Synopsis Organisation des cours d’audit informatique








télécharger 407.35 Kb.
titreSynopsis Organisation des cours d’audit informatique
page1/8
date de publication02.04.2017
taille407.35 Kb.
typeSynopsis
ar.21-bal.com > loi > Synopsis
  1   2   3   4   5   6   7   8
2265U08 – Audit Systèmes Informatiques

M. Jérôme BRZEZINSKI
Management Global – Gestion et Informatique

Formation à l’audit informatique

- Synopsis
Organisation des cours d’audit informatique

1/ Introduction – 11 janvier 2007

  • La notion de risque

  • Les types de risque

  • Le management des risques

  • Les risques liés aux systèmes d’information

  • Impact sur la démarche générale

2/ Revue générale informatique – 18 janvier 2007

  • La politique informatique

  • L’organisation et les équipes du service informatique

  • La configuration matérielle et réseau

  • La cartographie applicative

  • Les contrôles généraux informatiques

    • La gestion de la sécurité informatique

    • La gestion des changements informatiques

    • Le développement informatique

    • L’exploitation informatique

  • Exemples

3/ Revue d’applications informatique – 25 janvier 2007

  • Historique et insertion de l’application dans l’architecture globale

  • Couverture fonctionnelle & dysfonctionnements

  • Schéma des traitements et matrice de contrôle

  • Identification des risques

  • Approfondissement des risques identifiés

  • Analyse des aspects « qualitatifs »

4/ Test informatiques – 1er février 2007

  • Avantages des tests informatiques

  • Situations amenant à procéder à des test informatiques

  • Typologie des tests informatiques

  • Démarche dans le cadre d’une mission CAC

  • Les facteurs de réussite

  • Présentation de l’outil « IDEA »

5/ Audit de la sécurité informatique – 8 février 2007

  • Etat des lieux

  • Continuité de service

  • Confidentialité des informations et risques de fraude

  • Risques d’erreur et de dysfonctionnement

  • Méthode MARION

6/ Contrôle interne / SOX – 22 février 2007

  • Contexte

  • Démarche SOX

  • Dimension Systèmes d’information

  • Cas des processus externalisés

7/ Audit en environnement ERP – 15 février 2007

  • Impacts des ERP sur les risques liés au SI

  • L’approche spécifique d’audit des ERP

  • Exemple de flux SAP

  • La fraude et les méthodes de prévention de détection

8/ Examen – 8 mars 2007

  • Questionnaire à choix multiple de type CISA



Introduction
Notion de risque

Définition

  • Risque

« Danger, inconvénient plus ou moins probable auquel on est exposé. » (Larousse)

  • Les implications directes

    • Risque pour qui ?

Rq : en fonction de l’activité (ex : industries, banques, etc.) et de la taille (ex : régionale, nationale, internationale) des entreprises, les risques ne sont pas les mêmes.

    • Importance relative / impact ?

    • Probabilité d’occurrence ?


Les concepts associés



  • Risque

    • Fonction de la menace et de la vulnérabilité

    • Caractérisé par une probabilité et un impact


Un peu d’histoire

  • De la perception de l’avenir…

    • Jusqu’à l’époque de la Renaissance, l’avenir est entre les mains d’une force supérieure, et l’homme agit dans une perspective d’éternité ;

    • La notion de « Progrès » bouleverse le rapport au temps : le présent est dorénavant occupé à construire l’avenir

  • …A la perspective du risque

    • La théorie des probabilités date du milieu du XVIIème siècle (Pascal / Fermat) ;

    • En cinquante ans, les bases de la probabilité du risque sont posées, entraînant l’émergence des métiers de la finance, de l’assurance, etc. ;

    • La dernière pierre est posée au XXème siècle, avec la mesure du retour sur investissement, ouvrant la voie au « risk management ».


Les types de risque

Multiplicité des risques

  • Risque pays

  • Risque de taux

  • Risque de crédit

  • Risque de vol

  • Risque d’approvisionnement

  • Risque de change

  • Risque social

  • Risque environnemental

  • Risque fiscal

Rq : fraude fiscale

Le risque fiscal est sous-estimé en France.

  • Risque d’exploitation

  • Risque de catastrophe

Rq : inondation du 1910 à Paris

  • Risque stratégique

  • Risque d’intrusion


Mode de classification

Par type de menace :

  • Risques de marché

    • Risque de taux

    • Risque de change

    • Risque de crédit

    • Risque pays

  • Risques stratégiques

    • Risque d’image

    • Risque d’alliance

    • Concurrence

    • investisseurs

  • Risques opérationnels

    • Risque d’approvisionnement

    • Risque social

    • Risque de malveillance

    • Risque fiscal

  • Risques de catastrophe

    • Catastrophes naturelles

    • Risque juridique catastrophe boursière

    • Risque terroriste


Par moyen de protection :

Risque global

  • Risque acceptable

    • Risque social

    • Risque fiscal

  • Risque couvrable

    • Risque de taux

    • Risque de cours

    • Risque de change

  • Risque assurable

    • Risque de vol

    • Risque de catastrophe

    • Risque d’exploitation

  • Risque diversifiable

    • Risque d’approvisionnement

    • Risque d’exploitation


La règle du « sur mesure »

  • Il n’existe pas de classification universelle des risques, pas plus que de système de gestion prêt à l’emploi

  • Chaque entreprise se doit de réaliser sa propre classification, en fonction notamment de :

    • Son secteur d’activité

    • Sa position concurrentielle

    • Son organisation

    • Etc.…


Par propriété pour l’entreprise :


Rq : « plan de secours » est le plan d’organisation et de réaction prévu en cas du risque concerné survenu.




Le management des risques

Démarche générale

  • Stratégie

    • Définition et qualification des risques

    • Stratégie d’audit

  • Evaluation des vulnérabilités

    • Evaluation de vulnérabilités

    • Plan d’action

  • Moyens de protection

    • Mise en œuvre des moyens de protection

    • Plan de communication et de formation

  • Actions de suivi

    • Mesure de la conformité

    • Plan d’audit


Stratégie de risque

Définition et qualification des risques :

  • Identifier l’ensemble des risques

    • Inhérents à l’activité et au secteur

    • Propres à l’organisation

    • Etablir une classification (par impact, …)

    • Obtenir la validation de la Direction Générale

Elaboration de la stratégie d’audit :

  • concevoir une charte d’audit

  • attribuer les responsabilités

  • allouer les ressources


Evaluation des risques

Evaluation des vulnérabilités :

  • définir les outils et les moyens d’investigation

  • évaluer les dispositifs en place

    • détection et prévention

    • protection

    • transfert

  • établir la cartographie du risque résiduel

Conception du plan d’actions :

  • objectifs claires et mesurables

Rq : plus il est simple, plus il marcherait mieux.

  • responsabilités et moyens identifiés

Rq : avant tout (càd les moyens de sécurités), la gestion des risques est une mise en place d’une politique de démarches de contrôle.
Mise en œuvre

Mise en œuvre opérationnelle :

  • conception et déploiement des solutions

    • mode projet incluant les opérationnels

    • mesure d’efficacité

    • respect des moyens alloués

  • intégration dans les processus existant

Communication et formation :

  • diffuser les référentiels

Rq : « comment on mesure et classer les risques ? »

  • intégrer la gestion du risque dans les objectifs individuels


Système d’assurance

Mesurer la conformité :

  • suivi de la réalisation du plan d’actions

  • tableau de bord de la gestion des risques

Etablir le programme d’audit :

  • revue périodique des vulnérabilités

  • contrôles spécifiques

Pérenniser la démarche :

  • industrialiser les outils

  • maintenir la communication interne


Vers une vision dynamique

Evolution des enjeux et objectifs de l’entreprise :

  • amélioration de la performance

  • modification des contraintes réglementaires

  • apparition de nouveaux concepts :

    • développement durable

Rq : « social », « environnemental » et « économique »

    • éthique

  • recours aux nouvelles technologies

  • étendue du champ de certification


Trois cycles de gestion des risques :



Rq : les systèmes ont une auto-évaluation et remontent les informations à travers le système de management des risques qui fait la synthèse.
La position des organisations

Le « business model » de l’entreprise

  • Processus de l’exécutif : stratégie, organisation, pilotage, …

  • Processus opérationnels : production, achat, vente, …

  • Processus support :

    • Gestion comptable et financière

    • Gestion des ressources humaines

    • Système d’information

    • Fonction juridique



Rq : en fonction de leurs niveaux différents, on communique sur de différents termes.
Les structures de gestion des risques

  • Niveau 1 : responsabilité implicite

    • va de paire avec la fonction

    • absence de processus de suivi

  • Niveau 2 : responsabilité définie

    • délégation formelle

    • intégration à l'organigramme

  • Niveau 3 : responsabilité globale

    • Comité ou direction des Risques

    • Risk Manager

  • tendances :

    • gestion du risque liée aux contraintes réglementaires (organismes de crédit)

    • notion de gestion intégrée :

      • responsabilité transversale

      • optimisation des polices d'assurance

Rq : il faut intégrer tout cela dans les pratiques quotidiennes.

    • évolutions des pratiques liées au gouvernement d'entreprise

    • communication externe sur la gestion des risques


Les risques liés au système d’information

Des risques à la hauteur des enjeux

Définition de la notion de systèmes d’information
Le systèmes d’Information : une fonction transversale

  • participe à tous les processus de l'entreprise

  • reflet de la stratégie

... à hauts risques

  • évolution des technologies

  • ouverture sur l'extérieur / image

  • risques inhérents




  • Coût des pertes supérieur à 2 milliards d'€

  • Progression forte de la malveillance au cours des dix dernière années


Les types de risques

En utilisant les projets à la mise en conformité des contraintes externes… :

  • Fraude

  • Malveillance

  • Contrôle interne

  • Légal

  • Continuité

…on cherche de plus une performance meilleure :

  • Maîtrise

  • Coûts

  • Efficacité

  • Efficience


Le positionnement de la DSI

  • La tendance à la nomination de RSSI mais avec des difficultés de positionnement hiérarchique

  • La possibilité du RSSI qui a la capacité d'évoluer vers un poste de RS

  • Recours à des expertises externes: schéma directeur, pilotage de projets, sécurité...

Rq : « schéma directeur » : une déclinaison informatique et business des acteurs opérationnels
Evolution des moyens mis en œuvre

Les tendances observées :

  • utilisation de normes et méthodes reconnues (Afnor, Clusif, …) et des best practices

  • niveau de formalisation plus élevé

Rq : la quantité des documentations augmente

  • compréhension et traduction des besoins utilisateurs

  • niveau de service, performances, satisfaction : évolution vers des relations de type client / fournisseur


Les méthodes d’investigation

Couverture des risques inhérents :

  • Revue Générale Informatique

    • la politique informatique

    • l'organisation et les équipes du service informatique

    • la configuration matérielle et réseau

    • la cartographie applicative

    • la gestion de la sécurité informatique

    • le développement informatique

    • l'exploitation informatique

  • Audit sécurité: sécurité physique et logique, continuité d'exploitation


Couverture des risques liés aux processus externes :

  • revue d'application

    • application "traditionnelle"

    • Audit des flux versus audit des traitements

  • approche ERP

    • audit du paramétrage

  • certification de sites de commerce électronique





  • tests informatique

    • tests de valeur

    • tests de détection d'anomalies

    • tests de recoupement de bases

    • tests de simulation

    • outils d'audit : WinIdea, ACL, …

  • respect des contraintes réglementaires :

    • article 103

    • environnement de contrôle fonction de la réglementation en vigueur


Synthèse

  • En matière de gestion de risque, la pratique n'évolue pas au même rythme que la théorie

  • La France reste globalement en retard par rapport aux pays anglo-saxons

  • Les freins souvent observés :

    • sensibilisation de la DG

    • appréciation de l'impact et de la probabilité

    • vision dynamique

    • lacunes de compétences ad hoc


  1   2   3   4   5   6   7   8

similaire:

Synopsis Organisation des cours d’audit informatique iconSynopsis reproduction du tableau
«Organisation de l’enseignement de l’histoire des arts» ( cette liste peut être complétée si les professeurs le souhaitent )

Synopsis Organisation des cours d’audit informatique iconCours d’audit

Synopsis Organisation des cours d’audit informatique iconCours d’audit

Synopsis Organisation des cours d’audit informatique iconCours: inititation a word, initiation a excel
«informatique» date de 1962. IL vient de la contraction des mots «information» et «automatique». L’histoire de l’informatique est...

Synopsis Organisation des cours d’audit informatique iconThèses soutenues en Comptabilité Contrôle Audit
«Présentation des thèses récentes en Comptabilité – Contrôle – Audit» (article de Pierre Gensse et Yves Dupuy)

Synopsis Organisation des cours d’audit informatique iconThèses soutenues en Comptabilité Contrôle Audit
«Présentation des thèses récentes en Comptabilité – Contrôle – Audit» (article de Pierre Gensse et Yves Dupuy)

Synopsis Organisation des cours d’audit informatique iconL’organisation des apprentissages au cours des différents cycles...

Synopsis Organisation des cours d’audit informatique iconCours d’architecture pour la conception d’un hôtel «5 étoiles»
«5 étoiles» à Nouakchott. Les dossiers de participation audit concours devaient être remis au plus tard le jeudi, 21/06/2012 à 10H30,...

Synopsis Organisation des cours d’audit informatique iconCours de Maintenance informatique plan du cours

Synopsis Organisation des cours d’audit informatique iconCours est basé sur le livre de William Stallings (800 pages) qui...








Tous droits réservés. Copyright © 2016
contacts
ar.21-bal.com