Guide d analyse des risques informatiques

Dimension: px
Commencer à balayer dès la page:

Download "Guide d analyse des risques informatiques"

Transcription

1 Guide d analyse des risques informatiques Support de travail pour les auditeurs de PME Processus métiers Applications IT Systèmes IT de base Infrastructure IT ITACS Training

2

3 «Guide d analyse des risques informatiques» Table des matières Table des matières 1 Vue d ensemble et délimitation 2 Introduction 4 Guide d analyse des risques informatiques 6 Phase 1: Evaluation globale des risques 8 Phase 2: Contrôle relatif à l utilisation de l informatique 15 L IT-Check comme «combinaison» des phases 1 et 2 19 Indications concernant les audits IT approfondis 21 Conclusion 24 Questionnaire Phase I (Annexe 1) 25 Questionnaire Phase II (Annexe 2) 27 Auteurs: Comité technique informatique de la Chambre fiduciaire Gestion de projet: Peter R. Bitterli et Peter Steuri Graphisme et mise en page: Felice Lutz, ITACS Training AG 1

4 1 Vue d ensemble et délimitation Délimitation de l approche Dans le cadre des procédures d audit orientées processus ou résultat et basées sur l utilisation d applications informatiques (IT), il est essentiel de prendre en compte tous les domaines importants, y compris les domaines IT spécifiques ayant une influence significative sur l objectif de l audit. Pour y parvenir, une approche d audit intégrée (auditeur et auditeur IT) est nécessaire. L absence de procédure concertée entre auditeurs et auditeurs IT constitue à cet égard un risque élevé. Afin de prévenir ce risque d audit, les membres du Comité technique informatique de la Chambre fiduciaire ont élaboré deux guides. Ceux-ci reposent sur un modèle à quatre couches qui présente les principales interactions de manière schématique et simplifiée. Dans la réalité, les interactions peuvent être beaucoup plus complexes. La schématisation permet de mieux appréhender les deux approches. couvert par la méthode non couvert par la méthode Contrôles IT généraux Environnement de contrôle IT (polices, directives) Développement de programmes Modifications IT Exploitation IT Gestion des accès Sécurité des systèmes Sécurité des données Processus métier / transactions Applications financières Middleware / base de données Systèmes d exploitation / réseau Contrôles d applications IT Intégralité Exactitude Validité Autorisation Séparation des fonctions Modèle à quatre couches La figure ci-dessus montre, sous forme simplifiée, le modèle en couches utilisé dans les deux approches élaborées par le Comité technique informatique. Chacune des quatre couches représente un type de processus et de ressource. La couche supérieure (bleue) contient les principaux processus (manuels) de l entreprise, présentés typiquement par domaines d activité et subdivisés en sous-processus et en activités individuelles. La deuxième couche (rouge) contient les éléments automatisés des processus de l entreprise, c est-à-dire les applications (IT) à proprement parler. A l exception peut-être des PME de petite taille, la majorité des opérations commerciales dans toutes les entreprises est traitée à l aide d applications IT. La troisième couche (jaune) contient les systèmes IT de base. Ce terme recouvre une grande diversité de plates-formes possibles supportant les applications de la deuxième couche. Exemples: systèmes de gestion de base de données (p. ex. SQL, Oracle), composants de base d applications intégrées (p. ex. SAP Basis) ou systèmes plus techniques (p. ex. Middleware). La couche inférieure (verte) contient les éléments d infrastructure informatique. Pour l essentiel, cette couche contient les éléments matériels (systèmes Midrange, serveurs) ainsi que les composants du réseau et les systèmes de surveillance technique y relatifs. 2

5 «Guide d analyse des risques informatiques» Guide d audit des applications informatiques Le «Guide d audit des applications informatiques» publié en 2008 est aujourd hui disponible en allemand ( en français ( et en anglais ( Il traite principalement des deux couches supérieures, c est-à-dire des contrôles basés sur l utilisation d applications informatiques au sein des processus métiers ainsi que des applications sous-jacentes. L approche présentée est destinée à aider l auditeur financier à développer une approche d audit intégrée et à recentrer la procédure d audit de manière plus efficace et plus ciblée sur les risques, en intégrant l audit des processus métiers pertinents et des applications correspondantes. L approche commence donc avec l analyse des états financiers de l entreprise et se termine par l appréciation de l impact des résultats d audit sur ces états financiers. Cette analyse des états financiers de l entreprise lie les principales positions comptables aux processus métiers pertinents ou, plus concrètement, détermine les flux de traitement des données à l origine des principales positions comptables et des applications de base qui supportent ces flux. Une fois les applications de base identifiées, l auditeur s intéresse à la qualité du système de contrôle. Il détermine d abord si la conception du système de contrôle est adaptée à la situation de risque actuelle des processus de l entreprise et enfin si les contrôles prévus sont implémentés et sont efficaces. L évaluation du système de contrôle des processus métiers pris en compte dans le cadre de l audit permet à l auditeur de savoir s il peut s appuyer sur les procédures et les applications de base à l origine des principales positions comptables et, le cas échéant, de définir l étendue des procédures d audit orientées résultat supplémentaires qu il doit effectuer. Guide d analyse des risques informatiques Le présent «Guide d analyse des risques informatiques» traite principalement des deux couches inférieures, c est-à-dire de l infrastructure IT et des processus IT sous-jacents, mais aussi des processus IT généraux relatifs à la maintenance et au développement des applications IT de l entreprise au sein de la deuxième couche. Le guide analyse en outre un certain nombre de problématiques liées aux deux couches supérieures afin de procéder à une évaluation globale de la situation en termes de risques. Le «Guide d analyse des risques informatiques» établit une approche standard pour: l identification des risques inhérents à l utilisation de l informatique dans l entreprise; le recensement et l'évaluation des «contrôles IT généraux» ainsi que l utilisation de l informatique au sein des petites et moyennes entreprises et organisations. Le «Guide d analyse des risques informatiques», qui constitue un support de travail facultatif, fournit ainsi à l auditeur les informations sur l utilisation de l informatique nécessaires à la planification stratégique de l audit. 3

6 2 Introduction Importance de l informatique pour le SCI Conformément à l art. 728a CO, l organe de révision doit vérifier et confirmer, à partir de l exercice 2008, s il existe un système de contrôle interne (SCI) dans les entreprises ayant une importance économique soumises à un contrôle ordinaire. Dans bon nombre de petites et moyennes entreprises, on observe que l étendue et le contenu, mais aussi l utilité concrète du SCI, sont encore sources d incertitudes et de questions. Ceci est valable tant pour le SCI au niveau de l entreprise et des processus que, dans une plus large mesure encore, pour les contrôles IT. La Norme d audit suisse «Vérification de l existence du système de contrôle interne» (NAS 890) définit comme suit l importance de l informatique pour le système de contrôle interne: «Plus le processus de tenue de la comptabilité et d établissement du rapport financier dépend de systèmes IT et plus le risque que des erreurs trouvent leur origine dans la mise en place et l utilisation des systèmes IT est élevé, plus les contrôles dans le domaine de l informatique sont importants.» Utilisation de l informatique dans les PME Les exigences des PME en matière d informatique ne sont pas très différentes de celles des grandes entreprises: il est souvent indispensable de recourir à des applications recouvrant un large éventail de fonctions et requérant une disponibilité et une sécurité importantes pour assurer l efficacité et la fiabilité des processus de l entreprise. Par rapport aux grandes entreprises, dont les services informatiques sont dotés d un savoir-faire et de capacités élevés, les PME bien que leurs systèmes et leur infrastructure IT soient généralement «clairs» et que les applications de base consistent de logiciels standard sont souvent exposées aux risques «typiques» suivants: absence de savoir-faire en matière d applications IT ainsi que de flux de données et de valeurs (interfaces), d où une utilisation des logiciels inefficace et sujette aux erreurs, des faiblesses dans les contrôles internes et une dépendance élevée vis-à-vis de partenaires externes (fournisseurs); concentration importante du savoir-faire au niveau de quelques personnes, ce qui s accompagne très souvent de processus IT peu structurés et peu documentés, d où une dépendance élevée vis-à-vis de ces personnes clés; pas de séparation des fonctions entre la comptabilité et l informatique, notamment parce que dans les petites entreprises la responsabilité et parfois aussi l exécution dans ces deux domaines relèvent de la même personne; protection appropriée des accès au niveau du réseau et du système d exploitation, cependant au sein des applications les droits d accès sont peu différenciés, des mots de passe peu sûrs sont utilisés et il n y a pas de changement périodique des mots de passe; présence d'applicatifs Excel ou Access et de solutions individuelles installées par certains utilisateurs sur leur PC et peu documentées; leur développement, leur évaluation, leur fonctionnement et, souvent, leur utilisation (en particulier concernant les chiffres clés et le MIS) dépendent entièrement de cette seule personne; faiblesses en termes de sécurité physique (accès, détection de la fumée et des incendies, climatisation et alimentation électrique) dans le centre de calcul ou la salle des serveurs; réalisation régulière de sauvegardes des données, mais faiblesses fréquentes au niveau de leur conservation (pas de coffre-fort pour supports de données), externalisation insuffisante et absence de tests de restauration (pour restaurer les données après un incident grave); absence de mesures de précaution et de préparation pour appréhender les incidents graves (p. ex. destruction du centre de calcul ou de la salle des serveurs), alors que les processus de l entreprise dépendent largement de la disponibilité des moyens informatiques. 4

7 «Guide d analyse des risques informatiques» Le SCI dans le domaine IT Dans le domaine IT, un SCI global comprend des objectifs de contrôle et des contrôles à différents niveaux: Entreprises: stratégie, organisation et personnel IT, gestion des risques et de la sécurité ainsi que pilotage et gestion de projets IT; Processus de l entreprise: organisation structurelle et opérationnelle et contrôles principalement au niveau des processus de l entreprise ayant une influence sur les flux de données et de valeurs ainsi que sur la présentation des comptes et le rapport financier; Applications IT: contrôles lors de la saisie, de l entrée, du traitement et du résultat des transactions et des données ainsi que contrôles au niveau des interfaces entre les applications IT; Exploitation IT: contrôles lors du développement et de la modification de programmes, de l exploitation et de la configuration des moyens IT, de la sécurité des systèmes et des données et de la surveillance de l informatique. 5

8 3 Guide d analyse des risques informatiques Considérations initiales Le «Guide d analyse des risques informatiques» a pour but d aider l auditeur à identifier et à évaluer, dans les petites et moyennes entreprises et organisations, les risques éventuels liés à l utilisation de l informatique. L auditeur peut ainsi tirer des conclusions qui lui serviront pour planifier et exécuter l audit, mais aussi pour décider s il doit faire appel ou non à un auditeur IT spécialisé. L approche couvre les «contrôles informatiques généraux (IT)» mentionnés dans la Norme d audit suisse NAS 890 «Vérification de l existence du système de contrôle interne». Elle se concentre sur les domaines ayant une importance directe et indirecte pour la tenue et la présentation des comptes et aborde aussi un certain nombre d autres domaines. L approche est indépendante du type de contrôle (ordinaire ou restreint); elle se fonde sur l importance que revêt l informatique pour l entreprise ainsi que sur la tenue et la présentation des comptes de celle-ci. Les prescriptions juridiques et réglementaires concernant l utilisation de l informatique et son contrôle ne sont pas prises en compte dans le «Guide d analyse des risques informatiques», mais elles peuvent parfaitement constituer une raison essentielle de faire évaluer l utilisation de l informatique par un auditeur IT spécialisé. Aperçu du contenu Phase 1: Evaluation sommaire des risques voir chapitre 4 La phase 1 correspond à une évaluation des risques et des interdépendances liés à l utilisation de l informatique. L évaluation ne doit pas impérativement être exhaustive et précise en tous points, mais elle doit mettre en lumière le besoin de réaliser un contrôle complémentaire et plus détaillé de l utilisation de l informatique. A l issue de la phase 1, l auditeur peut décider, sur la base de cette première évaluation des risques, si l exécution de la phase 2 est nécessaire. Phase 2: Contrôle relatif à l utilisation de l informatique voir chapitre 5 La phase 2 correspond à un contrôle vaste et détaillé des forces et des faiblesses liées à l utilisation de l informatique. Le traitement des questions/du questionnaire de la phase 2 peut s effectuer tant dans le cadre de la planification stratégique de l audit que dans celui de l audit (intermédiaire) proprement dit. A l issue de la phase 2, les conclusions tirées par l auditeur permettent à celui-ci de décider si un audit IT complet doit être effectué et dans quels domaines. Un questionnaire comme base de contrôle Un questionnaire a été élaboré pour chacune des deux phases. Son étendue et son contenu sont adaptés aux objectifs de chaque phase et permettent un traitement ciblé et efficace. Les «réponses» aux différentes questions se basent sur un modèle de maturité à quatre niveaux; elles permettent (et exigent) ainsi une évaluation claire d un fait ainsi qu une comparaison avec d autres entreprises. 6

9 «Guide d analyse des risques informatiques» L IT-Check comme «combinaison» des phases 1 et 2 voir chapitre 6 Le contenu des phases 1 et 2 peut, notamment quand le contrôle lors de chaque phase est effectué parallèlement par le même auditeur, être regroupé dans un IT-Check. Ce que le «Guide d analyse des risques informatiques» n est pas Le «Guide d analyse des risques informatiques» ne constitue pas une analyse complète des risques. Il s agit plutôt d un outil de travail destiné principalement à la planification stratégique de l audit qui peut être mis en œuvre efficacement. Il permet une identification et une évaluation raisonnables des risques liés à l utilisation de l informatique. Le «Guide d analyse des risques informatiques» n est pas un guide pour un audit informatique approfondi; selon les auteurs du guide, ce dernier doit être effectué par des auditeurs IT spécialisés. En outre, il existe des approches d audit globalement reconnues, comme par exemple l IT Audit Framework de l ISACA et l IT Governance Assurance Guide basé sur le CobiT. Les grands cabinets d audit utilisent par ailleurs des approches et des documents de travail spécifiques à l entreprise. 7

10 4 Phase 1: Evaluation globale des risques Positionnement Le traitement des questions/du questionnaire de la phase 1 doit s effectuer dans le cadre de la planification stratégique de l audit. Les risques liés à l utilisation de l informatique peuvent ainsi être identifiés à temps et les conclusions en découlant peuvent être intégrées dans la planification de l audit. La phase 1 correspond à une évaluation des risques et des interdépendances liés à l utilisation de l informatique. L évaluation ne doit pas impérativement être exhaustive et précise en tous points, mais elle doit mettre en lumière le besoin de réaliser un contrôle complémentaire et plus détaillé de l utilisation de l informatique. Procédure et parties prenantes Le contrôle lors de la phase 1 doit permettre de déterminer l importance que revêt l informatique dans l entreprise. Les réponses aux 16 questions permettent de conclure si l utilisation de l informatique engendre pour l entreprise des risques accrus qui sont à prendre en compte lors de la planification stratégique de l audit. Le questionnaire de la phase 1 est remis au client au préalable et rempli par les responsables de la comptabilité et de l informatique. La revue du questionnaire effectuée par l auditeur avec des représentants de l entreprise devrait prendre environ une heure. Il est ainsi possible d évaluer dans un laps de temps raisonnable, sur la base de faits clairs, si un contrôle approfondi portant sur les risques IT, c est-à-dire le déclenchement de la phase 2, s impose. Questionnaire / Critères Le questionnaire contient cinq domaines thématiques; chaque domaine thématique comporte entre une et cinq questions. Exploitation et IT Stratégie de l entreprise et utilisation de l informatique Degré d innovation dans l utilisation de l informatique Dépendance par rapport à la disponibilité des moyens informatiques Organisation interne et contrôle Gestion des risques Système de contrôle interne Sensibilisation à la sécurité informatique Séparation des fonctions Suppléance et savoir-faire en matière d applications au sein du service de comptabilité Applications IT Logiciels comptables Modifications dans les applications de base Intégration des flux de valeurs dans la comptabilité Erreurs de programme dans les applications de base Audit indépendant de l informatique Date du dernier audit indépendent de l informatique Exploitation IT Sécurité opérationnelle des moyens informatiques Suppléance au sein du service informatique Dépendance vis-à-vis de prestataires externes (y c. externalisation) Pour chaque question/critère, quatre «réponses» différentes (niveaux de maturité) sont proposées. 8

11 «Guide d analyse des risques informatiques» Exploitation et IT Ce domaine thématique permet de déterminer l importance que revêt l informatique pour l entreprise. Il s agit de savoir dans quelle mesure la stratégie de l entreprise repose sur l utilisation de moyens informatiques et dans quelle mesure les processus primaires de l entreprise dépendent de la disponibilité des moyens informatiques. Critère Niveau 1 Niveau 2 Niveau 3 Niveau 4 Stratégie de l entreprise et utilisation de l informatique Degré d innovation dans l utilisation de l informatique Dépendance par rapport à la disponibilité des moyens informatiques La stratégie de l entreprise La stratégie de l entreprise repose principalement sur repose en partie sur l utilisation d Internet et l utilisation d Internet et des des nouvelles technologies nouvelles technologies; les ainsi que sur l échange actif processus importants de d informations via des réseaux l entreprise se basent sur de données. l échange d informations via des réseaux de données. L entreprise utilise une L entreprise utilise une infrastructure IT moderne infrastructure IT complexe et complexe et s adapte et s adapte aux nouvelles clairement aux nouvelles technologies sans retard. technologies avant l ensemble du secteur. La disponibilité des moyens informatiques est un facteur critique pour l exploitation (activités de front-office et processus primaires); le temps de défaillance acceptable est inférieur à quatre heures. La disponibilité des moyens informatiques est importante pour l exploitation (activités de front-office et processus primaires); le temps de défaillance acceptable est compris entre quatre heures et deux jours. La stratégie de l entreprise dépend peu des nouvelles technologies, mais les processus importants de l entreprise utilisent déjà ces technologies. L entreprise utilise une infrastructure IT étendue, comprenant dans une large mesure des composants standard, et ne s adapte aux nouvelles technologies que lorsqu'elles sont matures. La disponibilité des moyens informatiques est parfois importante pour l exploitation (activités de front-office et processus primaires); le temps de défaillance acceptable est compris entre deux jours et une semaine. La stratégie de l entreprise ne dépend pas des nouvelles technologies (p. ex. Internet ou e-commerce). L entreprise utilise une infrastructure IT simple, comprenant dans une large mesure des composants standard; l infrastructure IT est plutôt en marge par rapport aux développements technologiques. La disponibilité des moyens informatiques n est pas critique pour l exploitation (activités de front-office) et les processus primaires internes; une défaillance supérieure à une semaine semble acceptable. 9

12 Organisation interne et contrôle Ce domaine thématique permet d évaluer la gestion des risques et le système de contrôle interne, la sensibilisation à la sécurité des données, la séparation des fonctions entre l informatique et les différents services spécialisés ainsi que le savoirfaire et la suppléance au sein du service de comptabilité. Critère Niveau 1 Niveau 2 Niveau 3 Niveau 4 Gestion des risques Il n y a pas de gestion des risques identifiable; des mesures ad hoc sont mises en œuvre pour réduire les risques. Système de contrôle interne Sensibilisation à la sécurité de l information Un système de contrôle interne (SCI) est difficilement identifiable ou inexistant. Il y a une gestion des risques ponctuelle, spécifique aux applications et partiellement documentée; les mesures de réduction des risques en découlant ne sont pas (facilement) identifiables. Il y a un SCI ponctuel, spécifique aux domaines d activité; le niveau de documentation et d actualisation est toutefois peu clair. Les collaborateurs ne Les collaborateurs sont sont pas informés de leur responsabilité quant au respect des exigences internes et externes en matière de sécurité de l information. informés de leur responsabilité quant au respect des exigences internes et externes en matière de sécurité de l information. Il y a une gestion des risques formalisée au niveau de toute l entreprise; elle est documentée et actualisée périodiquement et les mesures de réduction des risques en découlant sont clairement identifiables. Il y a un SCI formalisé au niveau de toute l entreprise; il est documenté et actualisé périodiquement. Les collaborateurs sont informés de manière répétée de leur responsabilité quant au respect des exigences internes et externes en matière de sécurité de l information et sont formés de manière appropriée. Il y a une gestion des risques formalisée au niveau de toute l entreprise; elle est documentée et actualisée chaque année et les risques sont clairement réduits. La gestion des risques est complétée par une autoévaluation des contrôles mis en place. Il y a un SCI formalisé au niveau de toute l entreprise; il est documenté et actualisé chaque année. Le SCI est complété par une autoévaluation des contrôles mis en place. Les collaborateurs sont formés systématiquement et le respect des exigences internes et externes en matière de sécurité de l information est contrôlé régulièrement. Séparation des fonctions Il y a uniquement une séparation des fonctions sommaire et informelle; il existe (également eu égard à l informatique) des fonctions couvrant plusieurs services. Il y a une séparation des fonctions entre l informatique et les domaines d activité; les fonctions au sein des services spécialisés ne sont parfois pas séparées. Au sein des domaines d activité, une séparation fonctionnelle des fonctions est assurée; celle-ci est documentée dans les descriptions des tâches, mais n est pas contrôlée. Au sein des domaines d activité, une séparation fonctionnelle des fonctions est systématiquement assurée; celle-ci est documentée dans les descriptions des tâches et contrôlée en continu. Suppléance et savoir-faire en matière d applications au sein du service de comptabilité Seule une suppléance sommaire est assurée au sein de l entreprise; l absence de certaines personnes engendre des problèmes déjà au niveau des activités quotidiennes habituelles. Des suppléances sont prévues pour les fonctions importantes, mais la formation est quasi inexistante; l absence de certaines personnes a une incidence sur les activités quotidiennes habituelles après quelques jours; la résolution des problèmes et des incidents n est pas possible en cas de défaillance. Des suppléances existent pour toutes les fonctions essentielles et donnent lieu à une formation; les activités quotidiennes habituelles sont assurées; la résolution des problèmes et des incidents est cependant difficile et engendre des retards. Des suppléances existent pour toutes les fonctions essentielles et donnent lieu à une formation; il y a une documentation correspondante; les activités quotidiennes habituelles et la résolution efficace des problèmes sont assurées. 10

13 «Guide d analyse des risques informatiques» Applications IT Ce domaine thématique permet d évaluer les logiciels comptables et les applications de base ainsi que leur degré d intégration et leur qualité. Critère Niveau 1 Niveau 2 Niveau 3 Niveau 4 Logiciels comptables L application comptable a été développée en interne. Pour la comptabilité, Pour la comptabilité, des des logiciels standard logiciels standard disposant paramétrables disposant de uniquement de possibilités possibilités de programmation de paramétrage et de individuelle sont utilisés. programmation individuelle limitées sont utilisés. Pour la comptabilité, des logiciels standard sans possibilités de paramétrage et de programmation individuelle sont utilisés. Modifications dans les applications de base Les applications de base ont été remplacées au cours de l exercice précédent ou actuel et les «anciennes» données ont été migrées. Des parties essentielles des applications de base ont été remplacées au cours de l exercice précédent ou actuel et les données ont été migrées. Des parties essentielles des applications de base ont été modifiées (p. ex. changement de version) ou étendues au cours de l exercice précédent ou actuel. Les applications de base n ont été que légèrement modifiées ou étendues au cours de l exercice précédent ou actuel. Intégration des flux de valeurs dans la comptabilité Erreurs de programme dans les applications de base Pour les applications de base, des solutions intégrées présentant un degré élevé d automatisation ont été mises en œuvre; la compréhension des flux de données et de valeurs exige des connaissances spécialisées. Pour les applications de base, des solutions intégrées dotées d interfaces automatisées sont utilisées; les flux de données et de valeurs sont compréhensibles. Les applications de base Les erreurs dans les connaissent fréquemment des applications de base sont problèmes dont la résolution rares, mais leur résolution exige beaucoup de temps. exige beaucoup de temps. Les erreurs et les défaillances Les pannes et les défaillances se répètent souvent. se répètent rarement. Pour les applications de base, différentes solutions individuelles dotées d interfaces (entre lots, «batch») sont utilisées; les flux de données et de valeurs sont facilement compréhensibles. Les erreurs dans les applications de base sont rares et peuvent être résolues rapidement. Les erreurs et les défauts sont documentés Plusieurs solutions individuelles spécifiques aux fonctions et dotées d interfaces (entre lots, «batch») sont utilisées; les flux de données et de valeurs dans les applications et au niveau des interfaces sont documentés de manière compréhensible au moyen d évaluations et de protocoles d interface. Les erreurs dans les applications de base sont très rares; les erreurs et les défauts sont résolus systématiquement, rapidement et durablement et ils sont documentés de manière compréhensible. 11

14 Exploitation IT Ce domaine thématique permet d évaluer la sécurité de l exploitation des moyens informatiques ainsi que la situation en termes de personnel (suppléance / dépendance vis-à-vis de prestataires externes) dans le domaine de l informatique. Critère Niveau 1 Niveau 2 Niveau 3 Niveau 4 Sécurité de l exploitation des moyens informatiques Suppléance au sein du service informatique Dépendance vis-àvis de prestataires externes (y c. partenaires d externalisation) Les moyens informatiques (serveur, clients, réseau et périphériques) connaissent très souvent des pannes et des défaillances; celles-ci ont une incidence sur l ensemble des activités de l entreprise. Les règles de suppléance au sein du service IT sont sommaires; l absence de certaines personnes engendre des problèmes déjà au niveau de l exploitation IT normale. Les moyens informatiques connaissent des pannes et des défaillances à répétition; celles-ci ont une incidence sur l ensemble des activités de l entreprise. Des suppléances sont prévues pour les principales fonctions au sein du service IT, mais elles donnent rarement lieu à une formation; l absence de certaines personnes a une incidence sur l exploitation IT après quelques jours et la résolution des problèmes IT n est pas possible. Pour l exploitation IT, L exploitation IT normale l entreprise dépend largement est largement possible du soutien extérieur; celui-ci sans soutien extérieur; en est notamment indispensable revanche, les erreurs ou en cas de problèmes. problèmes ne peuvent guère être résolus sans soutien extérieur. Les moyens informatiques connaissent peu de pannes et de défaillances; celles-ci ont parfois une incidence sur les activités de l entreprise. Les moyens informatiques ne connaissent que rarement des pannes et des défaillances; celles-ci n ont une incidence que sur certaines activités de l entreprise. Des suppléances existent Des suppléances existent pour les fonctions essentielles pour les fonctions essentielles au sein du service IT; elles au sein du service IT; elles donnent lieu à une formation, donnent lieu à une formation mais elles ne sont pas et il existe une documentation documentées; l exploitation IT correspondante; l exploitation est assurée, la résolution des IT et la résolution efficace des problèmes IT est cependant problèmes IT sont assurées. difficile sans ces personnes. L exploitation IT normale est assurée sans soutien extérieur; en cas d erreurs ou de problèmes, un soutien extérieur est parfois nécessaire. L exploitation normale et la résolution des problèmes sont assurées à tout moment sans soutien extérieur; celui-ci est uniquement nécessaire en cas de crise. Audit indépendant de l informatique (risque temporel) Ce critère montre à quelle date l utilisation de l informatique dans l entreprise a été évaluée pour la dernière fois par un expert indépendant. Critère Niveau 1 Niveau 2 Niveau 3 Niveau 4 Audit indépendant de l informatique Aucun audit IT n a encore été effectué. Un audit IT a été effectué pour la dernière fois il y a plus de cinq ans. Un audit IT a été effectué pour la dernière fois il y a quelques années. Un audit IT a été effectué au cours de l exercice écoulé. Comment remplir le questionnaire Pour chacun des 16 critères, il convient de choisir parmi les quatre «réponses» celle qui correspond le mieux à la situation actuelle de l entreprise. Il ne faut pas donner des évaluations «entre» les niveaux de maturité (1 2, 2 3 et 3 4), ceci ayant peu d utilité. En cas de doute, le niveau inférieur doit être sélectionné, car ceci réduit le risque d audit. 12

15 «Guide d analyse des risques informatiques» Interprétation des résultats / Evaluation L interprétation du questionnaire s effectue au moyen des niveaux de maturité. S agissant de l évaluation de la phase 1, un niveau de maturité ne correspond pas forcément à un degré de maturité technique ou organisationnel, mais à un facteur de risque potentiel. Par exemple, une entreprise dotée d un degré d innovation (question 2) de niveau 1 (c.-à-d. avec une adaptation très précoce aux nouvelles technologies IT) s expose certainement à un risque plus élevé qu avec un niveau 4 (qui correspond à une adaptation conservatrice et à des moyens IT standardisés et moins modernes). Sur la base de leurs connaissances et de leurs expériences, les auteurs du «Guide d analyse des risques informatiques» estiment qu une classification dans les niveaux de maturité 4 et 3 indique des risques minimes. En revanche, une classification dans les niveaux de maturité 2 et 1 indique des risques importants à élevés. Rapport Pour le rapport concernant la phase 1, une solution efficace et facilement visualisable consiste à documenter l évaluation (niveau) directement dans le questionnaire en attribuant la couleur voulue à la «réponse» sélectionnée (p. ex. 1 = rouge, 2 = jaune, 3 = vert clair et 4 = vert foncé). 13

16 Les résultats de la phase 1 peuvent ainsi être récapitulés sur une seule page. Etant donné que, avec ce type de représentation, les descriptions des quatre niveaux de maturité sont visibles, une comparaison rapide des conditions correspondant au niveau choisi avec celles des niveaux de maturité voisins (supérieurs/inférieurs) est également possible. A côté de la représentation des résultats en forme de tableau ci-dessus, un «graphique en toile d araignée» permet aussi de déterminer le degré de dépendance de l entreprise par rapport à l informatique. Un exemple d un tel graphique est donné ci-dessous pour une entreprise individuelle (à gauche) et pour quatre types d entreprise différents (à droite): Risque temporel de l audit IT Dépendance par rapport à l extérieur Suppléance IT Sécurité de l exploitation IT Stratégie et IT Innovation IT Dépendance IT SCI Gestion des risques Risque temporel Exploitation et IT Exploitation IT Erreurs de programme Séparation des fonctions Degré d intégration de la comptabilité Suppléance Applications de base Sensibilisation Logiciels comptables Organisation interne et contrôle Applications IT Banque Fiduciaire Hôpital Industrie Figure: Représentation des 16 critères Figure: Récapitulatif des 5 domaines thématiques Recommandations quant à la poursuite de la procédure Lorsqu un ou plusieurs critères sont classés dans les niveaux de maturité 2 et 1 ou dans les couleurs jaune et rouge, les auteurs considèrent qu il est opportun de déclencher la phase 2, c est-à-dire un contrôle approfondi de l utilisation de l informatique. Enfin, il appartient à l auditeur, et à son «professional judgement», d évaluer les résultats obtenus au cours de la phase 1 concernant les risques et les dépendances liés à l utilisation de l informatique du point de vue de leur importance pour l audit des comptes annuels. A cet égard, il peut être judicieux de discuter des résultats et de la nécessité d un contrôle approfondi de l utilisation de l informatique avec un auditeur IT expérimenté. 14

17 «Guide d analyse des risques informatiques» 5 Phase 2: Contrôle relatif à l utilisation de l informatique Positionnement La phase 2 correspond à un contrôle vaste et détaillé des forces et des faiblesses liées à l utilisation de l informatique. Le traitement des questions/du questionnaire de la phase 2 peut s effectuer tant dans le cadre de la planification stratégique de l audit que dans celui de l audit (intermédiaire) proprement dit. Les résultats de la phase 2 peuvent servir à une évaluation finale des «contrôles informatiques généraux (IT)» mentionnés dans la NAS 890, mais ils peuvent également justifier à l aide de faits le besoin de réaliser un contrôle complet et/ou approfondi de l utilisation de l informatique dans son ensemble ou au niveau de domaines spécifiques. Procédure et parties prenantes Les contrôles lors de la phase 2 doivent être réalisés par un auditeur familiarisé avec les audits IT ou par un auditeur IT. Ils comprennent, outre une inspection de l infrastructure IT et la consultation des documents disponibles, des entretiens approfondis avec les représentants IT de l entreprise. Pour les contrôles «sur place», notamment le traitement du questionnaire, nous estimons le temps nécessaire à un jour; à cet égard, l étendue de l utilisation de l informatique et le nombre d interlocuteurs concernés sont déterminants. A l issue de la phase 2, des affirmations fiables peuvent être énoncées quant aux risques IT et aux faiblesses concrètes. Ceci permet de déterminer si un audit IT complet est opportun et dans quels domaines. Questionnaire / Critères ( détails dans l annexe 2) Le questionnaire de la phase 2 comprend 20 domaines thématiques dotés de quatre points de contrôle en moyenne; selon les auteurs du guide, il couvre intégralement les «contrôles IT généraux» mentionnés dans la Norme d audit suisse NAS 890 «Vérification de l existence du système de contrôle interne» et, dans certains domaines, il va même volontairement au-delà afin de réduire le risque d audit. Le questionnaire contient environ 90 critères (points de contrôle) concernant les domaines thématiques suivants: Documentation IT Protection des accès Organisation IT Sécurité IT Gouvernance IT Sécurité physique Gestion des risques IT Exploitation IT Conformité Gestion des problèmes Gestion des projets IT Sauvegarde des données Développement et modification de logiciels Externalisation (le cas échéant) Evaluation d applications IT Comptabilité Directives d utilisation Contrôles d application directs Formation des utilisateurs Contrôles d application secondaires 15

18 Pour une grande partie des domaines thématiques cités, il s agit de contrôles IT généraux; certains domaines supplémentaires qui sont importants pour l auditeur et permettent d identifier plus précisément les faiblesses et les risques éventuels sont également contrôlés. Comment remplir le questionnaire Pour chacun des critères, il convient de choisir parmi les quatre «réponses» celle qui correspond le mieux à la situation actuelle de l entreprise. L évaluation (niveau) est donnée dans la colonne «Niveau» du questionnaire ou indiquée directement en cochant la «réponse» appropriée. Pour l évaluation et le rapport, il est utile de fournir des indications complémentaires dans la colonne «Constatation / Evaluation / Recommandation»; idéalement, celles-ci doivent être identifiées par un «C» pour constatation, un «E» pour évaluation et un «R» pour recommandation. Il ne faut pas donner des évaluations «entre» les niveaux de maturité (1 2, 2 3 et 3 4); en cas de doute, les auteurs du guide recommandent de choisir le niveau inférieur (p. ex. 1 au lieu de 1 2) pour réduire le risque d audit. Si un critère n est pas pertinent pour l entreprise (p. ex. questions concernant l externalisation), on peut indiquer «n.a.» (non applicable) dans la colonne «Niveau» du questionnaire. Interprétation des résultats / Evaluation L interprétation du questionnaire s effectue au moyen des niveaux de maturité. Contrairement à la phase 1, ceux-ci correspondent plutôt à un degré de maturité technique ou organisationnel et pas forcément à un facteur de risque potentiel. Cependant, il existe incontestablement un rapport entre la maturité du processus et le risque en question. Sur la base de leurs connaissances et de leurs expériences, les auteurs du «Guide d analyse des risques informatiques» estiment qu une classification dans les niveaux de maturité 4 et 3 indique un degré de maturité satisfaisant et des risques minimes. En revanche, une classification dans les niveaux de maturité 2 et 1 indique un degré de maturité insuffisant et des risques importants à élevés. 16

19 «Guide d analyse des risques informatiques» Rapport Au vu de l étendue du questionnaire, nous proposons diverses approches pour la visualisation des résultats relatifs à la phase 2. Deux des variantes que nous avons testées à plusieurs reprises sont décrites ci-après. Accent sur la représentation détaillée de la situation réelle Il est possible d établir un rapport détaillé en attribuant la couleur voulue à la réponse pour chaque critère ou à la colonne «Niveau» (1 = rouge, 2 = jaune, 3 = vert clair et 4 = vert foncé). Titre Niveau de maturité 1 Niveau de maturité 2 Niveau de maturité 3 Niveau de maturité 4 Constatation Evaluation Recommandation Documentation IT Aperçu de l'infrastructure IT Inventaire du matériel Inventaire des logiciels Contrats et contrats de prestation de services Il n'existe pas d'aperçu de l'infrastructure IT. Il n'existe pas d'inventaire du matériel. Il n'existe pas d'inventaire des logiciels. Il existe peu de contrats entre le domaine IT et des tiers, même si des prestations sont fournies. Il existe un aperçu ancien (remontant à plus d'une année) de l'infrastructure IT. Il existe un inventaire ancien (remontant à plus d'une année) du matériel. Il existe un inventaire ancien (remontant à plus d'une année) des logiciels. Il existe un aperçu/récapitulatif des contrats passés avec des tiers dans le domaine IT (fournisseurs, clients, partenaires); celui-ci est cependant incomplet et pas actuel. Il existe un aperçu actuel des principaux composants de l'infrastructure IT (systèmes et gestion de réseau). Les processus d'acquisition, d'installation et de gestion des changements n'entraînent pas obligatoirement une actualisation de cet aperçu. Un inventaire du matériel est en cours de réalisation; les processus d'acquisition ne garantissent cependant pas l'actualisation obligatoire de cet inventaire. Un inventaire des logiciels (également pour le contrôle des licences) est en cours de réalisation; les processus d'acquisition ne garantissent cependant pas l'actualisation obligatoire de cet inventaire. Il existe un aperçu/récapitulatif de tous les contrats passés avec des tiers dans le domaine IT (fournisseurs, clients, partenaires). Il existe un aperçu actuel de l'ensemble de l'infrastructure IT (systèmes et gestion de réseau). Les processus d'acquisition, d'installation et de gestion des changements comprennent l'actualisation obligatoire de cet aperçu. Un inventaire complet du matériel est en cours de réalisation. Les processus d'acquisition et d'installation comprennent l'actualisation obligatoire de cet inventaire ainsi que l'adaptation/la conclusion de contrats de maintenance éventuels. Un inventaire complet des logiciels (également pour le contrôle des licences) est en cours de réalisation. Les processus d'acquisition et d'installation comprennent l'actualisation obligatoire de cet inventaire ainsi que la clarification des éventuelles questions relatives à l'octroi de licences d'installations et de mises à jour. Il existe un aperçu/récapitulatif de tous les contrats passés avec des tiers dans le domaine IT (fournisseurs, clients, partenaires). Celui-ci est géré centralement, tenu à jour et contient tous les contrats et documents connexes tels que les SLA, etc. Les résultats de la phase 2 peuvent ainsi être visualisés dans leur globalité sur environ dix pages (format A4), avec les forces et les faiblesses pour chaque critère. Une évaluation du «contenu» est donnée au moyen des descriptions relatives aux différents niveaux et via la colonne «Constatation / Evaluation / Recommandation». Accent sur la représentation des mesures à prendre Lorsqu une opinion sur les «mesures à prendre» doit être émise, l étendue du rapport peut être réduite en «éliminant» tous les critères dotés d évaluations de niveaux 3 et 4 (contrôle satisfaisant / risque minime) et «n.a.» (non applicable). Selon la situation, les faiblesses existantes, et donc les mesures à prendre, peuvent ainsi être récapitulées sur quelques pages seulement (format A4). 17

20 Représentation graphique de la situation réelle Pour la pratique, les auteurs du guide considèrent qu il est utile de faire un résumé des évaluations par domaine thématique et, par exemple, de les représenter dans un diagramme circulaire. En indiquant les couleurs voulues, la situation réelle (ici en vert) et les mesures à prendre «potentielles» (ici en rouge) peuvent être très bien visualisées. Contrôle d application secondaire Contrôle d application direct Application comptable Externalisation Sauvegarde des données Documentation IT Organisation IT Gouvernance IT Conformité Gestion des risques IT Gestion de projet IT Gestion des problèmes Développement de logiciels Exploitation IT Evaluation d applications IT Sécurité physique Directives d utilisation Sécurité IT Protection des accès Formation des utilisateurs Rapport succinct complémentaire Les auteurs du guide considèrent qu il est utile de récapituler les principales forces et faiblesses ainsi que les principales recommandations d optimisation de la situation dans un rapport succinct destiné au management, au conseil d administration et à l auditeur. Le rapport succinct constitue un complément précieux à la représentation graphique de la situation réelle ci-dessus et permet de réaliser une évaluation globale de la situation actuelle et des mesures à prendre et, le cas échéant, de justifier le besoin d exécuter un audit IT approfondi. Recommandations quant à la poursuite de la procédure Lorsqu une grande partie des critères sont classés dans les niveaux de maturité 2 et 1, les auteurs du guide considèrent qu il est opportun d exécuter un audit IT complet ou un audit approfondi de l utilisation de l informatique dans son ensemble ou au niveau de domaines spécifiques. Enfin, il appartient à l auditeur, et à son «professional judgement», et de préférence en accord avec un auditeur IT expérimenté, d évaluer les résultats obtenus au cours des phases 1 et 2 concernant l utilisation de l informatique ainsi que les faiblesses et les risques correspondants du point de vue de leur importance pour l audit des comptes annuels. 18

21 «Guide d analyse des risques informatiques» 6 L IT-Check comme «combinaison» des phases 1 et 2 Considérations initiales Le contenu des phases 1 et 2 peut, notamment lorsque les contrôles des deux phases sont effectués simultanément et par le même auditeur, être récapitulé à peu de frais dans un IT-Check. En peu de temps (souvent un seul jour «sur place» suffit), il est possible: de déterminer l importance que revêt l informatique pour l entreprise et les risques liés à son utilisation; d identifier les forces et les faiblesses liées à l organisation et aux processus IT et d évaluer ensuite l «utilité» de l informatique en général ainsi que les «contrôles informatiques généraux (IT)» mentionnés dans la NAS 890; de documenter et d évaluer sommairement les applications de base, y c. les principaux flux de valeurs et de données (interfaces IT) ainsi que les interlocuteurs concernés par leur utilisation, leur maintenance et leur exploitation. Procédure Préparation Envoyer au préalable le questionnaire de la phase 1 au client et demander à celui-ci de procéder à une évaluation des risques (auto-évaluation) de son point de vue, laquelle sera ensuite discutée en commun lors des contrôles «sur place». Envoyer également au préalable le questionnaire de la phase 2 au client pour que celui-ci puisse préparer l'évaluation des contrôles «sur place» (p. ex. mise à disposition de documents ou implication d autres collaborateurs). Exécution 1. Réaliser un entretien d ouverture Déterminer les bases de l organisation IT et de l utilisation de l informatique 2. Effectuer un tour d inspection Se faire une idée de l infrastructure IT 3. Discuter du questionnaire de la phase 1 Déterminer l importance que revêt l informatique pour la comptabilité et l entreprise et examiner l évaluation des risques faite par le client 4. Etudier le questionnaire de la phase 2 Identifier les forces et les faiblesses liées à l organisation et aux processus IT; évaluer la «maturité» de l informatique 5. Contrôler les applications de base Se faire une idée des applications de base ainsi que des principaux flux de valeurs et de données (interfaces); catégoriser les applications financières (logiciels standard, logiciels standard adaptés ou logiciels individuels); identifier les interlocuteurs concernés par leur utilisation, leur maintenance et leur exploitation 6. Bref feed-back (oral) Remarque: le contrôle portant sur les applications de base (étape 5) est une étape de travail à part entière qui n est pas traitée de manière approfondie dans le présent guide. Elle est décrite en détail dans le «Guide d audit des applications informatiques». 19

22 Rapport / Rapport succinct Management Summary avec principales constatations et mesures à prendre Aperçu de l organisation IT, de l utilisation de l informatique et des applications de base Résultats (constatation, évaluation et éventuellement recommandation) sur l organisation et les processus IT Résultats (constatation, évaluation et éventuellement recommandation) sur les applications de base Résultats de l auto-évaluation (questionnaire de la phase 1) Dans la pratique, il s avère utile d établir une représentation distincte des résultats par domaine thématique, comme le montre l exemple ci-après. Une représentation détaillée de ce type ne peut cependant pas être le fruit d une évaluation réalisée sur une journée: pour un rapport succinct, il faut généralement plus de temps pour contrôler les informations et beaucoup plus encore pour le rapport lui-même. L auditeur obtient toutefois une base plus précise pour la planification stratégique de l audit, et le client bénéficie clairement d une importante valeur ajoutée Sauvegarde des données Constatations Il existe un concept de sauvegarde datant de janvier 200x; celui-ci n'a pas été approuvé formellement. Des sauvegardes complètes sont effectuées les jours ouvrables, 4 bandes étant disponibles le vendredi (semaine 1 4). Aucun test de restauration visant à vérifier la lisibilité n'est réalisé. Les bandes de sauvegarde ne sont pas conservées à l'extérieur de l'entreprise, mais dans un tiroir du responsable IT concerné. Il n'existe pas de plan d'urgence IT. Degré de maturité déterminé Concept de sauvegarde Processus de sauvegarde Test de restauration Plan d'urgence IT Transfert des données Un concept de sauvegarde est documenté et généralement utilisé; il n'a toutefois jamais été approuvé formellement. Des sauvegardes quotidiennes sont effectuées, mais leur intégralité n'est pas contrôlée. Aucun test systématique n'est réalisé pour récupérer et relire les sauvegardes. Peu de réflexions sont engagées quant à un plan d'urgence IT. Aucune sauvegarde suffisante des données n'est assurée à l'extérieur de l'entreprise. Mesures à prendre Approbation formelle du concept de sauvegarde Réalisation de tests de restauration réguliers Conservation des bandes en dehors de l'entreprise Définition d'un plan d'urgence IT Risques Restauration incomplète des données en cas d'incident Restauration des données en dehors des délais exigés Perte de données en cas de catastrophe Mise en danger de la poursuite de l'exploitation lt Figure: Présentation détaillée des résultats sous forme de texte (exemple) Avantages pour l auditeur S agissant des mandats/clients soumis à un contrôle ordinaire: l évaluation des risques IT fait partie de la planification stratégique de l audit; les «contrôles informatiques généraux (IT)» mentionnés dans la NAS 890 peuvent être évalués définitivement; un IT-Check fournit des informations fiables et vérifiables pour la détermination des domaines d audit à intégrer dans un audit IT complet ou tout du moins des arguments clairs justifiant leur suppression ou leur report. S agissant des mandats/clients soumis à un contrôle restreint: l évaluation des risques IT est certes facultative mais, au vu de la dépendance souvent considérable par rapport à l informatique, elle est néanmoins judicieuse et permet souvent d effectuer des contrôles approfondis (du point de vue de l audit); un IT-Check fournit des informations fiables et vérifiables pour la détermination des domaines à intégrer dans un audit IT complet. Un IT-Check est en outre toujours judicieux en cas de dépendance importante ou peu claire par rapport à l informatique et lorsque des secteurs importants de l informatique sont externalisés. 20

Qu est-ce que le ehealthcheck?

Qu est-ce que le ehealthcheck? Plus la dépendance d une compagnie envers ses systèmes informatiques est grande, plus le risque qu une erreur dans les processus métiers puisse trouver ses origines dans l informatique est élevé, d où

Plus en détail

NORME INTERNATIONAL D AUDIT 550 PARTIES LIEES

NORME INTERNATIONAL D AUDIT 550 PARTIES LIEES Introduction NORME INTERNATIONAL D AUDIT 550 PARTIES LIEES (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009) SOMMAIRE Paragraphe Champ d application de

Plus en détail

NORME INTERNATIONALE D AUDIT 330 REPONSES DE L AUDITEUR AUX RISQUES EVALUES

NORME INTERNATIONALE D AUDIT 330 REPONSES DE L AUDITEUR AUX RISQUES EVALUES NORME INTERNATIONALE D AUDIT 330 REPONSES DE L AUDITEUR AUX RISQUES EVALUES Introduction (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009) SOMMAIRE Paragraphe

Plus en détail

Guide d audit des applications informatiques

Guide d audit des applications informatiques Guide d audit des applications informatiques Une approche inspirée des audits financiers Novembre 2008 Processus métier Applications Systèmes IT Infrastructure IT ITACS Training Auteurs: Peter R. Bitterli

Plus en détail

Evaluation des risques et procédures d audit en découlant

Evaluation des risques et procédures d audit en découlant Evaluation des risques et procédures d audit en découlant 1 Présentation des NEP 315, 320, 330, 500 et 501 2 Présentation NEP 315, 320, 330, 500 et 501 Les NEP 315, 320, 330, 500 et 501 ont fait l objet

Plus en détail

Modèle Cobit www.ofppt.info

Modèle Cobit www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Modèle Cobit DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre

Plus en détail

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA 1 APPEL D OFFRES ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA JUILLET 2013 2 1. OBJET DE L APPEL D OFFRE Réalisation d un accompagnement

Plus en détail

LA GESTION DE PROJET INFORMATIQUE

LA GESTION DE PROJET INFORMATIQUE Structurer, assurer et optimiser le bon déroulement d un projet implique la maîtrise des besoins, des objectifs, des ressources, des coûts et des délais. Dans le cadre de la gestion d un projet informatique

Plus en détail

LA GESTION DE PROJET INFORMATIQUE

LA GESTION DE PROJET INFORMATIQUE LA GESTION DE PROJET INFORMATIQUE Lorraine Structurer, assurer et optimiser le bon déroulement d un projet implique la maîtrise des besoins, des objectifs, des ressources, des coûts et des délais. Dans

Plus en détail

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Pré-requis Diplôme Foundation Certificate in IT Service Management. Ce cours apporte les connaissances nécessaires et les principes de gestion permettant la formulation d une Stratégie de Services IT ainsi que les Capacités organisationnelles à prévoir dans le cadre d

Plus en détail

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme

Plus en détail

Prestataire Informatique

Prestataire Informatique SOLUTION INFORMATIQUE POUR PME-TPE C est la garantie du savoir-faire! Prestataire Informatique 2 Rue Albert BARBIER 45100 Orléans -Tel : 06.88.43.43.31 / 06.62.68.29.74 Contact Mali : 76441335 ou 65900903

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration Bureau du surintendant des institutions financières Audit interne des Services intégrés : Services de la sécurité et de l administration Avril 2014 Table des matières 1. Contexte... 3 2. Objectif, délimitation

Plus en détail

Le management des risques de l entreprise Cadre de Référence. Synthèse

Le management des risques de l entreprise Cadre de Référence. Synthèse Le management des risques de l entreprise Cadre de Référence Synthèse SYNTHESE L incertitude est une donnée intrinsèque à la vie de toute organisation. Aussi l un des principaux défis pour la direction

Plus en détail

Rapport standard analyse des risques/stratégie d audit. Sommaire

Rapport standard analyse des risques/stratégie d audit. Sommaire Projet de mise en consultation du 9 septembre 2003 Circ.-CFB 0 / Annexe 1: Rapport standard analyse des risques/stratégie d audit Rapport standard analyse des risques/stratégie d audit Les sociétés d audit

Plus en détail

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011 Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011 SOMMAIRE Synthèse et Conclusion... 1 Introduction... 4 1. La description

Plus en détail

Guide de travail pour l auto-évaluation:

Guide de travail pour l auto-évaluation: Guide de travail pour l auto-évaluation: Gouvernance d entreprise comité d audit Mars 2015 This document is also available in English. Conditions d application Le Guide de travail pour l auto-évaluation

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11734-5

Groupe Eyrolles, 2006, ISBN : 2-212-11734-5 Groupe Eyrolles, 2006, ISBN : 2-212-11734-5 Chapitre 6 La gestion des incidents Quelles que soient la qualité du système d information mis en place dans l entreprise ou les compétences des techniciens

Plus en détail

Politique de gestion des risques

Politique de gestion des risques Objectif de la politique La gestion efficace des risques vise à assurer la continuité des opérations, le maintien de la qualité des services et la protection des actifs des organisations. Plus formellement,

Plus en détail

Modernisation et gestion de portefeuilles d applications bancaires

Modernisation et gestion de portefeuilles d applications bancaires Modernisation et gestion de portefeuilles d applications bancaires Principaux défis et facteurs de réussite Dans le cadre de leurs plans stratégiques à long terme, les banques cherchent à tirer profit

Plus en détail

Etude 2014 sur l évaluation de la performance dans le WCM Résumé

Etude 2014 sur l évaluation de la performance dans le WCM Résumé Etude 2014 sur l évaluation de la performance dans le WCM Résumé Introduction Centre de recherche à l Université de Saint Gall Définition Working Capital Supply Chain Finance-Lab de la Poste L étude sur

Plus en détail

Politique et Standards Santé, Sécurité et Environnement

Politique et Standards Santé, Sécurité et Environnement Politique et Standards Santé, Sécurité et Environnement Depuis la création de Syngenta en 2000, nous avons accordé la plus haute importance à la santé, à la sécurité et à l environnement (SSE) ainsi qu

Plus en détail

L'AUDIT DES SYSTEMES D'INFORMATION

L'AUDIT DES SYSTEMES D'INFORMATION L'AUDIT DES SYSTEMES D'INFORMATION ESCI - Bourg en Bresse (2005 2006) Audit s Système d'information - P2 1 lan d'ensemble Audit s Systèmes d'information GENERALITES SUR L'AUDIT AUDIT FONCTIONNEL OU D'APPLICATION

Plus en détail

Norme ISA 550, Parties liées

Norme ISA 550, Parties liées IFAC Board Prise de position définitive 2009 Norme internationale d audit (ISA) Norme ISA 550, Parties liées Le présent document a été élaboré et approuvé par le Conseil des normes internationales d audit

Plus en détail

Charte d audit du groupe Dexia

Charte d audit du groupe Dexia Janvier 2013 Charte d audit du groupe Dexia La présente charte énonce les principes fondamentaux qui gouvernent la fonction d Audit interne dans le groupe Dexia en décrivant ses missions, sa place dans

Plus en détail

Credit Suisse Invest Le nouveau conseil en placement

Credit Suisse Invest Le nouveau conseil en placement Credit Suisse Invest Le nouveau conseil en placement Vos besoins au centre Credit Suisse Invest Mandate Expert Partner Compact 2 / 20 4 Des arguments qui font la différence Profitez d un conseil en placement

Plus en détail

Service de réplication des données HP pour la gamme de disques Continuous Access P9000 XP

Service de réplication des données HP pour la gamme de disques Continuous Access P9000 XP Service de réplication des données HP pour la gamme de disques Continuous Access P9000 XP Services HP Care Pack Données techniques Le service de réplication des données HP pour Continuous Access offre

Plus en détail

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Guide de bonnes pratiques de sécurisation du système d information des cliniques Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,

Plus en détail

RAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE

RAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE 22.05.08 RAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE Le Conseil d administration de la Société Générale a pris connaissance du rapport ci-joint du Comité spécial qu il a constitué le 30

Plus en détail

Banque européenne d investissement. Charte de l Audit interne

Banque européenne d investissement. Charte de l Audit interne Charte de l Audit interne Juin 2013 Juin 2013 page 1 / 6 Juin 2013 page 2 / 6 1. Politique L Audit interne est une fonction essentielle dans la gestion de la Banque. Il aide la Banque en produisant des

Plus en détail

CERTIFICATION DES INSTITUTIONS APPLIQUANT LE CASE MANAGEMENT CRITÈRES DE QUALITÉ ET INDICATEURS DE CONTRÔLE

CERTIFICATION DES INSTITUTIONS APPLIQUANT LE CASE MANAGEMENT CRITÈRES DE QUALITÉ ET INDICATEURS DE CONTRÔLE CERTIFICATION DES INSTITUTIONS APPLIQUANT LE CASE MANAGEMENT CRITÈRES DE QUALITÉ ET INDICATEURS DE CONTRÔLE 1 INTRODUCTION Le présent document a été rédigé par le groupe de travail «Certification» du Réseau

Plus en détail

pour la soumission de demandes d approbation d adaptations tarifaires en assurance-maladie complémentaire

pour la soumission de demandes d approbation d adaptations tarifaires en assurance-maladie complémentaire GUIDE PRATIQUE pour la soumission de demandes d approbation d adaptations tarifaires en assurance-maladie complémentaire Edition du 18 juin 2015 But Le présent guide pratique est un simple instrument de

Plus en détail

RAPPORT ANNUEL DU COMITÉ D AUDIT 2009

RAPPORT ANNUEL DU COMITÉ D AUDIT 2009 RAPPORT ANNUEL DU COMITÉ D AUDIT 2009 Conformément à la Charte du Comité d audit, le Comité d audit doit établir chaque année un rapport dans lequel sa composition et ses compétences sont mentionnées et

Plus en détail

Introduction 3. GIMI Gestion des demandes d intervention 5

Introduction 3. GIMI Gestion des demandes d intervention 5 SOMMAIRE Gestion Help Desk de - parc Service Desk Introduction 3 GIMI Gestion des demandes d intervention 5 1 Schéma de principe et description des rôles 6 2 Principe de fonctionnement 8 Interface Demandeur

Plus en détail

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» C est sans surprise que dans la dernière enquête «CEO» de PwC, les dirigeants font état de leurs préoccupations

Plus en détail

MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES

MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES LOT 2 Fourniture et installation d un système de GED pour la Mairie de La Wantzenau. Fiche technique Cahier des Charges

Plus en détail

Sage 100 CRM Guide de l Import Plus avec Talend Version 8. Mise à jour : 2015 version 8

Sage 100 CRM Guide de l Import Plus avec Talend Version 8. Mise à jour : 2015 version 8 Sage 100 CRM Guide de l Import Plus avec Talend Version 8 Mise à jour : 2015 version 8 Composition du progiciel Votre progiciel est composé d un boîtier de rangement comprenant : le cédérom sur lequel

Plus en détail

CA ARCserve Backup. Avantages. Vue d'ensemble. Pourquoi choisir CA

CA ARCserve Backup. Avantages. Vue d'ensemble. Pourquoi choisir CA DOSSIER SOLUTION : CA ARCSERVE BACKUP R12.5 CA ARCserve Backup CA ARCSERVE BACKUP, LOGICIEL DE PROTECTION DE DONNÉES LEADER DU MARCHÉ, INTÈGRE UNE TECHNOLOGIE DE DÉDUPLICATION DE DONNÉES INNOVANTE, UN

Plus en détail

WHITEPAPER. Quatre indices pour identifier une intégration ERP inefficace

WHITEPAPER. Quatre indices pour identifier une intégration ERP inefficace Quatre indices pour identifier une intégration ERP inefficace 1 Table of Contents 3 Manque de centralisation 4 Manque de données en temps réel 6 Implémentations fastidieuses et manquant de souplesse 7

Plus en détail

1. COMPOSITION ET CONDITIONS DE PREPARATION ET D ORGANISATION DES TRAVAUX DU CONSEIL D ADMINISTRATION

1. COMPOSITION ET CONDITIONS DE PREPARATION ET D ORGANISATION DES TRAVAUX DU CONSEIL D ADMINISTRATION RAPPORT DU PRESIDENT DU CONSEIL D ADMINISTRATION PREVU A L ARTICLE L. 225-37 DU CODE DE COMMERCE SUR LES CONDITIONS DE PREPARATION ET D ORGANISATION DES TRAVAUX DU CONSEIL ET SUR LES PROCEDURES DE CONTROLE

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

NORME INTERNATIONALE D AUDIT 330 PROCÉDURES A METTRE EN ŒUVRE PAR L'AUDITEUR EN FONCTION DE SON ÉVALUATION DES RISQUES

NORME INTERNATIONALE D AUDIT 330 PROCÉDURES A METTRE EN ŒUVRE PAR L'AUDITEUR EN FONCTION DE SON ÉVALUATION DES RISQUES NORME INTERNATIONALE D AUDIT 330 PROCÉDURES A METTRE EN ŒUVRE PAR L'AUDITEUR EN FONCTION DE SON ÉVALUATION DES RISQUES SOMMAIRE Paragraphes Introduction... 1-3 Réponses globales... 4-6 Procédures d'audit

Plus en détail

EAI urbanisation comment réussir?

EAI urbanisation comment réussir? AFAI - comité interface 1 EAI urbanisation comment réussir? Cet article constitue une synthèse du document «Interface et urbanisation du système d'information» publié par l AFAI (Association Française

Plus en détail

L analyse de risques avec MEHARI

L analyse de risques avec MEHARI L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de

Plus en détail

Master Sales Analysis. Analyse et développement des compétences de vente

Master Sales Analysis. Analyse et développement des compétences de vente Master Sales Analysis Analyse et développement des compétences de vente L'essentiel L essentiel à propos du système MSA 360 Description résumée du système MSA 360 Le système Master Sales Analysis (MSA)

Plus en détail

2. Technique d analyse de la demande

2. Technique d analyse de la demande 1. Recevoir et analyser une requête du client 2. Sommaire 1.... Introduction 2.... Technique d analyse de la demande 2.1.... Classification 2.2.... Test 2.3.... Transmission 2.4.... Rapport 1. Introduction

Plus en détail

Guide pour l utilisation des Normes Internationales d Audit dans l Audit des Petites et Moyennes Entreprises

Guide pour l utilisation des Normes Internationales d Audit dans l Audit des Petites et Moyennes Entreprises Guide pour l utilisation des Normes Internationales d Audit dans l Audit des Petites et Moyennes Entreprises Publié par le Comité des Cabinets d Expertise Comptable de Petite et Moyenne Taille Small and

Plus en détail

L Audit Interne vs. La Gestion des Risques. Roland De Meulder, IEMSR-2011

L Audit Interne vs. La Gestion des Risques. Roland De Meulder, IEMSR-2011 L Audit Interne vs. La Gestion des Risques Roland De Meulder, IEMSR-2011 L audit interne: la définition L audit interne est une activité indépendante et objective qui donne à une organisation une assurance

Plus en détail

Le cycle de traitement de la situation 1/2

Le cycle de traitement de la situation 1/2 Le cycle de traitement de la situation 1/2 Le cycle de traitement de la situation est un processus mené en continu consistant à obtenir des informations brutes, à les évaluer, à les transformer en renseignements

Plus en détail

Risques liés aux systèmes informatiques et de télécommunications

Risques liés aux systèmes informatiques et de télécommunications Risques liés aux systèmes informatiques et de télécommunications (Juillet 1989) La vitesse de l innovation technologique liée aux ordinateurs et aux télécommunications, ces dernières années, et l intégration

Plus en détail

Systèmes de transport public guidés urbains de personnes

Systèmes de transport public guidés urbains de personnes service technique des Remontées mécaniques et des Transports guidés Systèmes de transport public guidés urbains de personnes Principe «GAME» (Globalement Au Moins Équivalent) Méthodologie de démonstration

Plus en détail

COBIT (v4.1) INTRODUCTION COBIT

COBIT (v4.1) INTRODUCTION COBIT COBIT (v4.1) Un référentiel de «bonnes pratiques» pour l informatique par René FELL, ABISSA Informatique INTRODUCTION Le Service Informatique (SI) est un maillon important de la création de valeur dans

Plus en détail

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec Contrôles informatiques dans le cadre de l audit l des états financiers Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec 1 Objectifs de la présentation Identifier le rôle de

Plus en détail

III.2 Rapport du Président du Conseil

III.2 Rapport du Président du Conseil III.2 Rapport du Président du Conseil de Surveillance sur les procédures de contrôle interne et de gestion des risques Rapport du directoire rapports du conseil de surveillance 2012 1 Obligations légales

Plus en détail

ISO/CEI 19770-1. Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité

ISO/CEI 19770-1. Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité NORME INTERNATIONALE ISO/CEI 19770-1 Deuxième édition 2012-06-15 Technologies de l information Gestion des actifs logiciels Partie 1: Procédés et évaluation progressive de la conformité Information technology

Plus en détail

R È G L E M E N T I. Agence

R È G L E M E N T I. Agence R È G L E M E N T I Agence IKO Centre de renseignements sur le crédit à la consommation Badenerstrasse 701 Case postale 1108 8048 Zurich Tél. 043 311 77 31 Fax 043 311 77 33 E-mail: info@iko.ch www.iko-info.ch

Plus en détail

La fonction d audit interne garantit la correcte application des procédures en vigueur et la fiabilité des informations remontées par les filiales.

La fonction d audit interne garantit la correcte application des procédures en vigueur et la fiabilité des informations remontées par les filiales. Chapitre 11 LA FONCTION CONTRÔLE DE GESTION REPORTING AUDIT INTERNE Un système de reporting homogène dans toutes les filiales permet un contrôle de gestion efficace et la production d un tableau de bord

Plus en détail

Présentation à l EIFR. 25 mars 2014

Présentation à l EIFR. 25 mars 2014 Présentation à l EIFR 25 mars 2014 1 Contexte BCBS 239 Les établissements font face depuis les cinq dernières années aux nombreux changements réglementaires visant à renforcer la résilience du secteur:

Plus en détail

White Paper Managed IT Services

White Paper Managed IT Services White Paper Managed IT Services MANAGED IT SERVICES 1. Executive Summary Dans l économie mondiale exigeante d aujourd hui, les entreprises se consacrent de plus en plus à leurs activités principales. Elles

Plus en détail

Analyse structurée de solutions pour BMC Remedy IT Service Management v 7

Analyse structurée de solutions pour BMC Remedy IT Service Management v 7 LIVRE BLANC SUR LES PRATIQUES ITIL Analyse structurée de solutions pour BMC Remedy IT Service Management v 7 Exploiter le potentiel des pratiques ITIL grâce aux ateliers d analyse de solutions organisés

Plus en détail

421 203 993 R.C.S. AGEN * * * * *

421 203 993 R.C.S. AGEN * * * * * ACCES INDUSTRIE Société Anonyme à Directoire et Conseil de surveillance Au capital de 1 754 704,80 Siège social : 2 rue du Pont de Garonne 47400 TONNEINS 421 203 993 R.C.S. AGEN * * * * * RAPPORT DU PRESIDENT

Plus en détail

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS Avril 2010 Table des matières Préambule...3 Introduction...4 Champ d application...5 Entrée en vigueur et processus de mise à jour...6 1.

Plus en détail

Du marketing dans ma PME!

Du marketing dans ma PME! Du marketing dans ma PME! Manque d expérience marketing des managers de sociétés technologiques, difficulté de recruter des profils marketing formés ou expérimentés : pourquoi la mission marketing est-elle

Plus en détail

CONDITIONS GENERALES

CONDITIONS GENERALES CONDITIONS GENERALES Complex IT sàrl Contents 1 Conditions générales de vente 2 1.1 Préambule............................... 2 1.2 Offre et commande.......................... 3 1.3 Livraison...............................

Plus en détail

MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ. Organisation

MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ. Organisation MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ _ Direction générale de l offre de soins _ Sous-direction du pilotage de la performance des acteurs de l offre de soins _ Bureau des coopérations et contractualisations

Plus en détail

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES PLAN LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX & ETAT DE L ART SELON BV ASSOCIATES Copyright BV Associates 2013 IMEPSIA TM est une marque déposée par BV Associates Page 1 SOMMAIRE 1 PRINCIPES GENERAUX

Plus en détail

JOURNÉE THÉMATIQUE SUR LES RISQUES

JOURNÉE THÉMATIQUE SUR LES RISQUES Survol de Risk IT UN NOUVEAU RÉFÉRENTIEL DE GESTION DES RISQUES TI GP - Québec 2010 JOURNÉE THÉMATIQUE SUR LES RISQUES 3 mars 2010 - Version 4.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com

Plus en détail

Centre canadien des mesures d urgence

Centre canadien des mesures d urgence Centre canadien des mesures d urgence Plan de continuité des opérations de nom du service ou de l'unité opérationnelle DM Crée le jour, mois, année Revu le jour, mois, année Page 1 Table des matières Équipe

Plus en détail

Cahier des charges pour la réalisation d un audit externe du programme GUS / OFS

Cahier des charges pour la réalisation d un audit externe du programme GUS / OFS Département fédéral de l intérieur (DFI) Office Fédéral de la Statistique OFS Etat-major Cahier des charges pour la réalisation d un audit externe du programme GUS / OFS Table des matières 1 Généralités

Plus en détail

HelpDesk. Sept avantages de HelpDesk

HelpDesk. Sept avantages de HelpDesk HelpDesk Artologik HelpDesk est l outil rêvé pour ceux qui recherchent un programme de support et de gestion des tickets alliant facilité d utilisation et puissance. Avec Artologik HelpDesk, vous pourrez

Plus en détail

Note à Messieurs les : Objet : Lignes directrices sur les mesures de vigilance à l égard de la clientèle

Note à Messieurs les : Objet : Lignes directrices sur les mesures de vigilance à l égard de la clientèle Alger, le 08 février 2015 Note à Messieurs les : - Présidents des Conseils d Administration ; - Présidents Directeurs Généraux ; - Directeurs Généraux ; - Présidents des Directoires ; - Directeur Général

Plus en détail

Aperçu des 37 principes directeurs

Aperçu des 37 principes directeurs Département fédéral des finances DFF Administration fédérale des finances AFF Gouvernement d entreprise de la Confédération Aperçu des 37 principes directeurs Principe n o 1 En principe, il convient d

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un

Plus en détail

Comment réussir la mise en place d un ERP?

Comment réussir la mise en place d un ERP? 46 Jean-François Lange par Denis Molho consultant, DME Spécial Financium La mise en place d un ERP est souvent motivée par un constat d insuffisance dans la gestion des flux de l entreprise. Mais, si on

Plus en détail

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES*

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES* R. GESTION DU RISQUE DANS LES CADRES RÉGLEMENTAIRES* Le Groupe de travail des politiques de coopération en matière de et de normalisation: Reconnaissant que l atténuation du risque qui peut avoir une incidence

Plus en détail

BUREAU DU CONSEIL PRIVÉ. Vérification de la gouvernance ministérielle. Rapport final

BUREAU DU CONSEIL PRIVÉ. Vérification de la gouvernance ministérielle. Rapport final BUREAU DU CONSEIL PRIVÉ Vérification de la gouvernance ministérielle Division de la vérification et de l évaluation Rapport final Le 27 juin 2012 Table des matières Sommaire... i Énoncé d assurance...iii

Plus en détail

Norme ISA 260, Communication avec les responsables de la gouvernance

Norme ISA 260, Communication avec les responsables de la gouvernance IFAC Board Prise de position définitive 2009 Norme internationale d audit (ISA) Norme ISA 260, Communication avec les responsables de la gouvernance Le présent document a été élaboré et approuvé par le

Plus en détail

UC4 effectue tout l ordonnancement batch pour Allianz en Allemagne

UC4 effectue tout l ordonnancement batch pour Allianz en Allemagne UC4 effectue tout l ordonnancement batch pour Allianz en Allemagne La société Le groupe Allianz est un des principaux fournisseurs de services globaux dans les domaines de l assurance, de la banque et

Plus en détail

ERP Service Negoce. Pré-requis CEGID Business version 2008. sur Plate-forme Windows. Mise à jour Novembre 2009

ERP Service Negoce. Pré-requis CEGID Business version 2008. sur Plate-forme Windows. Mise à jour Novembre 2009 ERP Service Negoce Pré-requis CEGID Business version 2008 sur Plate-forme Windows Mise à jour Novembre 2009 Service d'assistance Téléphonique 0 825 070 025 Pré-requis Sommaire 1. PREAMBULE... 3 Précision

Plus en détail

Lignes directrices à l intention des praticiens

Lignes directrices à l intention des praticiens Janvier 2005 Lignes directrices à l intention des praticiens Visiter notre site Web : www.cga-pdnet.org/fr-ca Le praticien exerçant seul ou au sein d un petit cabinet et l indépendance Le Code des principes

Plus en détail

CONTRAT DE MAINTENANCE

CONTRAT DE MAINTENANCE CONTRAT DE MAINTENANCE Entre: La Société ORTEMS, Société par actions simplifiée au capital de 230 000, dont le siège social est 304 Route Nationale 6 - Le bois des Côtes II, 69578 LIMONEST CEDEX, Immatriculée

Plus en détail

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats C ) Détail volets A, B, C, D et E Actions Objectifs Méthode, résultats VOLET A : JUMELAGE DE 18 MOIS Rapports d avancement du projet. Réorganisation de l administration fiscale Rapports des voyages d étude.

Plus en détail

ITIL Examen Fondation

ITIL Examen Fondation ITIL Examen Fondation Échantillon d examen A, version 5.1 Choix multiples Instructions 1. Essayez de répondre aux 40 questions. 2. Vos réponses doivent être inscrites sur la grille de réponses fournie.

Plus en détail

Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse 2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA

Plus en détail

Avenant technologique à la Description commune des services RMS de gestion à distance de Cisco

Avenant technologique à la Description commune des services RMS de gestion à distance de Cisco Page 1 sur 5 Description de service : «Virtual Desktop Infrastructure (VDI) Network Remote Management Services» Services de gestion à distance pour réseau d'infrastructure de bureau virtuel (VDI) Avenant

Plus en détail

Aperçu des produits. La solution du prestataire

Aperçu des produits. La solution du prestataire Aperçu des produits La solution du prestataire Vertec la solution complète pour prestaires de services Le succès de la gestion d une entreprise spécialisée dans la prestation de services dépend largement

Plus en détail

BUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise

BUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise BUSINESS CONTINUITY MANAGEMENT I PLANZER I 2010 BUSINESS CONTINUITY MANAGEMENT Notre plan C pour situations d'urgence et de crise La sécurité n'est pas une valeur absolue. Une gestion de risque peut éventuellement

Plus en détail

CENTRES D APPUI À LA TECHNOLOGIE ET À L INNOVATION (CATI) GUIDE DE MISE EN ŒUVRE

CENTRES D APPUI À LA TECHNOLOGIE ET À L INNOVATION (CATI) GUIDE DE MISE EN ŒUVRE CENTRES D APPUI À LA TECHNOLOGIE ET À L INNOVATION (CATI) GUIDE DE MISE EN ŒUVRE Le programme de centres d'appui à la technologie et à l'innovation (CATI), mis en place par l'ompi, permet aux innovateurs

Plus en détail

Formation PME Etude de marché

Formation PME Etude de marché Formation PME Etude de marché Fit for Business (PME)? Pour plus de détails sur les cycles de formation PME et sur les business-tools, aller sous www.banquecoop.ch/business L étude de marché ou étude marketing

Plus en détail

www.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne

www.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne www.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne Contexte Depuis plusieurs années, les institutions publiques doivent faire face à de nouveaux défis pour améliorer leurs

Plus en détail

HDI-Gerling Industrie Assurance SA

HDI-Gerling Industrie Assurance SA HDI-Gerling Industrie Assurance SA Portail en ligne pour partenaires Convention d utilisation pour les preneurs d assurance HDI-Gerling Industrie Assurance SA Succursale Suisse Dufourstrasse 46 8034 Zurich

Plus en détail

Avis n 94-02 sur la méthodologie relative aux comptes combinés METHODOLOGIE RELATIVE AUX COMPTES COMBINES

Avis n 94-02 sur la méthodologie relative aux comptes combinés METHODOLOGIE RELATIVE AUX COMPTES COMBINES CONSEIL NATIONAL DE LA COMPTABILITÉ Avis n 94-02 sur la méthodologie relative aux comptes combinés Le Conseil national de la comptabilité réuni en formation de Section des entreprises le 28 octobre 1994,

Plus en détail

Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé

Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé Sponsored by Mentions relatives aux droits d'auteur 2011 Realtime Publishers. Tous droits réservés. Ce site contient des supports

Plus en détail

Sans cet agrément, il est interdit de pratiquer l assurance, en Suisse ou à partir de la Suisse (art. 87 LSA).

Sans cet agrément, il est interdit de pratiquer l assurance, en Suisse ou à partir de la Suisse (art. 87 LSA). Département fédéral des finances DFF Office fédéral des assurances privées OFAP Conditions d octroi de l agrément pour l exercice de l activité d assurance Institution d assurance sur la vie avec siège

Plus en détail

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité Date : Le 28 octobre 2013 NOTE D INFORMATION Destinataires : Institutions financières fédérales Objet : Conseils sur l autoévaluation en matière de cybersécurité Les cyberattaques sont de plus en plus

Plus en détail

Normes Mauritaniennes de l Action contre les Mines (NMAM) Inclus les amendements Janvier 2014

Normes Mauritaniennes de l Action contre les Mines (NMAM) Inclus les amendements Janvier 2014 NMAM 11.10 Normes Mauritaniennes de l Action contre les Mines (NMAM) Inclus les amendements Gestion de l information et rédaction de rapports en Mauritanie Coordinateur Programme National de Déminage Humanitaire

Plus en détail

Règlement de traitement des données personnelles. Version destinée au siège principal

Règlement de traitement des données personnelles. Version destinée au siège principal Règlement de traitement des données personnelles Version destinée au siège principal Caisse-maladie Agrisano SA Assurances Agrisano SA Agrisano Règlement de traitement des données personnelles Page 1 sur

Plus en détail