Almeida Gonçalves Mickael Ozveren Yezdan Halilovic Dino Lokaj Ridvan Audit des Systèmes d’information de gestion Audit des contrôles généraux IT 31 mars 2015 1 Contexte L’auditeur IT vous a réalisé un audit des contrôles généraux IT avec un check-list, le rapport compte 67 pages. 1. Comment intégrer ces travaux dans le cadre de vos travaux d’audit? 2. Que pouvez vous faire pour améliorer la démarche l’année suivante ? Pour un exemple : http://www.asu.edu/fs/documents/icq/IT_general_controls_ic q.pdf 2 NAS 890 Vérification de l’existence du système de contrôle interne Plus le processus de tenue de la comptabilité et d’établissement du rapport financier dépend de systèmes IT et plus le risque que des erreurs trouvent leur origine dans la mise en place et l’utilisation des systèmes IT est élevé, plus les contrôles dans le domaine de l’informatique sont importants 3 1. Comment intégrer ces travaux dans le cadre de vos travaux d’audit? Approche audit intégrée L’auditeur peut ainsi tirer des conclusions de l’IT check qui lui serviront pour planifier et exécuter l’audit Fondations du système informatique : 4 Gestion du développement Risques Le projet ne répond pas aux besoins Budget dépassé Alarmes Non existence du cahier de charges et documentation insatisfaisante Manque de motivation et de compétence du personnel Système de calcul des coûts déficient 5 Gestion du changement Risques Changement des applications non autorisé Violation des coûts et des délais Alarmes Priorités mal gérées : compromis optimal entre important et urgent Pas de directives de maintenance claires Budgets et allocation de ressources irréalistes 6 Gestion de la sécurité Physique Risques Destruction des ressources IT Tremblement de terre, vols Alarmes Accès non contrôlés aux infrastructures Absence de détecteur de fumée Non-existence d’infrastructures de secours 7 Gestion de la sécurité (suite) Logique Risques Sensibilisation à la sécurité inexistante Droits d’accès Alarmes Frontières non définies entre les fonctions Antivirus non mis à jour, mots de passe trop simples Absence d’un département sécurité et d’experts IT 8 Gestion des opérations Risques Interruption du système et des transactions Perte d’informations viabilité à long terme affectée Alarmes Nombre d’erreurs et d’heures d’interruption Disponibilité d’un système de secours Variation de l’efficacité et efficience du service 9 2. Que pouvez vous faire pour améliorer la démarche l’année suivante ? Réduire la taille du rapport Éviter de refaire un IT check détaillé sur les points non essentiels qui étaient en ordre cette année et se concentrer sur les risques récents identifiés Auditeur IT, auditeur et client se concertent au moment de l’établissement de la lettre de mission : objectifs, limitations, sources Vérifier si des corrections ont été faites sur les risques et alarmes identifiés cette année. Si des nouveaux projets informatiques se mettent en place, il est nécessaire de les détailler dans le prochain rapport d’audit IT. 10 Merci de votre attention ! Avez-vous des questions ? 11
© Copyright 2024 Paperzz