IT-revisjon

Den revisjonen (på engelsk Informasjonsteknologi Audit eller IT-revisjon ) er å identifisere og vurdere risiko (operasjonell, finans, omdømme spesielt) i forbindelse med IT-driften av en bedrift eller en administrasjon. Til dette formål vil revisjonen være basert på regelverket for sektoren for aktiviteten i det berørte landet (eksempel CRBF 97-02 for en fransk bank), på eksisterende repositorier for god praksis (for eksempel CobiT- depotet ), på tilgjengelige referanser og om yrkeserfaringen til de involverte revisorene.

Det er to hovedkategorier for revisjon. Den første omfatter globale enhetsrevisjoner der alle aktiviteter knyttet til informasjonssystemer blir vurdert. Den andre kategorien tilsvarer tematiske revisjoner, hvis mål er å gjennomgå et IT-tema i en enhet (prosjektledelse, for eksempel logisk sikkerhet).

Tilsynet skal ikke forveksles med konsulentaktiviteten som generelt har som mål å forbedre en organisasjons funksjon og ytelse med mulig involvering i implementeringen av denne forbedringen. Disse to aktivitetene, revisjon og rådgivning, kan ikke utføres for en gitt enhet av de samme aktørene for ikke å skape en situasjon som er gunstig for interessekonflikter.

De grunnleggende konseptene for IT-revisjon

Konseptet med kontroll er kjernen i IT-revisjonsprosessen. Målet er å få på plass effektive og effektive styringssystemer som muliggjør effektiv kontroll av IT-aktiviteten. Intern kontroll er en prosess implementert på initiativ av selskapets ledere og ment å gi rimelig sikkerhet for å oppnå følgende tre mål:

1. overholdelse av lover og forskrifter,
2. påliteligheten av finansiell informasjon,
3. gjennomføre og optimalisere operasjoner ....

Det er åpenbart at IT-revisjonen hovedsakelig er interessert i det tredje målet.

IT-revisjonsprosessen er definert på grunnlag av bekymringene til revisjonsansvarlig som kan være daglig leder, IT-direktør, økonomidirektør etc. Han vil derfor gi revisor mandat til å svare på en liste med spesifikke spørsmål som refererer, mer eller mindre implisitt, til tilstanden til kjent god praksis på dette feltet. Dette resulterer i et viktig dokument: oppdragsbrevet som spesifiserer mandatet som skal utføres og som gir revisor de nødvendige fullmaktene.

Sistnevnte vil deretter fokusere på å identifisere fakta, og deretter vil han gjennomføre intervjuer med interesserte parter. Deretter vil han forsøke å evaluere sine observasjoner mot anerkjente referanser. På dette grunnlaget vil han foreslå anbefalinger.

IT-revisoren vil bruke IT-revisjonsregister for å gi ham status som beste praksis på dette området. Grunnlageret er CobiT : Kontrollmål for informasjon og relatert teknologi. Men det vil også bruke andre standarder som: CobiT , ISO 27002 , CMMi , ITIL , Val IT , Risk IT, etc.

Ulike typer IT-revisjoner

IT-revisjonsprosessen er generell og gjelder forskjellige områder som IT-funksjon, IT-studier, IT-prosjekter, drift, IT-planlegging, nettverk og telekommunikasjon, IT-sikkerhet, IT-kjøp, lokal IT eller desentralisert IT, tjenestekvalitet, outsourcing, flåte ledelse, operasjonelle applikasjoner osv. Nedenfor er en kort presentasjon av de hyppigste IT-revisjonene.

IT-funksjonsrevisjon

Formålet med tilsynet med IT-funksjonen er å svare på den generelle ledelsens eller IT-avdelingens bekymringer angående organisasjonen av IT-funksjonen, dens ledelse, dens posisjonering i strukturen, dets forhold til brukerne, dens metoder. ..

For å gjennomføre en revisjon av IT-funksjonen, baserer vi oss på kjent god praksis når det gjelder organisering av IT-funksjonen. De er mange og velkjente, blant dem kan vi nevne:

• klarheten i IT-teamets strukturer og ansvar,
• definisjonen av forholdet mellom generell ledelse, funksjonelle og operasjonelle avdelinger og IT-funksjonen,
• eksistensen av målinger av aktivitet og spesielt et instrumentbord for IT-funksjonen,
• nivået på ferdigheter og kvalifikasjoner for funksjonene.

Det er mange andre gode fremgangsmåter for IT-funksjonen. Tilsynet med funksjonen er basert på denne fremgangsmåten for å identifisere et visst antall kontrollmål som:

• rollen til funksjonelle og operasjonelle avdelinger i IT-ledelse og særlig eksistensen av en IT-styringskomité,
• implementering av retningslinjer, standarder og prosedyrer som er spesifikke for funksjonen,
• definisjonen av de respektive ansvarsområdene for IT-funksjonen og brukerenhetene når det gjelder behandling, vedlikehold, sikkerhet, investeringer, utvikling,….
• eksistensen av mekanismer som gjør det mulig å kjenne til og overvåke IT-kostnader, enten ved hjelp av kostnadsregnskap eller, hvis ikke, gjennom en omfaktureringsmekanisme,
• overholdelse av interne kontrollsystemer som periodisk risikovurdering, måling av IT-innvirkning på selskapets ytelse, etc.

Disse forskjellige kontrollmålene tilsvarer PO 4-prosessen til CobiT: "Definer prosessene, organisasjonen og arbeidsforholdene".

Revisjon av IT-studier

Tilsynet med IT-studier er en delmengde av tilsynet med IT-funksjonen. Formålet med denne revisjonen er å sikre at organisasjonen og strukturen er effektiv, at ledelsen er hensiktsmessig, at dens forskjellige aktiviteter er under kontroll, at forholdet til brukerne fungerer som normalt, etc.

For å gjennomføre en revisjon av IT-studier er vi avhengige av kunnskap om beste praksis identifisert i dette feltet. De er mange og kjent av alle fagpersoner. Blant disse kan vi sitere:

• organisering av studiefunksjonen i team, valg av mennesker og deres opplæring, deres ansvar ...
• implementering av egnede verktøy og metoder, særlig en tydelig identifisering av oppgaver, tidsplaner, budsjetter, studieovervåkingssystemer, et dashbord osv .;
• kontroll av de forskjellige aktivitetene som ikke kan planlegges, for eksempel små prosjekter, presserende prosjekter…;
• kontroll av vedlikehold av operasjonelle applikasjoner;
• overvåking av studieaktiviteter fra timelister.

Det er mange andre gode fremgangsmåter for datastudier. For å revidere vil vi basere oss på disse god praksis for å identifisere et visst antall kontrollmål som:

• evaluering av organiseringen av datastudiefunksjonen og spesielt måten de ulike studieaktivitetene er planlagt på;
• overholdelse av standarder for søknadsdokumentasjon og spesielt definisjonen av dokumentene som skal leveres med de forskjellige planlagte leveransene;
• kontroll av underleveranser, spesielt kvaliteten på kontrakter, overholdelse av kostnader og tidsfrister, kvaliteten på leveranser osv .;
• evaluering av kvaliteten på resultatene som tilbys av de forskjellige studieaktivitetene som må være testbare og verifiserbare;

Det er mange andre kontrollmål når det gjelder IT-studier, og de velges ut fra hensynet til revisjonsansvarlig.

Driftsrevisjon

Hensikten med driftsrevisjonen er å sikre at de forskjellige IT-produksjonssenterene fungerer effektivt og at de administreres riktig. Det er derfor nødvendig å implementere produksjonsovervåkingsverktøy som Openview fra HP, fra IBMs Tivoli, etc. Det er også et Open Source produksjonsstyringssystem som Nagios. Dette er ekte informasjonssystemer dedikert til drift.

For å gjennomføre en operasjonell revisjon er vi avhengige av kunnskap om god praksis på dette området som:

• klarheten i organiseringen av funksjonen, spesielt inndelingen i lag, definisjonen av ansvar osv.
• eksistensen av et informasjonssystem dedikert til drift, spesielt for å overvåke hendelsesstyring, ressursstyring, arbeidsplanlegging, driftsprosedyrer, etc.
• måle effektiviteten og kvaliteten på tjenestene som tilbys av IT-virksomheten.

Det er mange andre gode fremgangsmåter for IT-drift. For å gjennomføre denne revisjonen vil vi basere oss på disse gode rutinene for å identifisere et visst antall kontrollmål som:

• kvaliteten på produksjonsplanleggingen,
• ressursadministrasjon ved hjelp av lastmåleverktøy, simuleringer, ytelsesovervåking osv.
• tilstedeværelsen av prosedyrer som tillater drift i nedbrutt modus for å takle total eller delvis utilgjengelighet av det sentrale nettstedet eller nettverket,
• håndtering av hendelser for å identifisere dem og om nødvendig forhindre at de gjentar seg,
• sikkerheten og kontinuiteten i tjenesteprosedyrene som må oversettes til en reserveplan,
• kontroll av produksjonskostnader takket være kostnadsregnskap som muliggjør beregning av de totale kostnadene for produktene eller tjenestene som tilbys.

Disse forskjellige kontrollmålene tilsvarer DS 1, DS 3, DS 6, DS 12 og DS 13 prosessen til CobiT: DS 1 "Definer og administrer servicenivåer", DS 3 "Administrer ytelse og kapasitet", DS 6 "Identifiser og lad kostnader ", DS 12" Administrer det fysiske miljøet ", DS 13" Administrer operasjoner ".

Revisjon av IT-prosjekter

Tilsynet med IT-prosjekter er et tilsyn som har til formål å sikre at det forløper normalt og at driftssekvensen gjøres på en logisk og effektiv måte slik at det er god sjanse for å nå slutten av utviklingsfasen til en applikasjon som vil være effektiv og operativ. Som vi kan se, skal en revisjon av et IT-prosjekt ikke forveksles med en revisjon av IT-studier.

For å gjennomføre en revisjon av et IT-prosjekt baserer vi oss på kunnskapen om kjent god praksis innen dette feltet. De er mange og kjent av alle prosjektledere og mer generelt av alle berørte fagpersoner. Blant disse kan vi sitere:

• eksistensen av en prosjektledelsesmetodikk,
• prosjektledelse i trinn, uavhengig av prosjektledelsesmodell: kaskade, V, W eller spiral (iterativ prosess),
• respekt for stadiene og fasene i prosjektet,
• ledelse av utvikling og særlig de respektive rollene til prosjektleder og styringskomiteen,
• prosjektets samsvar med selskapets generelle mål,
• etablering av et rammeverk, en prosjektledelsesplan eller en kvalitetsstyringsplan,
• kvaliteten og fullstendigheten av oppstrømsstudiene: mulighetsstudie og funksjonsanalyse,
• viktigheten av tester, spesielt for tester utført av brukere.

Det er mange andre gode fremgangsmåter angående prosjektledelse. For å gjennomføre en revisjon av et IT-prosjekt, vil vi basere oss på et visst antall kontrollmål som:

• klarheten og effektiviteten i utviklingsprosessen,
• eksistensen av prosedyrer, metoder og standarder som gir klare instruksjoner til utviklere og brukere,
• verifisering av effektiv anvendelse av metoden,
• validering av funksjonsomfanget må gjøres tidlig nok i utviklingsprosessen,
• prosjektrisikostyring. En risikovurdering bør gjøres på sentrale stadier av prosjektet.

Det er mange andre mulige kontrollmål for IT-prosjektrevisjon som velges ut fra bekymringene og forventningene til revisjonsansvarlig.

Disse forskjellige kontrollmålene tilsvarer CobiTs PO 10, AI 1 og AI 2 prosesser: PO 10 "Administrer prosjektet", men også AI 1 "Finn IT-løsninger" og AI 2 "Anskaff og vedlikehold applikasjoner".

Revisjon av operasjonelle applikasjoner

De forrige revisjonene er IT-revisjoner, mens revisjonen av operasjonelle applikasjoner dekker et større område og ser på informasjonssystemet til selskapet. Dette er revisjon av informasjonssystemet. Det kan være revisjon av regnskapsapplikasjonen, lønn, fakturering,…. Men oftere og oftere er vi interessert i revisjon av en global prosess av selskapet som salg, produksjon, kjøp, logistikk, ...

Det anbefales å revidere en administrasjonssøknad hvert annet eller tredje år for å sikre at den fungerer som den skal, og om nødvendig for å kunne gjøre de ønskelige forbedringene av denne applikasjonen eller denne prosessen. Revisor vil særlig sikre overholdelse og anvendelse av internkontrollregler. Spesielt vil den verifisere at:

• kontrollene på plass er operasjonelle og tilstrekkelige,
• dataene som legges inn, lagres eller produseres ved behandling er av god kvalitet,
• behandlingene er effektive og gir forventede resultater,
• søknaden er korrekt dokumentert,
• prosedyrene som er implementert innenfor rammen av søknaden er oppdatert og tilpasset,
• datadriften til applikasjonen utføres under gode forhold,
• funksjonen eller prosessen dekket av applikasjonen er effektiv og produktiv,
• ...

Formålet med revisjon av en operasjonell søknad er å gi ledelsen rimelig sikkerhet for driften. Disse kontrollene utføres for eksempel av revisor som en del av hans juridiske oppdrag for å vurdere regnskapet til et selskap: er programvaren brukt sikker, effektiv og hensiktsmessig?

For å utføre tilsyn med en operativ applikasjon, vil vi bruke de vanligste kontrollmålene:

• kontrollere samsvar med den operasjonelle applikasjonen med brukerdokumentasjon, med originale spesifikasjoner, med gjeldende brukerbehov,
• verifisering av kontrollsystemene på plass. Det må være tilstrekkelig kontroll på oppgitte data, data lagret, utganger, behandling osv. Revisor må sørge for at de er på plass og gi forventede resultater,
• påliteligheten av behandlingsoperasjonene blir evaluert ved å analysere feil eller avvik som oppstår i sammenheng med nåværende operasjoner. For å gå videre kan det hende at revisor også må sette sammen testsett for å sikre kvaliteten på behandlingene. Det er også mulig å utføre analyser av innholdet i hoveddatabasene for å oppdage eventuelle uregelmessigheter,
• måling av applikasjonsytelse for å sikre at responstid er tilfredsstillende selv under tung belastning. Revisor vil også være interessert i antall operasjoner utført av personellet under normale bruksforhold.

Svært ofte blir revisor bedt om å vurdere den operasjonelle applikasjonens regelmessighet, samsvar, produktivitet og bærekraft. Dette er delikate spørsmål som ledelsen stiller til revisor.

IT-sikkerhetsrevisjon

Formålet med IT-sikkerhetsrevisjonen er å gi ledelsen rimelig sikkerhet for selskapets risikonivå knyttet til IT-sikkerhetsfeil. Faktisk viser observasjon at IT ofte representerer et høyt risikonivå for selskapet. Vi ser for øyeblikket en økning i disse risikoene knyttet til utviklingen av Internett. De er knyttet til sammenhengen mellom fire grunnleggende konsepter:

1. det er permanent betydelige trusler mot selskapets IT-sikkerhet og spesielt dets immaterielle eiendeler,
2. risikofaktoren er en årsak til sårbarhet på grunn av svakhet i organisasjonen, metoder, teknikker eller kontrollsystem,
3. manifestasjon av risiko. Før eller siden manifesterer risikoen seg. Det kan være fysisk (brann, flom), men det er oftest usynlig og resulterer spesielt i ødeleggelse av data, tjenestens utilgjengelighet, omdirigering av trafikk, ..
4. risikokontroll. Dette innebærer å iverksette tiltak for å redusere risikonivået, særlig ved å styrke tilgangskontroll, brukerautentisering, etc.

For å gjennomføre en IT-sikkerhetsrevisjon er det nødvendig å basere seg på noen få kontrollmål. De vanligste er:

• identifisere selskapets informasjonsmidler. Dette er datamaskinvare, programvare og databaser. Det er derfor nødvendig å ha effektive og hensiktsmessige ledelsesprosedyrer,
• identifisere risikoen. Det må være hensiktsmessige styringsmekanismer for å overvåke risikoområder. Denne overvåkingen må sikres av en CISO, en IT-sikkerhetsleder,
• vurdere trusler. CISO er ansvarlig for å identifisere de viktigste risikoene knyttet til de forskjellige områdene i informasjonssystemet. Et dokument må identifisere de viktigste truslene,
• måle innvirkningene. CISO må kartlegge risikoen forbundet med informasjonssystemet. Det er da mulig å konstruere scenarier for aggresjon og å vurdere sårbarhetspunktene,
• definere parader. For å redusere risikonivået er det nødvendig å sørge for enheter som tilgangskontroller, datakryptering , sikkerhetskopieringsplan osv.

Det er mange andre kontrollmål angående IT-sikkerhetsrevisjon som velges ut fra bekymringene og forventningene til revisjonsansvarlig.

Disse forskjellige kontrollmålene tilsvarer CobiT DS 5- prosessene : "Sikre sikkerheten til systemer" og PO 9 "Evaluering og styring av risiko". Det er en spesifikk referanse til IT-sikkerhet: ISO 27002 . Det er en kode for beste praksis angående styring av sikkerheten til informasjonssystemene. Den suppleres av ISO 27001- standarden for implementering av et informasjonssikkerhetsstyringssystem .

Se sikkerhetsrevisjon

IT-revisjonsprosess

Et IT-revisjonsoppdrag forberedes. Et studieretning bør bestemmes for å avgrense undersøkelsesfeltet. I denne forstand er det tilrådelig å utføre en forhåndsdiagnose for å spesifisere spørsmålene som tilsynet skal behandle. Dette resulterer i etablering av et oppdragsbrev som beskriver hovedpunktene som skal revideres.

For å gjennomføre IT-revisjonen anbefales det å følge følgende seks trinn:

1. etableringen av forlovelsesbrevet. Dette dokumentet er utarbeidet og undertegnet av revisjonsansvarlig og gjør det mulig å få revisor mandat. Den brukes til å identifisere listen over spørsmål som er gitt av revisjonsansvarlig. Svært ofte deltar revisor i utformingen.
2. planleggingen av oppdraget gjør det mulig å definere den detaljerte tilnærmingen som skal følges. Det vil resultere i en revisjonsplan eller et kommersielt forslag. Dette dokumentet er skrevet av revisor og er underlagt validering av revisjonsansvarlig. Når konsensus er oppnådd, er det mulig å gå videre til tredje trinn,
3. samle fakta, utføre tester osv. I de fleste revisjoner er dette en viktig del av arbeidet som utføres av revisorene. Det er viktig å kunne identifisere et visst antall ubestridelige fakta,
4. intervjuer med reviderte personer gjør det mulig å supplere fakta som er samlet inn ved å ta hensyn til informasjonen som operatørene har. Dette trinnet kan være vanskelig og komplisert. Ofte ser informasjonen som er samlet inn fra operativt personale mer ut som meninger enn et bidrag til fakta som er søkt,
5. utarbeidelsen av revisjonsrapporten er en lang prosess som gjør det mulig å markere funnene gjort av revisor og anbefalingene han foreslår,
6. presentasjon og diskusjon av revisjonsrapporten til revisjonsansvarlig, til ledelsen i selskapet eller til ledelsen av IT-funksjonen.

Det kan hende at etter revisjonsoppdraget blir revisor bedt om å etablere handlingsplanen og eventuelt implementere en oppfølging av anbefalingene.

Unnlatelse av å følge denne tilnærmingen kan føre til dårlig implementering og implementering av verktøy som ikke tilfredsstiller selskapets reelle behov.

Denne prosessen er viktig for revisor fordi den gir ham grunnleggende elementer for fremdriften av hans oppdrag, men det er enda mer fordelaktig for organisasjonen. De reviderte skuespillerne er faktisk ikke passive. De oppfordres til å reflektere over sine arbeidsmetoder og å interessere seg for arbeidet til andre aktører i enheten. Dette fører til teamsamhold og organisatorisk læring . Dette er en positiv faktor fordi i tilfelle endring vil aktørene være mindre motvillige.

IT-revisjonsregister

Det er forskjellige arkiver som:

• CobiT  : Kontrollmål for informasjon og relatert teknologi. Det er hovedregisteret for IT-revisorer,
• Val IT gjør det mulig å vurdere verdiskaping etter prosjekt eller etter prosjektportefølje,
• Risk IT har som mål å forbedre kontrollen av risiko knyttet til IT (se side på engelsk Risk IT ),
• CobiT og applikasjonskontroller .

Den ISACA (Information Systems Audit and Control Association) er den internasjonale sammenslutningen av IT-revisor (herunder kropp av standarder og kunnskapssenter ) og FAFIA (fransk Association of Audit og IT-rådgivning), som er den franske avdelingen av ISACA, gir mange støtter .

Men vi kan også bruke andre arkiver som:

• ISO 27002 som er en kode for beste praksis innen sikkerhetsadministrasjon for informasjonssystemer,
• CMMi  : Capability Maturity Model integrasjon som er en prosess for å evaluere kvaliteten på IT-prosjektledelse,
• ITIL som er en samling av god praksis angående nivåer og støtte for IT-tjenester.

Sertifisering av IT-revisorer

Man kan forestille seg en sertifisering av IT-avdelinger eller IT-applikasjoner. Det er ingenting som. På den annen side er det en sertifisering av kvaliteten på IT-prosjekter: CMMI . Når det gjelder kvaliteten på tjenesten som tilbys av operasjonen, er det sertifisering på ISO 20000-standarden, som er en delmengde av ITIL.

På den annen side er det en sertifiseringsprosedyre for outsourcere: SAS 70, uttalelse om revisjonsstandarder nr. 70. Denne standarden ble opprettet av American Institute of Certified Public Accountants (AICPA) for å unngå at disse organisasjonene suksessivt må tåle flere IT-revisjoner om relaterte emner. Dette er tilsyn utført av tredjeparter og vil sikre at de implementerte prosessene gir forventet kvalitet på tjenesten.

SAS 70 har siden blitt erstattet av ISAE 3402 (International Standards for Assurance Engagement) som trådte i kraft den15. juni 2011. Det er en utvidelse av SAS 70 som definerer standardene som en revisor må følge for å vurdere den kontraktsfestede interne kontrollen til en tjenesteorganisasjon.

Når det gjelder IT-revisjon, er IT-revisorer sertifiserte. Referansesertifiseringen er CISA, Certified Information Systems Auditor. Det er en internasjonal profesjonell sertifisering. Det har blitt organisert av ISACA siden 1978. Det har vært i Frankrike siden 1989. Til dags dato har 75 000 mennesker CISA, inkludert mer enn 1000 i Frankrike. Eksamen kan tas tre ganger i året: i juni, september og desember, på 11 forskjellige språk og i 200 byer rundt om i verden. 200 flervalgsspørsmål må besvares på 4 timer som dekker revisjon og IT. Eksamen dekker 6 områder:

1. prosesser for revisjon av informasjonssystemer,
2. IT-styring,
3. livssyklusadministrasjon av systemer og infrastruktur,
4. levering og støtte av tjenester,
5. beskyttelse av IT-eiendeler,
6. kontinuitetsplanen og IT-reserveplanen

Det er også en annen sertifisering for benchmark IT-revisorer siden 2003. Dette er en profesjonell sertifisering for informasjonssikkerhetsledere: CISM (Certified Information Security Manager) også utstedt av ISACA .

Sertifiseringsprogrammet består av 5 kapitler med informasjonssikkerhet:

1. Informasjonssikkerhetsstyring
2. Informasjonsrisikostyring
3. Implementeringen av et informasjonssikkerhetsprogram
4. Administrere et informasjonssikkerhetsprogram
5. Informasjonssikkerhetshåndtering.

Til disse sertifiseringene som tilbys av ISACA, kan andre sertifiseringer legges til IT-revisorens panoply, spesielt CISSP om IT-sikkerhet, ISO27001- sertifisering for ledende revisor , sertifiseringene på ITIL, Prince2 , CobIT, etc.. Til slutt kan du skaffe deg CISA muligheten til å dra nytte av en CIA-sertifiseringsmodul fra Institute of Internal Auditors (IIA), administrert i Frankrike av IFACI .

Merknader og referanser

• (no) Hvordan håndtere IT-risiko effektivt? , av Marc Barbezat, et tankekart over de viktigste IT-revisjonslagrene, inkludert en kort beskrivelse for hver av dem og direkte lenker til kilden.

Se også

Relaterte artikler

• French Association for IT Auditing and Consulting (AFAI)
• ISACA
• COBIT
• Styring av informasjonsteknologi
• Sikkerhetsrevisjon
• Kodeovervåking
• Administrasjon av informasjonssystem
• Administrasjonssystem for informasjonssikkerhet
• ISAE 3402
• CISSP

Eksterne linker

• French Association for Audit and IT Consulting (AFAI)
• Information Systems Audit & Control Association (ISACA)

Bibliografi

• CobiT versjon 4.1: Kontrollmål for informasjon og relatert teknologi, fransk utgave laget av AFAI ( ISBN  2-915007-09-8 )
• Veiledning til revisjon av informasjonssystemer, fransk utgave produsert av AFAI
• CISA Preparation Manual ofte referert til som CISA Review Manual. Den er publisert på flere språk. Det er en fransk versjon, ISACA,
• Kontroll og revisjon av informasjonsteknologi, av Gallegos, Manson og Allen-Senft, ISACA