Contenu connexe
Similaire à Audit des si (20)
Audit des si
- 1. Audit des Systèmes
d’Information
Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27 001,
CRISC
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
1
- 2. Déroulement du module
I. Travaux de recherches
II. Bilan (QCM: 40 Q/1 heure)
III. Assiduité
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
2
- 3. I. ISACA, CISA, CISM, CGEIT, CRISC
II. L’informatique à travers le temps
III. Du contrôle à l’Audit: le pilotage de l’entreprise
IV. L’Audit
V. La mission d’Audit
VI. La corporate Governance
VII. COBIT
VIII. Etude de cas
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
3
- 4. Qui est ISACA ?
www.isaca.org
Créée en 1967
86 000 membres dans plus de 160 pays
DSI, ITM, consultants, auditeurs S.I, auditeurs interne,
professionnels des T.I
Plus de 75 chapitres dont MIT-GOV (Chapitre
marocain)
Délivre les certifications suivantes:
CISA, CISM: plus de 70 000 CISA, 12 500 CISM dans le monde
CGEIT: Certified in the Governance of Enterprise IT: 4000
CRISC
Est LA référence en terme de bonnes pratiques de
gouvernance des T.I au sein des organisations
Promotion du métier d’auditeur informatique
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
4
- 5. Qu’est ce que la Gouvernance des T.I ?
Structure de relations et de processus
visant à diriger et contrôler l'entreprise
pour qu'elle atteigne ses objectifs en
générant de la valeur, tout en
trouvant le bon équilibre entre les
risques et les avantages des TI et de
leurs processus
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
5
- 6. Ce que le Top Management pense de l’IT
« It has been de longest running disappointment in business in
the last 30 years! »
Jack Welch, Chairman, GE
« Technology can help fulfill a visionary dream, but often its use
is closer to a sobering nightmare »
Vesa Vaino, CEO Merita Bank
« I am writing a book on the history of Information technology…
In order to better understand why it is such a mess »
Corniou, CIO Renault
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
6
- 7. I. ISACA, CISA, CISM, CGEIT
II. L’informatique à travers le temps
III. Du contrôle à l’Audit: le pilotage de l’entreprise
IV. L’Audit
V. La mission d’Audit
VI. La corporate Governance
VII. COBIT
VIII. Etude de cas
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
7
- 8. L’évolution organisationnelle
0. [30..48]: l’informatique était essentiellement au service
des départements militaires
1. Durant les 30 glorieuses: le modèle économique était
essentiellement tourné vers l’industrie et la production
pour construire l’après guerre:
•
L’informatique a suivi:
• les investissements informatiques avaient pour
objectif l’automatisation des fonctions administratives
telles que la comptabilité et la paie. L’informatique
était avant tout une fonction de production et son
impact sur l’organisation était alors limité
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
8
- 9. L’évolution organisationnelle
2. Fin des années 70..années 90 : le modèle économique
introduit les techniques marketing, l’analyse
comportementale du client, La maîtrise des coûts…:
•
L’informatique a suivi:
• Durant cette phase, l’introduction d’outils de
gestion de l’information (GPAO, BD, Data
Warehouse…) a amené des changements dans le
travail : émergence de nouveaux métiers,
démocratisation des outils bureautiques, besoin de
formation…
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
9
- 10. L’évolution organisationnelle
3. 21 siècle : les marchés sont devenus de mégas
plateformes planétaires, avec des organisations
d’entreprises multi culturelles. Les services représentent
70% de l’économie mondiale:
•
L’informatique n’a pas suivi, elle est au cœur de l’implosion:
• Nous sommes à présent dans une nouvelle phase,
avec des outils de plus en plus sophistiqués et
interconnectés, les nouvelles formes d’applications
de l’informatique sont le moteur d’une transformation
en profondeur du marché et des entreprises
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
10
- 11. Le S.I est au cœur de l’activité de
l’entreprise
Clients
prospection
vente
Partenaires
services
conception
SI
maintenance
achats
réception
Fournisseurs
Organismes
de contrôle
production
logistique
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
11
- 12. Infrastructure matérielle
Historique:
18 000 tubes à vides
1 500 relais
6 000 commutateurs
30 Tonnes
En 1957, 7 247 heures de fonctionnement:
3 491 en production (48.17%)
1 061 en problèmes (14.64%)
196 d’inactivité (2.70%)
651 d’interventions planifiées (8.98%)
1 848 d’interventions non planifiées (25.50%)
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
12
- 13. Infrastructure matérielle
Évolution
45-60
ENIAC
Personal Computer
Network computer
95-2000
Cluster de PCs
2000-…
HEWLETT
PACKARD
HEWLETT
PACKARD
HEWLETT
PACKARD
HEWLETT
PACKARD
HEWLETT
PACKARD
HEWLETT
PACKARD
HEWLETT
PACKARD
HEWLETT
PACKARD
HEWLETT
PACKARD
Année 75 - 90
HEWLETT
PACKARD
55-80
Vax
PDP 11
Super calculateur
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
13
- 14. Infrastructure matérielle
les 20 dernières années
L’extraordinaire explosion des microprocesseurs (loi de Gordon
Moore)
Moore prédit tout d’abord un doublement du nombre de transistors
dans une puce chaque année, puis rectifia en un doublement tous les
18 mois
1971
1978
1982
1989
1993
1995
1997
2001
2004
2006
2006
2007
:
:
:
:
:
:
:
:
:
:
:
:
4004 : 2 300 transistors
8086 : 29 000 transistors
80286 275 000 transistors
80486 : 1,16 million de transistors
Pentium : 3,1 millions de transistors
Pentium Pro : 5,5 millions de transistors
Pentium II : 27 millions de transistors
Pentium 4 : 42 millions de transistors
Pentium Extreme Edition : 169 millions de transistors
Core 2 Duo : 291 millions de transistors
Core 2 Quad : 582 millions de transistors
Dual-Core Itanium 2 : 1,7 milliards de transistors
Autre :
2006 : G80 (Nvidia) : 681 millions de transistors
2007 : POWER6 (IBM) : 291 millions de transistors
2008 : Sandisk 12 GB microSDHC : 50 milliards de transistors
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
14
Circuits intégrés
- 15. Rappels techniques des composantes
d’un S.I
Stratégie, Gestion, Sécurité
Études
Logiciels, applicatifs et
données
Réseaux
Matériels
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
15
Exploitation
Logiciels de base
Équipes
Infrastructure
- 17. Un vrai casse tête surtout quand les orientations et les
objectifs changent !
Le pendule des Architectures Informatiques
Autonomie de
l’utilisateur:
• Infocentre /
datawarehouse/
datamining…
• Développements
locaux
• Partage de données
• Sauvegarde non
contrôlée
• OS peu fiables…
Informatique
centralisée:
• Salle machine unique
• Gros système
• Utilisateurs accédant à
travers des terminaux
• Les supports de
stockage sont
centralisés…
Démocratisation de
l’informatique:
• Utilisateurs connectés au
sites/serveurs
• PCs
• Avènement du Client/serveur
•…
Années 50, 60, 70
Années1780
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
Années 90
- 18. Un vrai casse tête surtout quand les orientations et les
objectifs changent !
Le pendule des Architectures Informatiques
Sécurité
Sécurité
Informatique
centralisée:
• Maîtrise des
plateformes
• Centralisation de
l’information
• Contrôle de
l’infrastructure
• Maîtrise et
centralisation des
sauvegardes /
Performances / fiabilités
des supports / machines
• Baies de stockage
• Backups / PCA / sites
secours
• Normes, BP, Standards…
Ces 10 dernières années
Autonomie de
l’utilisateur:
• Infocentre /
datawarehouse/
datamining…
• Développements
locaux
• Partage de données
• Sauvegarde non
contrôlée
• OS peu fiables…
Démocratisation de
l’informatique:
• Utilisateurs connectés
au sites/serveurs
• PCs
• Avènement du
Client/serveur
18
•…
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
Années 90
- 19. I. ISACA, CISA, CISM, CGEIT, CRISC
II. L’informatique à travers le temps
III. Du contrôle à l’Audit: le pilotage de l’entreprise
IV. L’Audit
V. La mission d’Audit
VI. La corporate Governance
VII. COBIT
VIII. Etude de cas
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
19
- 20. Introduction
L’organisation de la fonction d’Audit
Le rôle de la fonction d’audit doit être statué dans une
charte d’audit
La charte doit renseigner clairement sur la responsabilité et
les objectifs du Top Man. ainsi que la délégation de
l’autorité qu’il confère à la fonction d’audit des TI
Ce document doit arrêter:
L’autorité, le périmètre et les responsabilités de la fonction
d’audit des TI
Le Top Man. et le comité d’audit doivent approuver cette
charte
Une fois la charte établie et approuvée, elle ne doit être
modifiée qu’en cas de changement majeure justifié
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
20
- 21. Introduction
Le management des ressources des S.I
Les ressources des auditeurs S.I sont limitées, et leur
temps est planifié et optimisé
L’auditeur SI doit avoir les connaissances nécessaires pour
gérer les projets d’audit avec le staff d’audit
Des compétences particulières peuvent être requises pour
planifier certains audits spécifiques
Le management de l’audit des SI doit avoir les
connaissances nécessaires sur le planning de charges de
ses ressources
Des outils de management des projets sont utilisés pour
maîtriser les charges
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
21
- 22. Introduction
Le management des ressources des S.I
Les technologies de l’information sont en perpétuel
changement ce qui exige des auditeurs d’être constamment Up
to date
Nouvelles techniques d’audit
Nouveaux métiers en terme des TI
La formation continue constitue un objectif majeure dans la
mise à niveau des compétences des auditeurs
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
22
- 23. Introduction
La planification des ressources
La planification de l’audit concerne le court et le long terme
Le court terme:
Les audits devant être couvert durant l’année
Le long terme:
Les plans d’audit devant tenir compte des changements majeurs
dans les plans stratégiques des TI de l’organisation
Les changements devant concerner l’environnement des TI
L’analyse des plannings du court et du long terme doit être
annuelle
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
23
- 24. Introduction
La planification des ressources
L’auditeur doit être informé au préalable:
Avoir des connaissance sur le domaine à auditer
Les informations, contrôles et pratiques utilisés dans l’activité à
auditer
L’environnement réglementaire
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
24
- 25. Introduction
La planification des ressources
L’objectif majeure du processus d’Audit est:
Que l’auditeur ait les connaissances nécessaires pour
conduire un audit des systèmes d’information en
concordance avec les normes et standards de l’Audit des
S.I
Que l’auditeur assure que les technologies d’information de
l’entreprise sont alignées sur le plan stratégique et qu’elles
sont bien gérées et contrôlées
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
25
- 26. Contrôle et Contrôle Interne
La notion de contrôle est complexe:
en français, connotation négative (vérification, inspection…)
en anglais, synonyme de maîtrise (contrôler c’est gérer)
Contrôle interne:
Ensemble des procédures et dispositifs permanents définis et
appliqués pour:
protéger le patrimoine de l’entreprise
détecter et prévenir les fraudes
permettre une conduite ordonnée et efficace des opérations de
l’entreprise
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
26
- 27. Contrôle de Gestion
Le Ctrl de Gestion est un système d’évaluation des
responsabilités et des voies par lesquelles la rentabilité
des entreprises peut être améliorée
Le Ctrl de Gestion implique la définition de normes, un
système d’information capable de fournir des données
effective, la détection d’écart entre données et normes, la
détermination des responsabilités
Le Ctrl de Gestion est un système générale continue
d’alerte
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
27
- 28. Risk management
La gestion des risques est une activité stratégique dont
l’objectif est de permettre aux entreprises de tirer le
meilleur partie des sources d’incertitude, risques ou
opportunités
Ces sources d’incertitudes proviennent à la fois de
facteurs externes et de processus internes, ainsi que la
qualité des informations utilisées pour la prise de
décision
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
28
- 29. L’Audit
Ce qui a coûté la vie à
Art Andersen et Enron
Activité ou fonction indépendante et objective
d’assurance et de conseil, dont la mission est d’apporter
une valeur ajoutée, et d’améliorer le fonctionnement
d’une organisation
Il aide l’organisation à atteindre ses objectifs par une
approche systématique et méthodique, d’évaluation et
d’amélioration des procédés de gestion des risques, de
contrôle et de gouvernance d’entreprise
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
29
- 30. Audit interne et Audit Externe
Audit interne:
Audit Externe
Salarié d’une entreprise
Travaille dans un organisme indépendant
Différences:
Indépendance
Démarche
Suivi des recommandations
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
30
- 31. I. ISACA, CISA, CISM, CGEIT, CRISC
II. L’informatique à travers le temps
III. Du contrôle à l’Audit: le pilotage de l’entreprise
IV. L’Audit
V. La mission d’Audit
VI. La corporate Governance
VII. COBIT
VIII. Etude de cas
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
31
- 32. Les acteurs de l’Audit
Le prescripteur:
L’Auditeur:
Il commande (et assure le règlement de) la mission d’audit
Il s’agit soit d’une personne de l’entreprise (niveau direction),
soit d’un tiers (repreneur par exemple)
C’est le professionnel à qui est confiée la mission d’audit
(Interne ou Externe)
L’Audité:
C’est la personne qui « subit » l’audit
Sa participation, sa collaboration et son adhésion en
conditionnent le succès
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
32
- 33. La démarche générale de l’Audit
Partir des préoccupations du management
Mener des investigations
Le demandeur mandate un auditeur pour répondre à des
questions précises
Mener des entretiens avec les intéressés
Relever et analyser les faits
Porter un diagnostic
Apprécier la situation (forces et faiblesses)
Juger par rapport à des références:
Normes, doctrines, état de l’art, enquête
Proposer des recommandations pertinentes
Rendre compte (rapport)
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
33
- 34. Démarche de l’auditeur
Analyse des risques
• Existence d’une analyse des risques de l’organisation
• Analyse des risques par l’auditeur
Points de Ctrl précis
• Les points de Ctrl sont issus de l’analyse des risques
• Les points de Ctrl servent pour établir le point d’audit
Tests complets
Faits documentés
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
Existence de dispositions de Ctrl
Vérification de l’application des dispositions
Vérification de l’efficacité des dispositions
vérification de l’efficience des dispositions
• Documents fournissant les preuves du résultat de la vérification
34
- 35. Typologie des audits
Efficience
Efficacité
Conformité
Audit de conformité (audit de régularité)
Audit d’efficacité (audit de progrès)
Vérification de l’existence du fonctionnement du contrôle interne
Vérification de l’application correcte des règles de procédures internes
Vérification de l’application correcte des dispositions légales
Appréciation des résultats par rapport aux objectifs
Appréciation de la qualité du contrôle interne (impact des règles et
procédures)
Audit d’efficience (audit économique)
Analyser les moyens affectés aux opérations
Apprécier l’utilisation des ressources
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
35
- 36. I. ISACA, CISA, CISM, CGEIT, CRISC
II. L’informatique à travers le temps
III. Du contrôle à l’Audit: le pilotage de l’entreprise
IV. L’Audit
V. La mission d’Audit
VI. La corporate Governance
VII. COBIT
VIII. Etude de cas
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
36
- 37. Synthèse du déroulement d’une mission
d’audit
Lettre de mission
• Réponse à une demande et constitution de l’équipe d’audit
Phase de pré diagnostic
• Acquisition des connaissances nécessaires
• Analyse de risques
• Produit: Rapport de pré diagnostic
Lancement de la mission
• Présentation des objectifs de l’audit à la direction de l’organisation
• Désignation d’un coordinateur de l’audit et du signataire des feuilles
de faits
Phase de diagnostics et de
tests
• Rédaction des descriptions d’activités et approfondissement des
connaissances
• Réalisation des tests, rédaction des feuilles de faits et dossiers des
preuves
• Discussion des faits avec les collaborateurs concernés
• Validation des faits par le management de l’organisation
• Produit: Ensemble des feuilles de faits validées ou analysées
Phase de rédaction du
rapport final
• Synthèse des faits considérés comme essentiels pour la direction
générale
• Recommandations et opinions des auditeurs et validation
• Produit: Rapport final provisoire (3 à 4 pages)
Phase de discussion du
rapport final
• Discussion, validation et approbation par le Directeur de
l’organisation
• Présentation à la direction générale
• Produit: Rapport final définitif
Constitution du dossier
• Dossiers complets contenant toutes les preuves
• Références croisées entre dossiers, feuilles de faits et rapport final
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
37
- 38. La lettre de mission
Elle matérialise le contrat passé entre l’auditeur et le prescripteur de
l’audit
Son rôle est de:
Préciser le contexte et l’objectif de la mission
Détailler les questions posées à l’auditeur
Préciser les modalités d’intervention (intervenants, durée)
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
38
- 39. Le pré diagnostic
L’auditeur doit commencer par prendre connaissance du contexte
Dans ce but, il effectue un pré-audit rapide afin de déterminer ses
objectifs de contrôle et de repérer les principales difficultés qu’il
risque de rencontrer
Cette phase préliminaire comprend:
L’étude de la documentation disponible (communiquée au préalable si
possible)
Quelques entretiens avec les décideurs concernées (démarche topdown)
Un inventaire des problèmes ressentis
Une détermination des investigations à réaliser (bcp d’observation)
Un rapport de pré diagnostic conclut cette phase: il propose un plan
d’action détaillé
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
39
- 40. Planification de la mission
Il est nécessaire de planifier l’audit
On part des objectifs de l’audit et des questions figurant dans
l’ordre de mission et/ou des résultats du pré diagnostic
A partir de ces orientations on établit le programme de travail
Il est alors possible de déterminer les ressources nécessaires
La collecte des faits prend du temps et souvent demande des
moyens importants
Pour éviter d’allonger les délais il est nécessaire de commencer
suffisamment tôt la rédaction du rapport (en parallèle avec la
mission)
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
40
- 41. Les entretiens
Le temps des audités (et des auditeurs) est précieux: il faut donc
préparer les entretiens (Questionnaires)
L’objectif de l’entretien est de collecter de l’information « utile » (il
faut canaliser)
L’auditeur liste les questions qu’il se pose et pour lesquels il a
besoin d’une réponse (objectifs de contrôle)
L’entretien ne doit pas excéder 1h30
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
41
- 42. Les outils classiques de l’audit
Entretien (questions ouvertes ou fermées)
Questionnaire
Diagramme de circulation
Tableaux des forces et des faiblesses
Matrices activité entités (Qui – entité - fait Quoi – Activité - )
Outils d’analyse de données (logiciels: IDEA, ACL …)
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
42
- 43. Les recommandations
C’est avec la pertinence du diagnostic, la valeur ajoutée de
l’auditeur
Chaque point faible doit faire l’objet d’au moins une
recommandation pour l’éliminer ou en réduire l’impact
Il faut hiérarchiser les recommandations:
Par domaine
Dans le temps (court terme = urgent, moyen terme, long terme)
Urgence/importance
En fonction de leur coût
R1
R3
R2
R4
Exemple
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
43
Coût
- 44. Rédaction du rapport d’audit
La rédaction du rapport d’audit est une opération toujours difficile
Il faut d’abord définir à qui il est destiné et comment il sera diffusé
(en général, il y a plusieurs niveaux de lecteurs)
L’auditeur doit commencer à rédiger le rapport assez rapidement
car la rédaction prend toujours du temps
Il faut se baser sur des faits indiscutables
On doit faire apparaître les points positifs
Faire des exposés clairs et courts avec un style direct
Porter des appréciations claires et non ambiguës
Faire référence à des référentiels indiscutables
Ne pas oublier les recommandations: C’est ce qu’attend le
management
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
44
- 45. Plan type d’un rapport d’audit informatique
Exemple
1 page
1 page
2à4p
2 pages
10 à 20 p
5à6p
Lettre de mission
Déroulement de la mission
Synthèse du rapport
Synthèse des recommandations
Observations faites
Recommandations
Annexes techniques
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
45
- 46. Règles de conduite de l’auditeur
Au cours de sa mission l’auditeur doit veiller à être neutre
L’auditeur doit manifester son indépendance
Il faut se concentrer sur les faits et se méfier des opinions
Au cours de la mission l’auditeur doit régulièrement informer le
demandeur d’audit sur l’avancement de la mission, les problèmes
rencontrés…
L’auditeur doit respecter les règles du Code d’éthique et des
Standards Professionnels établis par l’ISACA
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
46
Voir Charte de l’auditeur
- 47. I. ISACA, CISA, CISM, CGEIT, CRISC
II. L’informatique à travers le temps
III. Du contrôle à l’Audit: le pilotage de l’entreprise
IV. L’Audit
V. La mission d’Audit
VI. La corporate Governance
VII. COBIT
VIII. Etude de cas
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
47
- 49. I. ISACA, CISA, CISM, CGEIT, CRISC
II. L’informatique à travers le temps
III. Du contrôle à l’Audit: le pilotage de l’entreprise
IV. L’Audit
V. La mission d’Audit
VI. Management des Risques
VII. La corporate Governance
VIII. COBIT
IX. Etude de cas
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
49
- 50. Viser à l’ensemble, et se mettre à l’œuvre
par les détails (Proverbe chinois)
saad@casablanca-bourse.com
© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001
50