Audit et contrôle en milieu informatisé Pourquoi les TI, sont si importantes à

Audit et contrôle en milieu informatisé Pourquoi les TI, sont si importantes à l’heure actuelle? Les opportunités offertes par les TI en matière de réduction des coûts opérationnels; Les processus des organisations dépendent de plus en plus des TI; La capacité des TI de changer radicalement les pratiques d’affaires; Les menaces qui pèsent sur les SI (vulnérabilité); Les coûts reliés aux SI. Les principaux risques technologiques Les virus informatiques Les fraudes informatiques L’accès non autorisé au système La perte et/ou la modification de données et programmes Les pannes du système. Trois catégories de fraudes informatiques Le vol d’information Le vol d’éléments d’actif à la suite de manipulations de données La destruction volontaire d’informations ou de programmes. Les applications comptables figurent parmi les systèmes privilégiés par les fraudeurs : Bordereau de paie Les comptes clients Les comptes d’avantages sociaux Les comptes des notes de frais. Comment protéger l’entité contre les fraudes informatiques ? Des procédures de contrôle interne telles que : La séparation des fonctions incompatibles L’utilisation de mots de passe Le chiffrement (encryptage) des fichiers contenant des informations critiques afin d’empêcher qu’ils soient copiés sans autorisation L’exercice d’un contrôle strict sur l’accès physique aux ordinateurs. La vérification des antécédents personnels des employés (au moment du recrutement et périodiquement) La rotation du personnel (notamment du personnel assumant des fonctions clés) L’examen de toutes les plaintes des clients. Comme minimum, on devrait consigner toutes les erreurs du système et leur correction et les faire revoir par une personne indépendante, pour expliquer le pourquoi et le comment de ces erreurs. Quelques pistes pour détecter les fraudes potentielles commises par les employés : Changement dans les habitudes de vie des employés : train de vie trop grand par rapport au salaire! Acharnement au travail. L’employé ne quittant jamais le bureau avant les autres ou qui ne prend jamais de vacances! Absence de délégation. Impact des TI sur la conception des procédures de contrôle Automatisation des procédures des contrôles (plus fiables) L’enregistrement d’une opération erronée comporte le risque de se répercuter sur d’autres enregistrements Dans un environnement manuel, il est généralement possible d’identifier la ou les personnes ayant accordé l’autorisation d’une opération. Dans un environnement informatique, cette autorisation peut être automatisée Dans un système manuel, une erreur humaine peut se produire et ce, même si les contrôles sont efficaces (ex. passer outre les contrôles), ce qui n’est pas le cas dans un système informatisé. pour assurer un traitement complet et exact de l'information Deux contrôles des TI doivent fonctionner conjointement : les contrôles généraux informatiques les contrôles des applications La gouvernance d’entreprise : l’ensemble des responsabilités et pratiques exercées par le conseil d’administration et la direction dans le but de fournir une orientation stratégique permettant d’assurer que les objectifs fixés sont atteints et que les risques sont gérés de façon appropriée et que les ressources de l’organisation sont utilisées de façon responsable La GTI permet donc de s’assurer: Que les TI sont gouvernées en fonction des meilleures pratiques assurant que les TI supportent les objectifs d’affaires; Que les ressources TI sont utilisées de façon responsable; et que les niveaux des risques TI sont gérés de façon appropriée  permet d’assurer l’alignement de la stratégie TI sur la stratégie d’affaires de l’organisation. -------------------------------------------------------------------------------------------------------------------------- COBIT : (Control Objectives for Information and Related Technology) COBIT : le référentiel des meilleures pratiques en GTI : Ensemble de règles et d’usages que les professionnels reconnaissent comme vrais et qui devraient être appliqués. On parle aussi de modèle ou de cadre (framework) COBIT est un référentiel qui permet d’organiser, par le contrôle, l’alignement entre les objectifs établis par la direction, les besoins des utilisateurs et les ressources disponibles COBIT s’appuie sur le principe que les systèmes d’information doivent être conçus et mis en place pour fournir une information fiable. Les meilleures pratiques : les pratiques conforme à l’état de l’art d’un domaine donné. Fruit de l’expérience et de la recherche, son efficacité et sa fiabilité sont avérées, ont été éprouvées et sont reconnues par tous; D’autres référentiels plus reconnus et utilisés sont: COBIT, ITIL, ISO 27000, CMMI, PMBOK L’utilité du recours à un référentiel de gouvernance des TI : Adopter les meilleures pratiques dans le domaine; Adopter une démarche ordonnée, rigoureuse et systématisée; Améliorer la gestion de processus en mettant l’accent sur les éléments prioritaires et en suggérant des solutions pertinentes; Se conformer à une réglementation ou à une norme; Se positionner en terme de conformité ou de performance par rapport aux tiers (quel est notre niveau de maturité?). Cobit permet à l’organisation: de structurer ses activités TI sur la base d’un modèle reconnu; de faire en sorte que ses TI répondent adéquatement à ses exigences d’affaires (alignement stratégique); de déterminer les ressources TI à contrôler (les applications, les informations, les infrastructures et les personnes); de mieux identifier les objectifs de contrôles à prendre en considération. CobiT s’adresse aux trois intervenants principaux de l’organisation: 1. La direction : Cobit permet à la direction: de disposer d’un modèle structuré pour maîtriser les risques (financiers, organisationnels et technologiques), reliés à l’alignement des TI sur les objectifs de l’entité; de mieux définir les besoins en matière de contrôle TI et d’intégrité de l’information; de sensibiliser tous les intervenants à l’importance des contrôles TI; de réaliser efficacement des diagnostics des contrôles TI (listes détaillée des contrôles). 2. Les utilisateurs (des TI) : Cobit permet de fournir des garanties quant à la sécurité et aux contrôles des services informatiques fournis à l’interne ou par des tiers 3. Les auditeurs (internes et externes). Cobit offre aux auditeurs, internes et externes, la possibilité: de mieux comprendre les contrôles TI et de mieux réaliser les tests d’efficacité de ces contrôles; de mieux justifier leurs évaluations des contrôles TI et de mieux formuler leurs recommandations sur ces contrôles. CUBE COBIT : Business requirement – besoins de l’entreprise : La pertinence de l’information est déterminer dans COBIT grace a 7 critères : Efficacité: information significative et pertinente pour le processus de gestion: distribuée de manière ponctuelle, correcte, cohérente et utilisable Efficience: Information mise à disposition grâce à l'utilisation optimale (la plus productive et la plus économique) des ressources fiabilité: fourniture d'informations pertinentes pour le fonctionnement de l'entité et l'exercice des responsabilités conformité aux lois et règlements. Intégrité: Information exacte, exhaustive et autorisée Confidentialité: l’information sensible est protégée contre toute divulgation non autorisée Disponibilité: l'information doit être disponible et le rester lorsqu'un processus de gestion en a besoin. Concerne aussi la sauvegarde des ressources. IT Ressoueces - Les ressources TI : Cobit répartit les ressources TI en quatre segments, afin d’en atténuer la complexité: Les informations : les données relatives à une activité, insérées ou fournies par le système d’information ; Les applications : ensemble des procédures manuelles et programmées de traitement des données ; Les infrastructures : équipement, système d’exploitation, bases de données, réseau, … Le personnel : Les personnes (à l’interne et à l’externe) en charge de la gestion du système d’information. IT Processes - Cobit détermine dans le processus TI: 4 domaines: regroupement naturel de processus correspondant souvent à un domaine de responsabilité organisationnel 34 processus: série d’activités et de tâches groupées et qui constituent les objectifs de contrôle général 220 activités: tâches nécessaires à l’obtention d’un résultat mesurable et qui forment les objectifs des contrôles détaillés. Pour chacun des 34 processus, Cobit détermine 4 rôles présentés sous l’acronyme RACI : Responsible (personne chargée de la réalisation de tâches reliées à un processus donné), Accountable (personne qui fixe les priorités et les directives), Consulted (personne devant être consultée), et Informed (personne devant être informée). Un processus immature est improvisé et chaotique. Il est caractérisé par : une imprévisibilité des coûts et de la qualité; une gestion par crise ; des succès grâce aux «héros», en dépit des processus Cela occasionne des impacts importants dont : Perte de temps ; Stress et burn-out ; Technologie mal exploitée ; Contribution faible aux objectifs d’affaires L’audit comptable en environnement informatisé La prise en compte de l’environnement informatique lors d’un audit ne doit pas être confondue avec l’audit informatique d’un système d’information confié généralement à des experts spécialisés. L’utilisation des TI modifie la saisie et le processus de traitement et de conservation des données et en conséquence peut avoir une incidence sur les systèmes comptables et le contrôle interne de l’entité La stratégie informatique de l’entité Pourquoi l’auditeur doit-il s’intéresser à la stratégie informatique de l’entité auditée? Car dans le cas où l’entité ne planifie pas correctement ses besoins actuels et futurs de ses ressources TI, cela aurait pour effet d’augmenter le risque inhérent (RI). A quoi l’auditeur doit-il s’intéresser lors de sa prise de connaissance de la stratégie informatique de l’entité auditée? L’auditeur doit porter son attention sur les éléments suivants: la connaissance des dirigeants quant à l’existant et aux évolutions futures du système d’information La connaissance des dirigeants quant aux risques auxquels l'entité est exposée du fait de l’utilisation de solutions informatiques et les mesures prises pour gérer ces risques L’implication des entités métiers dans la détermination de la stratégie informatique uploads/Management/ ataudit-et-contro-le-en-milieu-informatise-re-su 1 .pdf

Documents similaires

1/11 CENTRE DE FORMATION PROFESSIONNELLE BERNE FRANCOPHONE REPETITION THEORIE – 0 0

CERTYOU, 37 rue des Mathurins, 75008 PARIS - SAS au capital de 10 000 Euros Tél 0 0

" DICTIONNAIRE DU MULTIMEDIA " Audiovisuel - Informatique - Télécommunications 0 0

Fiabilité et Maintenance - 2011 FIABILITÉ ET MAINTENANCE INTRODUCTION ! Mainten 0 0

Mémoire de fin d’étude 5ème année Finance – Contrôle de gestion Sous le thème : 0 0

© Cned 2011 - Un conseiller à votre écoute : 05 49 49 94 94 1 Sommaire des cour 0 0

1 Université Abdelmalek Essaadi Ecole Nationale de Commerce et de Gestion -Tang 0 0

« La défense en profondeur » MANAGEMENT DE LA SECURITE DES SI © copyright – Aoû 0 0

La profession comptable à l’écoute de ses clients: Etude de cas de développemen 0 0

Techniques investigation Introduction 1 I. Cybercriminalité 1. Définition : La 0 0

• Détails
• Publié le Mai 09, 2022
• Catégorie Management
• Langue French
• Taille du fichier 0.0897MB