Avantages de l’informatique
-application systématique des règles prédifinies et exécution des calculs ( lorsqu’un calcul est déjà programmer, il va tjrs se faire de la même façon, à la main il pourrait avoir des erreurs.)
-Traitement de volumes importants de transactions ( ex: banque - calculs intérêts, calculs frais de services…)
-Rpidité, disponibilité et exactitude des informations
-facilité d’analyse
-suivit des résultats
-Réduit le risque de contournement des contrôles ( peut adresser plus facilement les contrôles car pas besoin de vérifier chaque transaction, juste l’application systématique prédefinit)
Phases principales d’un audit
- planification et appréciation des riques
- Mesures à prendre en réponse aux risques (exécution)
- Achèvement de l’audit et émission du rapport
L’auditeur doit mettre en oeuvre des procédures d’évaluation des risques afin d’acquérir une compréhension de…
a) aspects suivant de l’entité cet de son environnement : la structure organisationnelle de l’entité, sa structure de propriété et sa structure de gouvernance ainsi que son modèle d’entreprise, dont la mesure dans laquelle le recours à l’information y est intégré
b) identifier les applications informatiques et les autres aspects de l’environnement informatique qui sont vulnérables aux rdsiues découlant du recours à l’informatique
c) Identifier en ce qui concerne les application informatiques et les autres aspects de l’environnement informatique : les risques connexes découlant du recours à l’informatique et les contrôles généraux informatiques visant à répondre à ces risques
Pour l’auditeur, à quoi sert cette connaissance (risques)?
L’auditeur utilise ceci pour l’aider à planifier le calendrier, l’étendue, la nature des procédés d’audit. Ceci appartient à la premier phase (planification et appréciation des risques)
Définition de l’environnment informatique
- applications (ex: application de paie)
- Infrastructures ( réseau, système d’exploration, bases de données, matériel/logiciels connexes)
- Processus (processus informatiques et membres du personnel)
Définition des contrôles généraux informatiques
- à distinguer des contrôles d’applications (contrôles du traitement de lInformation)
-CGI sont des contrôles afférents aux processus informatiques qui contribuent à assurer le bon fonctionnement de l’environnement informatique (incluant les applications)
Ex: on donne l’accès à tout le monde d’aller dans la base de données pour la paie, L’application de paie va bien fonctionner quand même mais un utilisateur pourrait changer des informations dans la base de données. Ceci est importante d’un CGI
Définition du traitement de l’information
comprend les contrôles qui concernent le traitement de l’information dans les applications informatiques
Risques découlant du recours à l’information
La possibilité que la conception ou le fonctionnement des contrôles du TRAITEMENT DE L’INFORMATION soient inefficaces ou les risques que l’intégrité des informations ne soient pas maintenues dû à des lacunes au niveau des CGI. Donc deux niveaux de faiblesses soit l’application et le CGI.
Environnement informatique de l’entité
Les applications informatiques, lInfrastructure et les processus informatiques vont varier selon l’entité
-logiciel commercial ou peu complexe
-logiciel commercial ou applications informatiques bye moyenne envergure et modérément complexes
-Applications informatiques de grade envergure ou complexes (propre logiciel comptable developper par la compagnie ex: banques ou assurances)
Principaux processus au niveau des CGI
- gestion de l’accès
- gestion des changements (programmes et autres éléments de l’environnement informatique)
- gestion des opérations informatiques
CGI devraient être en place à 4 niveaux…
- applications
- réseau
- système d’exploitation
- base de données
Exemples de gestion de l’accès
- authentification (si on perd notre mot de passe, c’est une autre couche de contrôle qui est spécifique à chaque personne)
- autorisation (à qui on accorde accès à des choses spécifiques)
- attribution (contrôle attribuant l’accès à des nouveaux utilisateurs)
- révocation ( quand un employé quitte ou change de département on lui enlève l’accès)
- accès privilégié (droit d’administrateurs/utilisateurs avec pouvoir ex: techniciens)
- examen des accès aux utilisateurs (pour réviser qui à accès)
- paramètres de sécurité
- accès physique (ordinateurs)
Exemples de gestion des changements
- processus de gestion des changements (conception, programmation et mise à l’essai / élaboration, acquisition et mis en oeuvre des systèmes)
- quelqu’un va réviser, approuver les changements à chaque étape
- conversion des données (pour s’assurer que les conversions sont fait de façon adéquate)
Gestion de contrôle des opérations informatiques
- planification des travaux
- suivi des travaux
- sauvegarde et récupération (garder une copie à l’externe en c as d’incendies)
- détection des intrusions
Importance des CGI dans le cadre de l’audit
si CGI est faible, sa rend le système vulnérable. L’auditeur peut donner une recommandation au client et lui expliquer l’importance du contrôle (impact)
Considérations par l’auditeur (lors d’un audit dans un cadre informatique)
- lors de la planification préliminaire (avant d’aller chez le client ou de l’accepter):
- système maison vs acheté (est-ce qu’On a les compétences, ressources et connaissances pour effectuer l’audit?) - si le client est accepté…acquérir compréhension du système.
- obtenir information générale, description du système
-droit d’utilisation (logiciel)… si aucun droit, y a t-il du support technique?, sa peut augmenter le risque de l’audit et on devra peut-être faire une recommandation dans le rapport
Principes de base pour le contrôle interne efficace
- personne compétente/qualifiée
- séparation des tâches (conception, authorisation, programmation et exploitation)
- documentation
- sauvegarde (lieu distinct et cloud)
- sécurité (contrôle d’accès, climatisation, protection contre les incendies, inondations…)
- caractère confidentiel (mot de passe change après certain temps, redemande de mot de passe/ re login, accès limité en fonction nécéssaire au travail, pare-feu, cryptage de données, logiciel antivirus à jour, conserve des traces des opérations)
- acquisition et mise à jour des programmes (fonctions des besoins de l’entreprise, authorisations des mises à jour, vérification avant implantation)
Outils et techniques automatisés que l’auditeur peut utiliser
- jeu d’essai : utilisation d’opérations fictives pour déterminer si les programmes du client fonctionnent de la façon décrite (opérations valides et invalides & ceci demande la coopération du client)
-données d’essais doivent prévoir toute les possibilités
-programme utilisé pendant toute l’exercice
-enlever les données du jeu d’essai à la fin - unité d’essai intégré (créer un environnement distinct ex: une succursale de banque fictive)
- Simulation parallèle (reproduire les opérations du client dans notre propre système pour vérifier)
- Verification des codes sources
Plan antisinistre et la définition d’un sinistre informatique
Plan antisinistre: plan dans lequel sont prévus les différentes étapes nécessaires au transfert et à la reprise graduelle des activités d’un organisation en cas de sinistre informatique. Plan de reprise des activités et plan de continuité des opérations.
Sinistre informatique: événement grave d’origine naturelle ou humaine, accidentelle ou intentionnelle, occasionnant des pertes et des dommages importants aux systèmes informatiques d’une organisation ou d’un individu. Celui-ci va impacter l’image de l’entreprise, ce qui va finir par nuire de façon financière aussi.
éléments d’un bon plan antisinistre
- engagement de la direction à l’égard du plan antisinistre (temps et ressources financières)
- se demander ce qui se passerait si le processus XXX était défaillant (nombre de jours et identifications des applications essentielles)
- déterminer les ressources minimales nécessaires (analyse des avantages et des coûts)
- Préparer un plan pour le centre de traitement et un plan pour les utilisateurs
- Mise à l’essai du plan
- conserver à l’extérieur une copie de sauvegarde
-assurances appropriées
-mettre à jour le plan antisinistre
Quel est le rôle de l’auditeur dans le plan antisinistre?
Si absence du plan, on peut recommander mais c’est pas le rôle direct l’auditeur, c’est la responsabilité du client
Implantation d’un système (conception et élaboration d’un système informatique)
- determiner les besoins
- analyser avantages/coûts
- étude de faisabilité
- plan d’essai
- plan de conversion et de transition
- documentation
- formation
- maintenance
9. - support
- sondage utilisateurs (impliquer les utilisateurs)
quelles sont les responsabilités de l’auditeur dans la conception et le développement des systèmes informatiques de son client?
Pas notre responsabilité mais il est possible que le client nous consulte pour nos expertises.
