un autre élément est quel moment se produit l' activité de contrôle ? Y a-t-il un moment précis où la base de données se produit qu' il est important de noter ? Ainsi, par exemple, un examen quotidien des écritures de journal peut avoir lieu à 16 h 00 tous les jours avant la fermeture des bureaux ou a-t-il lieu après des activités spécifiques ? Y a-t-il des prédécesseurs dans le processus ? Vous pouvez donc tout coller. Vous pouvez également indiquer quelque chose comme une activité de compte utilisateur à privilèges temporaires qui peut avoir lieu après le verrouillage d' un utilisateur. Donc, s'il y a une séquence spécifique pour ce contrôle, c'est quelque chose que vous pourriez envisager d'ajouter au contrôle. Un autre élément que nous avons ici est que s'il existe des fichiers de documents de rapport qui seront utilisés pour effectuer le contrôle, il peut être raisonnable de les inclure dans le contrôle. Par exemple, s'il existe un contrôle concernant les avis d'accès des utilisateurs et que vous avez besoin rapport d'accès spécifique à générer à partir du système. Vous pouvez intégrer cela dans les commandes pour que l'on sache clairement en quoi consiste ce contrôle. Ou s'il s'agit de contrôles croisés équilibrés, balance de comptes qui nécessitent des rapports provenant de différents systèmes spécifiques. Vous pouvez l'indiquer afin de savoir clairement quel système ou quels rapports sont en cours de rapprochement. Enfin et surtout, nous avons des preuves produites à la suite de l' exécution du contrôle. Ainsi, lorsque le contrôle aura été effectué, quelles preuves seront conservées pour démontrer que le contrôle a réellement été effectué ? Par exemple, il peut s'agir d'un rapport contenant les résultats de l'examen de l'accès des utilisateurs ou d'un rapport indiquant les soldes des comptes qui ont été rapprochés. C'est quelque chose que vous pourriez envisager d'inclure dans votre contrôle. Je sais que nous avons beaucoup parlé de contrôles, mais il est important de noter ici sur la diapositive qu'un processus n'est pas maîtrisé. Le processus prend en charge le contrôle. L'objectif du contrôle n' est pas le contrôle. L'objectif du contrôle est simplement l'objectif du contrôle. Et le dernier élément est que les tests sont effectués sur le contrôle réel. Il est important de connaître la différence entre un contrôle qui est l'activité du point de contrôle et le processus qui entoure les supports qui le contrôlent. Et puis l'objectif de contrôle ultime que de nombreux contrôles clés vont soutenir. Ceci conclut cette partie de la conférence et la partie suivante de la conférence, nous parlerons des types de contrôle. Très bien, bienvenue à la prochaine partie de cette conférence. Nous allons commencer par parler des types de contrôle. Il existe différents types de contrôles, et ce sont les trois principaux types de contrôles. Vous pouvez trouver d'autres textes ou d'autres types de contrôle dans les textes d'audit, mais il s'agit généralement de catégories plus restreintes. Il s'agit des principales catégories de types de contrôles. Le premier concerne les contrôles préventifs. Des contrôles préventifs sont mis en œuvre pour empêcher qu'un événement indésirable ne se produise. Ces contrôles sont donc mis en place pour essayer d'empêcher que quelque chose de grave ne se produise. Le développement de ces contrôles implique donc d' essayer de prévoir problèmes potentiels qui pourraient survenir, puis de mettre en œuvre des moyens pour éviter ces contrôles, par exemple mots de passe, que vous demandez aux individus utilisez des identifiants de connexion et des mots de passe avant qu'ils puissent accéder aux systèmes. Vous pouvez également avoir une autre liste, le contrôle des privilèges, ce qui signifie que vous ne permettez aux individus d'accéder à ce dont ils ont besoin pour exercer leur fonction professionnelle. Ainsi, en faisant cela, vous évitez les problèmes potentiels à l'avenir. L'onglet de contrôle suivant est celui des contrôles de détection. Des contrôles de détection sont mis en œuvre pour identifier les événements indésirables qui se sont déjà produits. Ainsi, par exemple si votre contrôle préventif n'a pas été en mesure d'empêcher quelque chose de se produire, vous devez mettre en place des contrôles de détection afin de pouvoir réellement identifier si quelque chose s'est déjà produit. Il pourrait donc s'agir d'un examen périodique de l'accès habituel pour s'assurer que seules les bonnes personnes y ont accès. Vous pouvez également mettre en place plusieurs contrôles d'alerte et de gestion des événements contrôles d'alerte et de gestion des événements qui vous avertissent en cas de problème. Ils sont donc tous contrôlés par des détectives. Et la troisième catégorie ici, les contrôles correcteurs. Les contrôles correctifs sont conçus pour corriger les erreurs ou les irrégularités détectées. Donc, si vous avez déjà des problèmes persistants et que vous réfléchissez à des moyens de les résoudre. C'est à ce moment que vous introduisez des contrôles correctifs. des utilisateurs constitue un bon exemple formation ou le perfectionnement des utilisateurs constitue un bon exemple de contrôles correctifs. Si vous constatez qu'une erreur utilisateur est à l' origine de l'échec de nombreux contrôles préventifs préventifs, vous souhaiterez peut-être reformer ou former les utilisateurs s'ils n'ont pas été formés initialement. Passons maintenant en revue quelques exemples de contrôle. Les exemples que j'ai à l'écran ne sont pas dans un ordre particulier, nous allons donc les passer en revue. La première à l'écran est l'autorisation d'accès. Et le contrôle. L'accès des utilisateurs à l'application doit être autorisé par le responsable de la personne avant que l'accès ne soit accordé. Vous verrez ici l'élément de contrôle qui indique la nature de l'activité, à savoir l'approbation ou l' autorisation du responsable de la personne. Et vous comprenez que cela doit se produire avant l'accès utilisateur ne soit réellement accordé dans l'application. Vous pouvez donc constater que certains des éléments dont nous avons discuté précédemment se trouvent dans ce contrôle particulier. L'exemple suivant que nous avons sur la liste est l'accès administratif, et il indique que l'accès des superutilisateurs à la base de données SQL Server est limité aux administrateurs de base de données. Encore une fois, cela a également effet de dire qui est cette restriction. Parce que vous voyez ici qu'il s'agit d'abord l' accès des superutilisateurs à la base de données. Et il semblait que seules les personnes ayant un rôle professionnel de DBA devraient avoir accès à. Et il vous indique quelle est la base de données SQL Server. Encore une fois, vous pouvez voir où certains de ces éléments de contrôle dont nous avons parlé précédemment ont été couverts. Le troisième exemple que nous avons concerne la résiliation de l'accès des utilisateurs. Et on peut y lire que tous les utilisateurs résiliés voient leur compte réseau supprimé dans les deux jours suivant la résiliation. Cela est également très clair. Il s'agit d'utilisateurs résiliés. Il parle de l'axe, particulier de l' accès au compte réseau et se voit attribuer une durée de deux jours. Dans les deux jours suivant la résiliation, l'accès au réseau doit être supprimé. Il est donc très clair en quoi consiste cette activité de contrôle particulière. Et le dernier que nous avons à l'écran est un contrôle par mot de passe qui se lit. La base de données Oracle exige que les utilisateurs disposent de mots de passe comportant au moins huit caractères alphanumériques, et le mot de passe doit être changé au moins tous les 90 jours. Encore une fois, vous pouvez voir que c'est très précis. Cela vous indique que c'est pour la base de données Oracle en particulier. Et il vous indique les caractéristiques ou la phrase, les paramètres de configuration qui doivent être activés. Le paramètre du mot de passe doit donc comporter huit caractères alphanumériques qui sont notés. Ensuite, vous devez également vous assurer qu'il existe un paramètre d'exploration indiquant qu'un mot de passe expire au bout de 90 jours, date à laquelle il doit être modifié. Voici quelques exemples de contrôles supplémentaires. Le premier indique l' accès physique et il lit accès au centre de données est limité au personnel informatique. Et celui-ci est également très clair. Il s'agit du centre de données et de l'accès, ainsi que des rôles auxquels le personnel informatique devrait avoir accès. Ce contrôle pourrait être amélioré en indiquant s'il existe des groupes au sein du groupe informatique qui devraient y avoir accès ou ne devraient pas y avoir accès. Cela pourrait être une amélioration de ce contrôle, où vous êtes un peu plus précis quant qui doit avoir accès au centre de données. Le contrôle suivant que nous avons à l'écran est la gestion des modifications. Toutes les demandes de modification systèmes de l'organisation doivent être autorisées, testées et approuvées de manière appropriée avant la mise en œuvre. Cela contient également certains des éléments dont nous avons discuté car vous pouvez voir ici que nous parlons des demandes de modification. C'est la partie du contrôle qui vous indique les activités spécifiques qui doivent être effectuées pour les demandes de modification, notamment l' autorisation, les tests et l'approbation avant de les implémenter dans production. Le mot production est donc absent ici. C'est une amélioration que nous pourrions ajouter. Mais vous pouvez voir ici que plusieurs éléments sont présents pour le rendre très clair. Ce contrôle est à peu près le dernier contrôle dont nous disposons ici une formation en matière de politique informatique ? Cela indique que l'orientation des nouveaux employés comprend une formation de base de sensibilisation à la sécurité. Et une fois la formation terminée, le nouvel employé doit signer qu'il a terminé la formation. Et vous pouvez voir ici qu'il vous indique ce qui se passe. L'activité qui se déroule est la formation sur la sensibilisation à la sécurité. Et vous pouvez voir ici que la preuve de ce contrôle est en cours ou en cours d' exécution est la signature du nouvel employé qui indique qu'il a effectivement terminé la formation. Et vous pouvez voir certains éléments entrer en jeu ici. Comme indiqué précédemment. Tous les éléments que nous avons abordés il y a quelques diapositives n'ont pas besoin d'être présents dans chaque contrôle, mais il faut une bonne quantité d'alcool pour que le contrôle soit très clair. Très bien, nous sommes arrivés à la fin de cette section. Parlons des éléments que nous avons appris au cours de cette conférence. Nous avons découvert la définition de l'audit informatique. Nous avons également appris à définir les contrôles et les contrôles clés. Nous avons examiné la hiérarchie des contrôles, les raisons qui sous-tendent les contrôles pour lesquelles les organisations les mettent en œuvre Nous avons également passé en revue les éléments de base des contrôles. Ensuite, nous avons discuté des différents types de contrôles, des trois principaux types de contrôles, et nous avons terminé avec des exemples de contrôles. Merci beaucoup d'avoir écouté cette conférence. Nous vous verrons lors de la prochaine conférence. 3. 3. Test et échantillonnage des contrôles: Bienvenue dans la section sur les tests de contrôle. Maintenant que nous savons ce que sont les contrôles, parlons de leur mise à l' essai. Voici les points que nous aborderons dans cette section. Nous allons passer en revue. Pourquoi testons-nous les commandes ? Les types de contrôles que nous testons, les types de tests que nous effectuons et la manière d'effectuer des sélections pour les tests. Donc, dans cette première conférence, la question est la suivante : pourquoi testons-nous les contrôles ? La raison principale, c'est que nous testons les contrôles pour déterminer s'ils répondent l'objectif pour lequel ils ont été mis en œuvre. Si un contrôle ne répond pas à l'objectif pour lequel l'Égypte a été mise en œuvre, il est inefficace et il peut être nécessaire de le modifier. Il ne suffit donc pas de dire que j'ai conçu et mis en œuvre des contrôles dans l'environnement. Il est absolument nécessaire de tester ces contrôles périodiquement pour s'assurer qu'ils fonctionnent réellement et qu'ils font le travail pour lequel ils ont été mis en œuvre. Et s'il y a des lacunes, direction devra prendre la décision de modifier ces contrôles le cas échéant. Parlons des types de contrôles que nous testons. Il existe deux grandes catégories de contrôles. C'est un contrôle général, ou certains l'appelleront des contrôles informatiques généraux et des contrôles des applications. Les contrôles des applications sont spécifiques à certains processus métier qui se produisent dans une application. Et B sont généralement basés sur la personnalisation d'une application par le client. Par exemple, les contrôles des applications porteront sur les limites d'approbation, les autorisations de paiement, par exemple, cette personne ne peut approuver le paiement que jusqu'à X dollars. Vous pouvez également être autorisé à modifier des entrées de journal spécifiques ou à accéder à la création et à la consultation de rapports RH spécifiques. Pour un audit réglementaire, l'équipe d'audit, l'équipe d'audit financier généralement identifiée, les contrôles d'application qui font partie de la portée de l'audit. Il est important de noter que contrôles des applications sont de l'alcool, les contrôles métier qui sous-tendent les contrôles informatiques généraux testés. D'autre part, les contrôles informatiques généraux ou vous pouvez les voir appelés CGV informatiques. Et nous les appelons ainsi. s'agit de contrôles omniprésents qui soutiennent l'environnement informatique de l' entreprise et ont un impact sur les multiples applications utilisées par l'organisation. Qu'est-ce que cela signifie ? Cela signifie que les contrôles généraux informatiques prennent en charge l'ensemble de l'environnement informatique, y compris l'application spécifique susceptible de faire l'objet d'un audit. En général, les GCS informatiques doivent fonctionner efficacement pour que les contrôles des applications soient fiables. Prenons un exemple pour rendre les choses un peu plus claires. Il contrôle de manière générale les mots de passe et les accès, dont nous verrons quelques exemples dans notre section précédente. Comme ils sont destinés à l'authentification et à l'autorisation, ils contribuent à garantir que les individus doivent être authentifiés dans l'environnement informatique avant de pouvoir accéder aux systèmes pour lesquels ils disposent d'une autorisation . Si ces contrôles ne fonctionnent pas efficacement, signifie que de nombreux utilisateurs peuvent accéder aux applications financières sans authentification appropriée. Et ils peuvent accéder à certaines parties de l'application sans autorisation appropriée. Il sera assez difficile de prouver que seuls les utilisateurs autorisés ont accès aux applications financières. personnes non autorisées peuvent avoir accès à l'approbation des paiements dans l'application parce que les contrôles généraux informatiques n' étaient pas efficaces. Cet exemple montre l'importance de l'informatique. Les contrôles généraux qui sont efficaces pour que les auditeurs sont ceux qui testent pour s'appuyer sur ces contrôles d'application. Dans la diapositive suivante, nous allons passer en revue un exemple illustré. Cette diapositive est une image qui illustre ce dont nous venons de parler. Vous pouvez donc voir ici que l' environnement informatique constitue le grand cercle. Le service informatique contrôle l'ensemble du réseau, des serveurs, de la base de données et des applications. Les commandes sont complètes. Eh bien, je ne devrais pas tout dire, mais ils ont une grande portée et ils sont très omniprésents. Et vous pouvez voir qu'il couvre différents systèmes d'applications concernés. Toutefois, vous pouvez constater que chaque système aura ses propres contrôles d'application spécifiques , spécifiques aux processus de cette application, fonction du en fonction du système concerné un audit, vous devez d'abord tester l'environnement informatique global et déterminer la fiabilité, ce qui déterminera ensuite l'étendue des tests qui seront effectués sur chaque système individuel. J'espère donc que cela vous a permis de mieux comprendre les différences entre l'informatique, contrôles généraux et les contrôles des applications. Étant donné que ce cours traite de l'audit informatique, il s'agit ici de certaines sous-catégories des contrôles généraux informatiques. Nous n'aborderons pas cette question en profondeur dans ce cours en particulier, mais il est bon de vous donner un aperçu de ce que sont les sous-catégories. Les catégories sont la sécurité logique, qui a trait à l'accès. Nous avons également des modifications aux programmes, le développement de programmes, les opérations informatiques, les contrôles physiques et environnementaux. Discutons maintenant des types de tests que nous effectuons pour les contrôles. Pour tester les commandes, vous devez d'abord déterminer si la commande est conçue manière adéquate avant de déterminer si elle fonctionne efficacement. Le test de conception consiste à déterminer si un contrôle est correctement conçu, telle sorte que si vous étiez mis en œuvre comme prévu, vous puissiez fonctionner efficacement. Cela signifie que vous devez tester le contrôle pour déterminer s'il existe lacunes ou des problèmes susceptibles empêcher de fonctionner comme il a été conçu. Examinons par exemple les contrôles par mot de passe. Si vous souhaitez tester la conception des contrôles de mot de passe sélectionnés, mots de passe doivent être alphanumériques. Vous voulez vous assurer que politiques documentées sont en place pour régir les paramètres des mots de passe pour les systèmes informatiques. Vous devez vous assurer que le système testé est également capable de prendre en charge les mots de passe alphanumériques. Si aucune politique d'entreprise n' exige des mots de passe alphanumériques, ou si le système n'est pas en mesure prendre en charge les mots de passe alphanumériques, le contrôle n'est pas correctement conçu car échouera lorsque vous tenterez de tester l' efficacité opérationnelle. Le test de conception peut être effectué à l'aide plusieurs méthodes afin que nous puissions tirer des conclusions sur la pertinence de la conception. Et nous reviendrons sur ce point dans la diapositive suivante. Le test de l'efficacité opérationnelle vient après le test de conception. Et il est utilisé pour déterminer si la commande fonctionne comme prévu lors de sa conception. Prenons l'exemple des contrôles par mot de passe. Afin de tester l'efficacité opérationnelle de ce contrôle, nous obtiendrions les paramètres de mot de passe du système qui a été audité et nous assurerons que les paramètres, l'efficacité opérationnelle de ce contrôle, nous obtiendrions les paramètres de mot de passe du système qui a été audité et nous assurerons que les paramètres, les paramètres de configuration nécessitent des mots de passe alphanumériques pour les utilisateurs Le fait de montrer que le paramètre est activé sera la preuve que le contrôle des mots de passe alphanumériques fonctionne correctement. Plusieurs méthodes peuvent également être utilisées pour effectuer des tests d'efficacité opérationnelle. Et nous y reviendrons également dans la diapositive suivante. Avant de terminer cette diapositive, certains éléments nous devons prendre en compte certains éléments lorsque nous effectuons un test d'efficacité opérationnelle. Vous devez tenir compte de la nature du contrôle. S'agit-il d'une commande automatique ou manuelle ? Cela aura une incidence sur le type de preuves que vous devez examiner pour les tests. Vous devez également tenir compte de la fréquence de l'opération. À quelle fréquence le contrôle est-il effectué ? Cela aura un impact sur la taille de la sélection que vous devez effectuer pour le test. Et vous devez également tenir compte l'importance du contrôle et du risque de défaillance. Quelle est l'importance de ce contrôle ? Quelle est la clé d'une commande à touches ? Et est-elle sujette à l'échec ? Cela aura également un impact sur les tailles de sélection que vous effectuez lorsque vous testez ce contrôle en particulier. Nous passerons en revue la taille des sélections dans une autre conférence. En général, tous ces éléments vous aideront à déterminer la manière dont vous concevez le test à effectuer et comment sélectionner les éléments à tester. Ensuite, parlons des techniques de test. Sur la diapositive précédente, j'ai mentionné qu'il existe différentes méthodes pour effectuer des tests de conception et tester l'efficacité opérationnelle. Voici quelques techniques et méthodes pour les tests de conception qui effectueraient généralement une enquête. Tout d'abord, cela revient à poser des questions aux gens par le biais d'un entretien. Nous inspectons les documents, puis nous observons également les processus. Vous devez utiliser au moins deux de ces méthodes pour les tests de conception, car l'enquête seule ne suffit jamais pour les tests de conception. Dans les cas où il est absolument impossible d'inspecter les preuves ou les processus observés, il peut être acceptable de mener ce que l'on appelle une enquête collaborative, est-à-dire demander à deux personnes ou plus le même ensemble de questions d' entretien afin de déterminer si leurs réponses concernant le processus et le contrôle sont les mêmes. Pour tester l' efficacité opérationnelle, vous pouvez utiliser les techniques répertoriées ici. Passons en revue chacune d'elles. L'observation signifie que vous pouvez observer le déroulement d'un processus pour vous assurer que le contrôle est effectué dans le cadre de ce processus. Un exemple serait d'observer quelqu'un en train d'utiliser son badge. Pour accéder à la salle des serveurs, tester le contrôle selon lequel l'accès à la salle des serveurs est restreint par un accès par badge. L'inspection signifie que vous examinez les preuves qui vous sont fournies pour déterminer si le contrôle fonctionne efficacement. Examinons par exemple le contrôle d'accès à la salle des serveurs. Vous pouvez demander et obtenir un rapport à partir du système de traitement par lots afin déterminer si seules les personnes autorisées disposent des autorisations de salle de serveurs sur leurs badges. Vous voulez vous assurer que tout le monde n'a pas les autorisations de salle de serveurs apportées sur son badge. Et cela est réservé uniquement aux personnes qui ont besoin d'accéder au serveur. réexécution signifie que vous réexécutez le contrôle afin déterminer si vous arrivez à la même conclusion que le contrôle initialement effectué. Par exemple, un contrôle de rapprochement, dans lequel vous pouvez réconcilier les mêmes éléments au cours du processus et voir si vous obtenez les mêmes résultats. recalcul signifie que vous calculez à nouveau les éléments à partir du contrôleur pour déterminer s' il obtient le même résultat. Par exemple, si le contrôle est censé calculer deux nombres dans des comptes différents à des fins de rapprochement, vous pouvez recalculer ces chiffres manuellement pour vous assurer que les chiffres que nous utilisons la réconciliation où c'était correct. Le dernier élément que nous avons ici est une requête système. Cela signifie que vous pouvez générer des rapports à partir du système pour afficher les nouveaux utilisateurs créés, les modifications apportées à un champ ou d'autres rapports applicables pouvant être utilisés pour les tests de contrôle. Par exemple, si vous souhaitez tester le processus d'approbation pour les nouveaux utilisateurs, vous pouvez générer un rapport à partir du système sur tous les nouveaux comptes utilisateurs qui ont été créés. Vous pouvez ensuite utiliser cette liste pour effectuer une sélection que vous testerez ensuite afin déterminer si chaque utilisateur a un formulaire de demande d'accès rempli et correctement approuvé un formulaire de demande d'accès par son responsable. Cela comporte donc en fait deux éléments. Dans l'exemple que je viens d'utiliser, vous utilisez la requête système pour générer un rapport que vous pouvez utiliser pour la sélection. Ensuite, lorsque vous obtenez les preuves de la sélection, vous pouvez utiliser l' inspection pour effectuer un test afin de vous assurer que tous les éléments du contrôle ont été respectés. Ceci conclut la conférence sur les techniques de test. Passons à la sélection des tailles. Bienvenue à la conférence sur les tailles de sélection. Dans cette conférence, nous aborderons le concept des sélections. Ce concept est basé sur le fait que lors des tests de contrôle, de nombreux éléments peuvent généralement être testés, mais qu' il n'est pas pratique de tout tester. En tant que tel. Seulement un échantillon d'articles éligibles aux tests Faites-vous tester ? Commençons donc par ce qu'une sélection ? En termes simples, selon le dictionnaire, acylation est un ensemble soigneusement choisi ou représentatif de personnes ou de choses, en l'occurrence des éléments ou des preuves à tester. Pourquoi faisons-nous des sélections ? Comme indiqué précédemment, c'est simplement parce qu'il n'est pas possible d'examiner une population entière. Parlons d'un exemple. Nous pouvons donc contrôler l'obtention de l' approbation du superviseur avant d' accorder l'accès aux utilisateurs. Le test de l'efficacité opérationnelle consiste à vérifier les nouveaux utilisateurs créés et à s'assurer que l'approbation a été accordée pour chaque utilisateur. Afin d'identifier les nouveaux utilisateurs, nous exécuterions une requête système, comme nous l'avons indiqué précédemment, afin de déterminer le nombre de nouveaux utilisateurs créés au cours de la période d'audit. Et pour une grande organisation, cela peut facilement se chiffrer par centaines. Il pourrait donc s'agir de centaines de personnes. Si le nombre de nouvelles recrues est, disons, de 200, 300 500, il n'est pas faisable ni même raisonnable de tester tous ces utilisateurs. Dans ce cas, il sera plus pratique de faire une sélection représentative de ces utilisateurs et de les tester. En testant un échantillon représentatif d'utilisateurs, nous pouvons ensuite extrapoler la conclusion des tests pour la sélection au reste de la population. Lors de la sélection des échantillons, vous devez tenir compte de la fréquence du contrôle et du risque d'échec. Cela vous aide à déterminer la taille d'échantillon appropriée à sélectionner. La plupart des organisations disposent d'un guide de la taille des échantillons qui fournit des conseils et indique le nombre d'échantillons à sélectionner en fonction de la fréquence du contrôle et du risque de défaillance. Et je vais vous montrer un exemple de guide sur la diapositive suivante. Enfin, vous devez également prendre en compte l'éventail des variables de la population. Cela signifie que vous devez essayer de couvrir l'ensemble de la période d'audit dans votre sélection d'échantillons. Il couvre donc l' ensemble des variables. Par exemple, si votre période d'audit s'étend de janvier à décembre, vous devez vous assurer de sélectionner des échantillons couvrant toute l'année, plutôt que d'avoir des échantillons biaisés vers certains mois de l'année. Cela signifie que sélection de la taille de l' échantillon n' est pas entièrement aléatoire car il doit s'agir d'un échantillon représentatif de l' ensemble de la population d'éléments. Examinons un exemple de guide des tailles de sélection. Dans ce guide particulier, vous verrez ici que la fréquence de contrôle se trouve dans la colonne de gauche. Et vous avez alors le risque d'échec sur les deux colonnes de droite plus bas et plus haut. Cela montre donc que pour chaque fréquence de contrôle, si elle est basée sur le risque de défaillance, s'il s'agit d'un risque de défaillance plus faible ou d'un risque de défaillance plus élevé, vous pouvez sélectionner le nombre des objets que vous voudriez tester. Examinons le contrôle hebdomadaire. Par exemple, pour un contrôle qui se produit chaque semaine, s'il présente un risque d'échec moindre, vous n'avez qu'à sélectionner cinq éléments à tester conformément à ce guide particulier. Toutefois, s'il présente un risque d'échec plus élevé, vous devriez en tester au moins huit. Ces chiffres ne sont que des minimums. Vous pouvez en tester au moins cinq sur la limite inférieure du risque de défaillance, ou huit sur la limite supérieure du risque d'échec. Il ne s'agit pas de vous dire que le maximum est simplement le nombre minimum d'éléments à tester pour garantir qu' un échantillon représentatif a été testé. Vérifiez auprès de votre organisation si elle dispose d'un graphique similaire chaque fois que vous effectuez des tests. Une chose à noter est que si la nature du contrôle est sporadique et que la fréquence de contrôle ne peut pas être clairement identifiée. Vous devez déterminer la fréquence en utilisant l'ensemble de la population. Si la population est de 12 éléments au total, vous pouvez utiliser la fréquence de Motley. Ou si vous avez environ 52 articles sur la population, vous pouvez utiliser la fréquence hebdomadaire. Toutefois, si la population se trouve entre deux fréquences de contrôle définies ci-dessus, utilisez toujours la fréquence la plus élevée. Donc, par exemple, si vous avez 25 articles, vous ne voulez pas les utiliser tous les mois. Vous souhaitez l'utiliser chaque semaine, car vous passez à la fréquence de contrôle suivante sur le graphique. Très bien, nous sommes arrivés à la fin de cette section. Passons en revue les éléments que nous avons appris. Nous avons découvert pourquoi nous testons les commandes. Nous avons discuté des types de contrôles que nous testons, des types de tests effectués, puis de la manière d'effectuer des sélections pour les tests. 4. 4. Merci: Merci beaucoup d'avoir suivi ce cours, et j'espère que vous constaterez que si les objectifs du cours ont été atteints, vous devriez avoir appris les bases de l'audit informatique. Si vous avez des questions, n' hésitez pas à me contacter. Merci.