Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

2265U08 – Audit Systèmes Informatiques M. Jérôme BRZEZINSKI Management Global –

2265U08 – Audit Systèmes Informatiques M. Jérôme BRZEZINSKI Management Global – Gestion et Informatique Formation à l’audit informatique - Synopsis Organisation des cours d’audit informatique 1/ Introduction – 11 janvier 2007 • La notion de risque • Les types de risque • Le management des risques • Les risques liés aux systèmes d’information • Impact sur la démarche générale 2/ Revue générale informatique – 18 janvier 2007 • La politique informatique • L’organisation et les équipes du service informatique • La configuration matérielle et réseau • La cartographie applicative • Les contrôles généraux informatiques  La gestion de la sécurité informatique  La gestion des changements informatiques  Le développement informatique  L’exploitation informatique • Exemples 3/ Revue d’applications informatique – 25 janvier 2007 • Historique et insertion de l’application dans l’architecture globale • Couverture fonctionnelle & dysfonctionnements • Schéma des traitements et matrice de contrôle • Identification des risques • Approfondissement des risques identifiés • Analyse des aspects « qualitatifs » 4/ Test informatiques – 1er février 2007 • Avantages des tests informatiques • Situations amenant à procéder à des test informatiques • Typologie des tests informatiques • Démarche dans le cadre d’une mission CAC • Les facteurs de réussite • Présentation de l’outil « IDEA » 5/ Audit de la sécurité informatique – 8 février 2007 • Etat des lieux • Continuité de service • Confidentialité des informations et risques de fraude • Risques d’erreur et de dysfonctionnement • Méthode MARION 1 6/ Contrôle interne / SOX – 22 février 2007 • Contexte • Démarche SOX • Dimension Systèmes d’information • Cas des processus externalisés 7/ Audit en environnement ERP – 15 février 2007 • Impacts des ERP sur les risques liés au SI • L’approche spécifique d’audit des ERP • Exemple de flux SAP • La fraude et les méthodes de prévention de détection 8/ Examen – 8 mars 2007 • Questionnaire à choix multiple de type CISA Introduction Notion de risque Définition • Risque « Danger, inconvénient plus ou moins probable auquel on est exposé. » (Larousse) • Les implications directes  Risque pour qui ? Rq : en fonction de l’activité (ex : industries, banques, etc.) et de la taille (ex : régionale, nationale, internationale) des entreprises, les risques ne sont pas les mêmes.  Importance relative / impact ?  Probabilité d’occurrence ? Les concepts associés • Risque  Fonction de la menace et de la vulnérabilité  Caractérisé par une probabilité et un impact Un peu d’histoire • De la perception de l’avenir…  Jusqu’à l’époque de la Renaissance, l’avenir est entre les mains d’une force supérieure, et l’homme agit dans une perspective d’éternité ;  La notion de « Progrès » bouleverse le rapport au temps : le présent est dorénavant occupé à construire l’avenir • …A la perspective du risque  La théorie des probabilités date du milieu du XVIIème siècle (Pascal / Fermat) ; 2  En cinquante ans, les bases de la probabilité du risque sont posées, entraînant l’émergence des métiers de la finance, de l’assurance, etc. ;  La dernière pierre est posée au XXème siècle, avec la mesure du retour sur investissement, ouvrant la voie au « risk management ». Les types de risque Multiplicité des risques • Risque pays • Risque de taux • Risque de crédit • Risque de vol • Risque d’approvisionnement • Risque de change • Risque social • Risque environnemental • Risque fiscal Rq : fraude fiscale Le risque fiscal est sous-estimé en France. • Risque d’exploitation • Risque de catastrophe Rq : inondation du 1910 à Paris • Risque stratégique • Risque d’intrusion Mode de classification Par type de menace : • Risques de marché  Risque de taux  Risque de change  Risque de crédit  Risque pays • Risques stratégiques  Risque d’image  Risque d’alliance  Concurrence  investisseurs • Risques opérationnels  Risque d’approvisionnement  Risque social  Risque de malveillance  Risque fiscal • Risques de catastrophe  Catastrophes naturelles  Risque juridique catastrophe boursière  Risque terroriste Par moyen de protection : 3 Risque global • Risque acceptable  Risque social  Risque fiscal • Risque couvrable  Risque de taux  Risque de cours  Risque de change • Risque assurable  Risque de vol  Risque de catastrophe  Risque d’exploitation • Risque diversifiable  Risque d’approvisionnement  Risque d’exploitation La règle du « sur mesure » • Il n’existe pas de classification universelle des risques, pas plus que de système de gestion prêt à l’emploi • Chaque entreprise se doit de réaliser sa propre classification, en fonction notamment de :  Son secteur d’activité  Sa position concurrentielle  Son organisation  Etc.… Par propriété pour l’entreprise : Rq : « plan de secours » est le plan d’organisation et de réaction prévu en cas du risque concerné survenu. Le management des risques Démarche générale • Stratégie  Définition et qualification des risques  Stratégie d’audit • Evaluation des vulnérabilités  Evaluation de vulnérabilités  Plan d’action • Moyens de protection  Mise en œuvre des moyens de protection  Plan de communication et de formation • Actions de suivi Impact Plan de secours Suivi périodique Action immédiate Plan d’actions Probabilité 4  Mesure de la conformité  Plan d’audit Stratégie de risque Définition et qualification des risques : • Identifier l’ensemble des risques  Inhérents à l’activité et au secteur  Propres à l’organisation  Etablir une classification (par impact, …)  Obtenir la validation de la Direction Générale Elaboration de la stratégie d’audit : • concevoir une charte d’audit • attribuer les responsabilités • allouer les ressources Evaluation des risques Evaluation des vulnérabilités : • définir les outils et les moyens d’investigation • évaluer les dispositifs en place  détection et prévention  protection  transfert • établir la cartographie du risque résiduel Conception du plan d’actions : • objectifs claires et mesurables Rq : plus il est simple, plus il marcherait mieux. • responsabilités et moyens identifiés Rq : avant tout (càd les moyens de sécurités), la gestion des risques est une mise en place d’une politique de démarches de contrôle. Mise en œuvre Mise en œuvre opérationnelle : • conception et déploiement des solutions  mode projet incluant les opérationnels  mesure d’efficacité  respect des moyens alloués • intégration dans les processus existant Communication et formation : • diffuser les référentiels Rq : « comment on mesure et classer les risques ? » • intégrer la gestion du risque dans les objectifs individuels Système d’assurance Mesurer la conformité : • suivi de la réalisation du plan d’actions • tableau de bord de la gestion des risques Etablir le programme d’audit : • revue périodique des vulnérabilités 5 • contrôles spécifiques Pérenniser la démarche : • industrialiser les outils • maintenir la communication interne Vers une vision dynamique Evolution des enjeux et objectifs de l’entreprise : • amélioration de la performance • modification des contraintes réglementaires • apparition de nouveaux concepts :  développement durable Rq : « social », « environnemental » et « économique »  éthique • recours aux nouvelles technologies • étendue du champ de certification Trois cycles de gestion des risques : Rq : les systèmes ont une auto-évaluation et remontent les informations à travers le système de management des risques qui fait la synthèse. La position des organisations Le « business model » de l’entreprise • Processus de l’exécutif : stratégie, organisation, pilotage, … • Processus opérationnels : production, achat, vente, … • Processus support :  Gestion comptable et financière  Gestion des ressources humaines  Système d’information  Fonction juridique 6 Rq : en fonction de leurs niveaux différents, on communique sur de différents termes. Les structures de gestion des risques • Niveau 1 : responsabilité implicite  va de paire avec la fonction  absence de processus de suivi • Niveau 2 : responsabilité définie  délégation formelle  intégration à l'organigramme • Niveau 3 : responsabilité globale  Comité ou direction des Risques  Risk Manager • tendances :  gestion du risque liée aux contraintes réglementaires (organismes de crédit)  notion de gestion intégrée : ° responsabilité transversale ° optimisation des polices d'assurance Rq : il faut intégrer tout cela dans les pratiques quotidiennes.  évolutions des pratiques liées au gouvernement d'entreprise  communication externe sur la gestion des risques Les risques liés au système d’information Des risques à la hauteur des enjeux Définition de la notion de systèmes d’information Le systèmes d’Information : une fonction transversale • participe à tous les processus de l'entreprise • reflet de la stratégie ... à hauts risques • évolution des technologies • ouverture sur l'extérieur / image • risques inhérents 7 • Coût des pertes supérieur à 2 milliards d'€ • Progression forte de la malveillance au cours des dix dernière années Les types de risques En utilisant les projets à la mise en conformité des contraintes externes… : • Fraude • Malveillance • Contrôle interne • Légal • uploads/Management/ audit-systeme-information.pdf