Présentation Groupe 4 - Audit Généraux IT

Almeida Gonçalves Mickael
Ozveren Yezdan
Halilovic Dino
Lokaj Ridvan
Audit des Systèmes
d’information de
gestion
Audit des contrôles généraux IT
31 mars 2015
1
Contexte
L’auditeur IT vous a réalisé un audit des contrôles
généraux IT avec un check-list, le rapport compte 67
pages.
1. Comment intégrer ces travaux dans le cadre de vos travaux d’audit?
2. Que pouvez vous faire pour améliorer la démarche
l’année suivante ?
Pour un exemple :
http://www.asu.edu/fs/documents/icq/IT_general_controls_ic
q.pdf
2
NAS 890
 Vérification de l’existence du système de contrôle interne
Plus le processus de tenue de la comptabilité et
d’établissement du rapport financier dépend de systèmes IT et
plus le risque que des erreurs trouvent leur origine dans la mise
en place et l’utilisation des systèmes IT est élevé, plus les
contrôles dans le domaine de l’informatique sont importants
3
1. Comment intégrer ces travaux dans le cadre de vos
travaux d’audit?
 Approche audit intégrée  L’auditeur peut ainsi tirer des conclusions de l’IT
check qui lui serviront pour planifier et exécuter l’audit
 Fondations du système informatique :
4
Gestion du développement
Risques
 Le projet ne répond pas aux besoins
 Budget dépassé
Alarmes
 Non existence du cahier de charges et documentation insatisfaisante
 Manque de motivation et de compétence du personnel
 Système de calcul des coûts déficient
5
Gestion du changement
Risques
 Changement des applications non autorisé
 Violation des coûts et des délais
Alarmes
 Priorités mal gérées : compromis optimal entre important et urgent
 Pas de directives de maintenance claires
 Budgets et allocation de ressources irréalistes
6
Gestion de la sécurité
Physique
Risques
 Destruction des ressources IT
 Tremblement de terre, vols
Alarmes
 Accès non contrôlés aux infrastructures
 Absence de détecteur de fumée
 Non-existence d’infrastructures de secours
7
Gestion de la sécurité (suite)
Logique
Risques
 Sensibilisation à la sécurité inexistante
 Droits d’accès
Alarmes
 Frontières non définies entre les fonctions
 Antivirus non mis à jour, mots de passe trop simples
 Absence d’un département sécurité et d’experts IT
8
Gestion des opérations
Risques
 Interruption du système et des transactions
 Perte d’informations
 viabilité à long terme affectée
Alarmes
 Nombre d’erreurs et d’heures d’interruption
 Disponibilité d’un système de secours
 Variation de l’efficacité et efficience du service
9
2. Que pouvez vous faire pour améliorer la démarche
l’année suivante ?
 Réduire la taille du rapport
 Éviter de refaire un IT check détaillé sur les points non essentiels qui
étaient en ordre cette année et se concentrer sur les risques récents
identifiés
 Auditeur IT, auditeur et client se concertent au moment de
l’établissement de la lettre de mission : objectifs, limitations, sources
 Vérifier si des corrections ont été faites sur les risques et alarmes
identifiés cette année.
 Si des nouveaux projets informatiques se mettent en place, il est
nécessaire de les détailler dans le prochain rapport d’audit IT.
10
Merci de votre attention !
Avez-vous des questions ?
11