Formation à l'audit informatique - Examen corrige
Exemple. Entreprise commerciale sur AS400. Thèmes présentés. 1) L'équipe
informatique. 2) La configuration matérielle. 3) La cartographie applicative. 4) La
politique informatique. 5) La gestion de la sécurité informatique. 6) Le
développement informatique. 7) L'exploitation informatique. Equipes. Existant ...
Part of the document
2265U08 - Audit Systèmes Informatiques
M. Jérôme BRZEZINSKI Management Global - Gestion et Informatique
Formation à l'audit informatique
- Synopsis Organisation des cours d'audit informatique
1/ Introduction - 11 janvier 2007
. La notion de risque
. Les types de risque
. Le management des risques
. Les risques liés aux systèmes d'information
. Impact sur la démarche générale
2/ Revue générale informatique - 18 janvier 2007
. La politique informatique
. L'organisation et les équipes du service informatique
. La configuration matérielle et réseau
. La cartographie applicative
. Les contrôles généraux informatiques
. La gestion de la sécurité informatique
. La gestion des changements informatiques
. Le développement informatique
. L'exploitation informatique
. Exemples
3/ Revue d'applications informatique - 25 janvier 2007
. Historique et insertion de l'application dans l'architecture globale
. Couverture fonctionnelle & dysfonctionnements
. Schéma des traitements et matrice de contrôle
. Identification des risques
. Approfondissement des risques identifiés
. Analyse des aspects « qualitatifs »
4/ Test informatiques - 1er février 2007
. Avantages des tests informatiques
. Situations amenant à procéder à des test informatiques
. Typologie des tests informatiques
. Démarche dans le cadre d'une mission CAC
. Les facteurs de réussite
. Présentation de l'outil « IDEA »
5/ Audit de la sécurité informatique - 8 février 2007
. Etat des lieux
. Continuité de service
. Confidentialité des informations et risques de fraude
. Risques d'erreur et de dysfonctionnement
. Méthode MARION
6/ Contrôle interne / SOX - 22 février 2007
. Contexte
. Démarche SOX
. Dimension Systèmes d'information
. Cas des processus externalisés
7/ Audit en environnement ERP - 15 février 2007
. Impacts des ERP sur les risques liés au SI
. L'approche spécifique d'audit des ERP
. Exemple de flux SAP
. La fraude et les méthodes de prévention de détection
8/ Examen - 8 mars 2007
. Questionnaire à choix multiple de type CISA
Introduction Notion de risque
Définition
. Risque
« Danger, inconvénient plus ou moins probable auquel on est exposé. »
(Larousse)
. Les implications directes
. Risque pour qui ?
Rq : en fonction de l'activité (ex : industries, banques, etc.) et de
la taille (ex : régionale, nationale, internationale) des entreprises,
les risques ne sont pas les mêmes.
. Importance relative / impact ?
. Probabilité d'occurrence ? Les concepts associés
[pic]
. Risque
. Fonction de la menace et de la vulnérabilité
. Caractérisé par une probabilité et un impact Un peu d'histoire
. De la perception de l'avenir...
. Jusqu'à l'époque de la Renaissance, l'avenir est entre les mains d'une
force supérieure, et l'homme agit dans une perspective d'éternité ;
. La notion de « Progrès » bouleverse le rapport au temps : le présent
est dorénavant occupé à construire l'avenir
. ...A la perspective du risque
. La théorie des probabilités date du milieu du XVIIème siècle (Pascal /
Fermat) ;
. En cinquante ans, les bases de la probabilité du risque sont posées,
entraînant l'émergence des métiers de la finance, de l'assurance,
etc. ;
. La dernière pierre est posée au XXème siècle, avec la mesure du retour
sur investissement, ouvrant la voie au « risk management ». Les types de risque
Multiplicité des risques
. Risque pays
. Risque de taux
. Risque de crédit
. Risque de vol
. Risque d'approvisionnement
. Risque de change
. Risque social
. Risque environnemental
. Risque fiscal
Rq : fraude fiscale
Le risque fiscal est sous-estimé en France.
. Risque d'exploitation
. Risque de catastrophe
Rq : inondation du 1910 à Paris
. Risque stratégique
. Risque d'intrusion Mode de classification
Par type de menace :
. Risques de marché
. Risque de taux
. Risque de change
. Risque de crédit
. Risque pays
. Risques stratégiques
. Risque d'image
. Risque d'alliance
. Concurrence
. investisseurs
. Risques opérationnels
. Risque d'approvisionnement
. Risque social
. Risque de malveillance
. Risque fiscal
. Risques de catastrophe
. Catastrophes naturelles
. Risque juridique catastrophe boursière
. Risque terroriste Par moyen de protection :
Risque global
. Risque acceptable
. Risque social
. Risque fiscal
. Risque couvrable
. Risque de taux
. Risque de cours
. Risque de change
. Risque assurable
. Risque de vol
. Risque de catastrophe
. Risque d'exploitation
. Risque diversifiable
. Risque d'approvisionnement
. Risque d'exploitation La règle du « sur mesure »
. Il n'existe pas de classification universelle des risques, pas plus que
de système de gestion prêt à l'emploi
. Chaque entreprise se doit de réaliser sa propre classification, en
fonction notamment de :
. Son secteur d'activité
. Sa position concurrentielle
. Son organisation
. Etc.... Par propriété pour l'entreprise : [pic]
Rq : « plan de secours » est le plan d'organisation et de réaction prévu en
cas du risque concerné survenu. Le management des risques
Démarche générale
. Stratégie
. Définition et qualification des risques
. Stratégie d'audit
. Evaluation des vulnérabilités
. Evaluation de vulnérabilités
. Plan d'action
. Moyens de protection
. Mise en ?uvre des moyens de protection
. Plan de communication et de formation
. Actions de suivi
. Mesure de la conformité
. Plan d'audit Stratégie de risque
Définition et qualification des risques :
. Identifier l'ensemble des risques
. Inhérents à l'activité et au secteur
. Propres à l'organisation
. Etablir une classification (par impact, ...)
. Obtenir la validation de la Direction Générale
Elaboration de la stratégie d'audit :
. concevoir une charte d'audit
. attribuer les responsabilités
. allouer les ressources Evaluation des risques
Evaluation des vulnérabilités :
. définir les outils et les moyens d'investigation
. évaluer les dispositifs en place
. détection et prévention
. protection
. transfert
. établir la cartographie du risque résiduel
Conception du plan d'actions :
. objectifs claires et mesurables
Rq : plus il est simple, plus il marcherait mieux.
. responsabilités et moyens identifiés
Rq : avant tout (càd les moyens de sécurités), la gestion des risques est
une mise en place d'une politique de démarches de contrôle. Mise en ?uvre
Mise en ?uvre opérationnelle :
. conception et déploiement des solutions
. mode projet incluant les opérationnels
. mesure d'efficacité
. respect des moyens alloués
. intégration dans les processus existant
Communication et formation :
. diffuser les référentiels
Rq : « comment on mesure et classer les risques ? »
. intégrer la gestion du risque dans les objectifs individuels Système d'assurance
Mesurer la conformité :
. suivi de la réalisation du plan d'actions
. tableau de bord de la gestion des risques
Etablir le programme d'audit :
. revue périodique des vulnérabilités
. contrôles spécifiques
Pérenniser la démarche :
. industrialiser les outils
. maintenir la communication interne Vers une vision dynamique
Evolution des enjeux et objectifs de l'entreprise :
. amélioration de la performance
. modification des contraintes réglementaires
. apparition de nouveaux concepts :
. développement durable
Rq : « social », « environnemental » et « économique »
. éthique
. recours aux nouvelles technologies
. étendue du champ de certification Trois cycles de gestion des risques :
[pic]
Rq : les systèmes ont une auto-évaluation et remontent les informations à
travers le système de management des risques qui fait la synthèse. La position des organisations
Le « business model » de l'entreprise
. Processus de l'exécutif : stratégie, organisation, pilotage, ...
. Processus opérationnels : production, achat, vente, ...
. Processus support :
. Gestion comptable et financière
. Gestion des ressources humaines
. Système d'information
. Fonction juridique
[pic]
Rq : en fonction de leurs niveaux différents, on communique sur de
différents termes. Les structures de gestion des risques
. Niveau 1 : responsabilité implicite
. va de paire avec la fonction
. absence de processus de suivi
. Niveau 2 : responsabilité définie
. délégation formelle
. intégration à l'organigramme
. Niveau 3 : responsabilité globale
. Comité ou direction des Risques
. Risk Manager
. tendances :
. gestion du risque liée aux contraintes réglementaires (organismes de
crédit)
. notion de gestion intégrée :
< responsabilité transversale
< optimisation des polices d'assurance
Rq : il faut intégrer tout cela dans les pratiques quotidiennes.
. évolutions des pratiques liées au gouvernement d'entreprise
. communication externe sur la gestion des risques Les risques liés au système d'information
Des risques à la hauteur des enjeux
Définition de la notion de systèmes d'information Le systèmes d'Information : une fonction transversale
. participe à tous les processus de l'entreprise
. reflet de la stratégie
... à hauts risques
. évolution des technologies
. ouverture sur l'extérieur / image
. risques inhérents [pic]
. Coût des pertes supérieur à 2 milliards d'E
. Progression forte de la malveillance au cours des dix dernière années Les types de risques
En utilisant les projets à la mise en conformité des contraintes
externes... :
. Fraude
. Malveillance
. Contrôle interne
. Légal
. Continuité
...on cherche de plus une performance meilleure :
. Maîtrise
. Coûts
. Efficac