Normes ISACA, code d’éthique et le tripode de l’audit SI
Ouverture — le jour où Léa a dû défendre sa signature
Léa, auditrice SI senior dans une banque européenne de taille moyenne (8 200 collaborateurs, 2,1 Md€ de PNB), vient de signer une conclusion défavorable sur l’externalisation du cœur bancaire vers un fournisseur cloud. Le Directeur des opérations explose en comité de pilotage : « Sur quelle base ? Qui t’a donné l’autorité de bloquer un programme à 40 M€ ? » La salle se tend. Le sponsor du programme regarde son téléphone. Le DSI — allié discret de Léa — ne dit rien. Il observe.
Ce que Léa va répondre dans les 90 secondes qui suivent ne tient pas à son intuition. Cela tient à trois pièces que tout candidat CISA doit avoir collées sur le mur de son bureau : les Standards ISACA, le Code d’éthique, et le mandat formel de la fonction audit SI. C’est ce trépied — pas le talent — qui rend une signature inattaquable.
Le trépied normatif d’ISACA
ISACA publie un cadre articulé en trois niveaux d’opposabilité. Tu vas voir cette distinction tomber dans à peu près une question sur trois à l’examen.
| Niveau | Statut | Conséquence si non respecté |
|---|---|---|
| Standards (1001-1402) | Obligatoire | Faute professionnelle · révocation possible |
| Guidelines | Recommandé | À justifier si écart |
| Tools and Techniques | Informatif | Aucune |
Les Standards sont regroupés en trois familles :
- General (1001-1008) — éthique, indépendance, compétence, due care
- Performance (1201-1207) — risque, planification, exécution, supervision
- Reporting (1401-1402) — communication des résultats, suivi des actions
Indépendance organisationnelle — Standard 1002
Standard 1002 exige que la fonction audit SI soit structurellement indépendante du domaine audité. Pas en discours, dans l’organigramme. Léa peut signer une conclusion contre la DSI parce qu’elle remonte au Comité d’audit du Conseil, pas au DSI. Le DOP a beau hurler, il n’a aucune autorité sur sa carrière.
Trois tests d’indépendance que l’examen aime poser
- Hiérarchique — l’auditeur reporte-t-il à quelqu’un qu’il pourrait avoir à auditer ? (Si oui, problème.)
- Économique — sa rémunération dépend-elle de la conclusion ? (Bonus lié à la livraison du projet audité = NO-GO.)
- Cognitif — a-t-il participé à la conception du contrôle ? (Si oui, il évalue son propre travail.)
Code d’éthique — les sept dispositions, les quatre testées
Le Code d’éthique ISACA contient sept clauses. À l’examen, quatre dominent les questions de jugement :
- Soutenir la mise en œuvre des standards
- Maintenir la confidentialité des informations obtenues
- Servir avec diligence et compétence
- Ne pas s’engager dans des activités illégales ou nuisibles à la profession
Comment Léa a clos l’incident
Léa a posé trois phrases :
« Ma signature engage ISACA Standard 1401 sur la communication des déficiences matérielles. Le standard exige une notification rapide et complète au comité d’audit. Si vous souhaitez challenger la conclusion, voici le dossier de preuves — 187 contrôles testés, 14 défaillances matérielles documentées. »
Le DOP s’est assis. Le DSI a souri intérieurement. La conclusion défavorable a tenu — et trois mois plus tard, le programme a été restructuré exactement sur les axes que Léa avait soulignés.
À retenir
- Trépied normatif : Standards (obligatoire) > Guidelines (recommandé) > Tools (informatif).
- Indépendance : organigramme, économique, cognitif — les trois tests doivent passer.
- Reporting : standard 1401 impose communication rapide et complète des matérielités à la gouvernance.
- Code d’éthique : la bonne réponse au jugement est l’éthique, pas l’efficacité.
Aperçu d’un chapitre. Chaque cert. inclut +100 chapitres narratifs avec callouts, tableaux comparatifs et AuditBot intégré.