Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Les Contrôles Généraux Informatiques Information Technology General Controls (I

Les Contrôles Généraux Informatiques Information Technology General Controls (ITGC) www.pwc.com PwC Présentation des ITGC Définition 1.Les ITGC sont des contrôles qui garantissent que le système d’information d’une organisation fonctionne comme prévu par son management. 2.Les ITGC assurent que les données traitées par le système d’information de l’organisation sont : -.Intègres ; -.Disponibles ; et -.Sécurisées. 3.Les ITGC comportent 4 domaines, qui sont : • Le développement informatique (Program Development) ; • La gestion des changements (Program Change) ; • L’exploitation informatique (Computer Operations) ; • L’accès aux données et aux applications (Access to program and data). 2 PwC Présentation des ITGC Exemple 3 Process Assertions financière Risque de la transaction Risque de l’utilisation de l’IT Les activité de contrôle IT General Controls Sous Processus Chiffre d’affaire Exactitude Exhaustivité Cut-off Existence Input : Prix incorrect Input : Quantité Incorrect Calcul incorrect Compte comptable Incorrect Commande Livraison Facturation Encaissement Ajustement et clôture de periode Contrôle de Facturation Prix correct Accès non autorisé à l’application Mauvaise conception des rapports Accès direct aux bases de données Perte de données Contrôle de commande Prix correct Program Development Program Change Computer Operations Access to program and data PwC Objectif: S’assurer que les systèmes sont correctement Développés, paramétrés et implémentés afin d’atteindre les objectifs du management en matière de contrôle applicatif. Program Development 4 Project Initiation, Analysis and Design Construction Testing and Quality Assurance Data Conversion Program Implementation Documentati on and training Segregation of duties PwC Program Development Project Initiation, Analysis and Design Objectifs: S’assurer que les phases de planification et mobilisation de ressources sont assez efficaces pour atteindre les objectifs du management en matière de contrôle applicatif. Examiner les points suivants: •Autorisation de lancement des travaux par les sponsors du projet ; •Composition de l’équipe projet ; •Identification des « applications owners » et des « data owners » ; •… 5 Project Initiation, Analysis and Design Construction Testing and Quality Assurance Data Conversion Program Implementa tion Documenta tion and training Segregation of duties PwC Program Development Construction 6 Project Initiation, Analysis and Design Construction Testing and Quality Assurance Data Conversion Program Implementa tion Documenta tion and training Segregation of duties Objectifs: S’assurer que les programmes développés en interne (in-house development) sont écrits de la manière à s’aligner avec les objectifs du management. Examiner les points suivants : •Utilisation d’un standard interne de développement logiciel ; •Mise en place d’un système de Contrôle des versions (Versionning); •Séparation entre les applications et les données ; •… PwC Program Development Testing and Quality Assurance 7 Project Initiation, Analysis and Design Construction Testing and Quality Assurance Data Conversion Program Implementa tion Documenta tion and training Segregation of duties Objectifs: S’assurer que les travaux de tests ont été correctement planifiés, préparés et exécutés par les ressources adéquates afin de s’assurer que le nouveau système fonctionne comme prévu durant la phase d’analyse. Examiner les points suivants : •S’assurer que l’étendu du plan de test s’aligne avec les attentes des utilisateurs finaux ; •S’assurer que le nouveau programme n’a pas subi de modification après la phase de test ; •… PwC Program Development Data Conversion 8 Project Initiation, Analysis and Design Construction Testing and Quality Assurance Data Conversion Program Implementa tion Documenta tion and training Segregation of duties Objectifs: S’assurer que les données ont été correctement migrées depuis l’ancien système vers le nouveau système afin de préserver l’intégrité des données. Examiner les points suivants : •S’assurer que les données ont été correctement « mappées » de l’ancien système vers le nouveau système ; •S’assurer que les données ont été migrées d’une manière exhaustive et intègre ; •… PwC Program Development Program Implementation 9 Project Initiation, Analysis and Design Construction Testing and Quality Assurance Data Conversion Program Implementa tion Documenta tion and training Segregation of duties Objectifs: S’assurer que le nouveau système a été correctement implémenté dans l’environnement de production. Examiner les points suivants : •Les travaux de tests ont été convenablement exécuté ; •Le plan de retour à la normal est documenté avant la mise en exploitation ; •L’approbation du business owner est matérialisé par une autorisation de mise en production ; •La version de l’application installée correspond à celle qui a été testée ; PwC Program Development Documentation and Training 10 Project Initiation, Analysis and Design Construction Testing and Quality Assurance Data Conversion Program Implementa tion Documenta tion and training Segregation of duties Objectifs: S’assurer que la documentation technique et que le guide d’utilisation du nouveau programme est disponible aux utilisateurs de l’application. Examiner les points suivants : •Disponibilité de la documentation technique et du guide d’utilisation. PwC Program Development Segregation of duties 11 Project Initiation, Analysis and Design Construction Testing and Quality Assurance Data Conversion Program Implementa tion Documenta tion and training Segregation of duties Objectifs: S’assurer de la séparation des tâches incompatibles durant tous le processus de développement. Examiner les points suivants : •S’assurer que les tâches incompatibles du domaine « Program Development » ont été clairement identifié ; •S ’assurer de la séparation entre les environnements de développement, de test et de production. PwC Specification, authorization and tracking of change requests Construction Testing and Quality Assurance Program Implementation Documentatio n and training Segregation of duties Program Change 12 Objectifs: S’assurer que les changements apportés aux systèmes et à l’infrastructure sont autorisés, construits, testés, et implémentés afin d’atteindre les objectifs du management en matière de contrôle applicatif. PwC Program change Specification, authorization and tracking of change requests 13 Specification, authorization and tracking of change requests Construction Testing and Quality Assurance Program Implementation Documentati on and training Segregation of duties Objectifs: S’assurer que les demandes de changements (Change Request) sont enregistrées, autorisées et priorisées. Examiner les points suivants : •S’assurer que toutes les demandes de changements ont été enregistrées dans un système automatique ou manuel ; •S’assurer que toutes les demandes de changements sont les résultantes. (*) les autres étapes sont identiques à celle du domaine « Program Devlopment » PwC Computer Operations Batch scheduling and processing Real-time processing Backup and Problem Management Disaster Recovery Computer Operation 14 Objectifs: S’assurer que les systèmes en production sont entrain de fonctionner de manière à atteindre les objectifs du management, et que tous les problèmes sont identifiés, enregistrés et résolus afin de garantir l’intégrité de l’information financière. PwC Computer Operations Batch scheduling and processing Objectifs: S’assurer que les travaux batch sont correctement planifiés et exécuté afin d’atteindre les objectifs du management. Tester les points suivants : • S’assurer que tout changement au niveau de des travaux Batch a été initié et autorisé ; • S’assurer de la documentation des procédures et des politiques ; • S’assurer que seuls les utilisateurs concernés ont accès aux outils de traitement Batch ; 15 Batch scheduling and processing Real-time processing Backup and Problem Management Disaster Recovery Computer Operation PwC Computer Operations Real Time Processing Objectifs: S’assurer que les données transférées via les « Real Time Processing applications»sont exactes et exhaustives. Examiner les points suivants : •Comment le management s’assure que tout changement apporté aux interface a été autorisé par un responsable ; •Comment s’assurer que les problèmes et les incidents dus au fonctionnement de l’interface sont capturés et traités; •Comment s’assurer que seules les personnes habilitées ont le droit de modifier les les « Real Time Processing applications» . 16 Batch scheduling and processing Real-time processing Backup and Problem Management Disaster Recovery Computer Operation PwC Computer Operations Backup and Problem Management Objectifs: S’assurer que les données sont disponibles en cas de panne ou incident informatique et que tous problèmes d’exploitations sont identifié, catégorisés, priorisés et résolus à temps. Examiner les points suivants: •Comment s’assurer que toutes les données critiques ont été au niveau du plan de sauvegarde ; •Comment s’assurer que les supports de stockage sont placés dans un emplacement sécurisé et disponible ; •Comment s’assurer que les incidents et les problèmes informatiques sont identifiés et résolus à temps. 17 Batch scheduling and processing Real-time processing Backup and Problem Management Disaster Recovery Computer Operation PwC Computer Operations Disaster Recovery Objectifs: S’assurer que l’organisation a mis en place un plan de continuité d’activité qui permet de reprendre l’activité de l’entreprise en cas de désastre ou de problème informatique grave. Examiner les points suivants : •S’assurer que le périmètre externe et l’enceinte interne de l’entreprise sont sécurisés par les dispositifs de sécurité adéquats (détecteur de feu, eau, humidité, fumée, température, …) ; •S’assurer qu’ une analyse d’impact ou une évaluation des risques a été menée par l’entreprise ; •S’assurer que le plan de reprise d’activité est testé régulièrement ; 18 Batch scheduling and processing Real-time processing Backup and Problem Management Disaster Recovery Computer Operation PwC Access to Programs and Data 19 Objectifs: S’assurer que seuls les personnes autorisées à accéder aux données et aux applications sont habilitées à le faire moyennant un système d’identification ou d’authentification. Management of Security Activities Management of Security Activities Security administration Security administration Data Security Data Security Operating System and Network Security Operating System and Network Security PwC Access to Programs and Data Management of Security Activities Management of Security Activities Management of Security uploads/Management/itgc-acs-support-de-formation.pdf