Contrôles internes au sein d un environnement informatique. Novembre 2010

Documents pareils
L Audit Interne vs. La Gestion des Risques. Roland De Meulder, IEMSR-2011

CobiT une expérience pratique

RECOMMANDATIONS COMMISSION

Stratégie IT : au cœur des enjeux de l entreprise

Système de Management par la Qualité

Historique des normes et des règlements encadrant les contrôles internes

Conseil de recherches en sciences humaines du Canada

EXPORTATION ET DÉVELOPPEMENT CANADA MANDAT DU COMITÉ DE LA VÉRIFICATION DU CONSEIL D ADMINISTRATION

Introduction à ITIL. Un guide d'initiation à ITIL. Tana Guindeba, ing. jr Mars Guintech Informatique. Passer à la première page

Vérification du Cadre de contrôle de la gestion financière Achats de TI

Lignes directrices à l intention des praticiens

L ASSURANCE QUALITÉ ET SÉCURITÉ DE VOTRE SYSTÈME D INFORMATION

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

ÉVALUATION DU RENDEMENT DU PERSONNEL ENSEIGNANT. Guide des exigences et des modalités

Conférence IDC Information Management

La gestion des mots de passe pour les comptes à privilèges élevés

Norme ISA 260, Communication avec les responsables de la gouvernance

Commentaires sur le projet de lignes directrices (G3) pour l évaluation de la durabilité de la Global Reporting Initiative

Modernisation et gestion de portefeuilles d applications bancaires

CHARTE DU COMITÉ DES RESSOURCES HUMAINES ET DE RÉMUNÉRATION DU CONSEIL D ADMINISTRATION DE TIM HORTONS INC.

PAROLES DE DIPLÔMÉS 2015 AUDIT

SEMINAIRE DE L IFE. Un système de management environnemental basé sur ISO Presenté par Manoj Vaghjee

La gestion des risques IT et l audit

Conférence de presse du sondage santé Conséquences politiques tirées du sondage Revendications de santésuisse

CIRCULAIRE AUX ETABLISSEMENTS DE CREDIT N Objet : Renforcement des règles de bonne gouvernance dans les établissements de crédit.

ISO/CEI 27001:2005 ISMS -Information Security Management System

... et l appliquer à l optimum. Reconnaître la qualité... Solution Partner. Answers for industry.* *Des réponses pour l industrie.

AUDIT COMMITTEE: TERMS OF REFERENCE

Digital Lëtzebuerg Conférence de presse du 20 octobre 2014

RAPPORT ANNUEL DU COMITÉ D AUDIT 2009

JOURNÉE THÉMATIQUE SUR LES RISQUES

Programme d'amélioration continue des services

Coopération. Assurance externe versus assurance interne : Comment créer une coopération? Institut des Réviseurs d Entreprises.

Optimisation du processus de gestion des plaintes et des commentaires à la SAAQ

ITIL FOUNDATION 2011 & PREPARATION A LA CERTIFICATION

Club toulousain

Alerte audit et certification

Faire simplement mieux

La voie vers les revenus: comprendre ce que les entreprises attendent de leurs banques

Vérification du projet de développement d un système électronique commun de gestion de l information (SÉCGI)

Les orientations de la politique de l information du gouvernement du Canada

COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA. Vérification de la gestion des ressources humaines

Standard du Commerce Equitable Fairtrade. les organisations de petits producteurs

Exposé-sondage. Novembre Projet de prise de position conjointe

Banque européenne d investissement. Charte de l Audit interne

Votre guide 2013 pour la gestion des déplacements et frais professionnels

Guide de travail pour l auto-évaluation:

La gouvernance au cœur de la Transformation des systèmes d information Renault

RÈGLEMENT SUR LA DIFFUSION DE L INFORMATION Frais de formation, colloques et congrès

GLOBAL SAAS HR SOLUTION INTÉGRÉE DE GESTION DES TALENTS

L entreprise prête pour l informatique en nuage Élaborer un plan et relever les principaux défis

Politique de gestion des risques

Guichet entreprises Petit déjeuner des start-up

WHITEPAPER. revenue leakage & revenue assurance. Zuidleiestraat 12 bus 0.A 9880 Aalter Rue du Bosquet Nivelles

FICHE 9 TECHNIQUE DU CHANGEMENT LE PLUS SIGNIFICATIF

SCARM Direction de l approvisionnement Ville de Montréal Mars 2013

GENWORTH FINANCIAL CANADA PROPOSITION PRÉBUDGETAIRE OCTOBRE 2006

Planification des investissements en GI-TI : Avantages stratégiques des renseignements détaillés des coûts

Sommaire. Nos valeurs éthiques 6. Nos normes professionnelles 18. Adhésion au Code de conduite 21. Notre Integrity Hotline 22

Services de conciliation en assurance Cadre de collaboration et de surveillance. Approuvé par le CCRRA en juin 2015

GESTION DES DOCUMENTS

Vers l amélioration continue

Le Cloud, un paradoxe bien français!

Outil d auto-évaluation (OAE) des cliniques juridiques communautaires

Audit du cadre de gestion du programme de développement de technologies d exploration avancée ( )

Impartition réussie du soutien d entrepôts de données

Ministère de la Santé et des Services sociaux

COMMANDITÉ DE BROOKFIELD RENEWABLE ENERGY PARTNERS L.P. CHARTE DU COMITÉ D AUDIT

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

La tendance au regroupement : comment réussir à naviguer dans un tel contexte

POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013)

ITIL V2. Historique et présentation générale

POLITIQUE RELATIVE AUX SERVICES DE TRADUCTION

Mars Editeur et Intégrateur d ERP QHSSE

Plan d accessibilité

Vaincre les incompréhensions ITIL 2011

PARLEMENT WALLON SESSION DÉCEMBRE 2007 PROJET DE DÉCRET

Pré-requis Diplôme Foundation Certificate in IT Service Management.

BANQUE MONDIALE. DiRectives pour les décaissements applicables aux projets

Codes des banques 9 septembre 2009

ÉBAUCHE POUR COMMENTAIRE MODALITÉS RELATIVES AUX ADJUDICATIONS DES OBLIGATIONS À TRÈS LONG TERME DU GOUVERNEMENT DU CANADA

مرحبا. Bienvenue. Wel come

Une formation continue du Luxembourg Lifelong Learning Center / CERTIFICAT

Nouveauté à découvrir pour la suisse: Dolibarr, le logiciel ERP/CRM compact accessible aux PME

Sommaire. d Information & Référentiels. de Bonnes Pratiques. DEBBAGH, PhD. Février 2008

ITIL nouvelle version et état de situation des démarches dans le réseau

MANDAT CONSEIL CONSULTATIF SUR LA RÉGLEMENTATION AÉRIENNE CANADIENNE (CCRAC) COMITÉ TECHNIQUE

La bonne gouvernance et le leadership du conseil d administration Favoriser et maintenir la confiance. ACCAU 2015 Montréal Sheila A. Brown, Ph. D.

Énoncé de principes. AcSB/PSAB. Amélioration des normes pour les organismes sans but lucratif

Politique numéro 42 POLITIQUE DE GESTION DOCUMENTAIRE

SOMMAIRE DU RAPPORT ANNUEL 2013 DU VÉRIFICATEUR GÉNÉRAL

WORK SWEET WORK* * ÉDITION DE PROGICIELS * TRAVAILLEZ DÉTENDU

Gestion de la sécurité de l information par la haute direction

Accompagner la transformation vers l excellence opérationnelle. Olivier Gatti olivier.gatti@adis-innovation.com

Mise en place du Mécanisme de Supervision Unique (MSU)

GOUVERNANCE DES ACCÈS,

Nombre de reconnaissances et d awards prestigieux concourent à démontrer la réussite de cette stratégie.

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Formation et Certification: ITIL Foundation V3

Objectifs didactiques HERMES 5 Foundation et Advanced

Transcription:

Contrôles internes au sein d un environnement informatique Novembre 2010

Ernst & Young Présentation des orateurs Stephen McIntyre, Services consultatifs en risque Hassan Qureshi, Risque et certification en TI Marco Perron, Services consultatifs en risque

Ordre du jour Séance 1 (9 h à 10 h 15) Contrôles internes sur l information financière (CIIF) Séance 2 (13 h 30 à 14 h 30) Discussion Séance 3 (15 h à 16 h) Contrôles internes au sein d un environnement informatique

Séance 3 : Ordre du jour Politique sur le contrôle interne En quoi les contrôles informatiques importent-ils? Contrôles informatiques à l appui du CIIF Stratégie descendante axée sur les risques Contrôles des applications Contrôles manuels liés aux TI Contrôles généraux informatiques Quelles leçons pouvons-nous tirer d autres projets sur le contrôle interne?

Politique sur le contrôle interne Les TI dans le contexte de la Politique sur le contrôle interne La responsabilité première en matière de présentation de rapports sur la conformité en vertu de la Politique sur le contrôle interne incombe à l administrateur général du ministère. Veiller à la mise en place, au maintien, à la surveillance et à l examen du système ministériel de contrôle interne qui permet d atténuer les risques dans les grandes catégories suivantes : TI l'efficacité et l efficience des programmes, des opérations et de la gestion des ressources, y compris la protection des actifs; TI la fiabilité des rapports financiers; et la conformité aux lois, règlements, politiques et pouvoirs délégués. Les technologies de l information (TI) sont cruciales à l efficacité et l efficience de la gestion des programmes, des opérations et des ressources, y compris la protection des actifs. Les TI permettent la fiabilité de l information financière.

Politique sur le contrôle interne Stratégie descendante axée sur les risques? Rapports Financial financiers reports Internal Contrôles Cont internes rols over sur l information Financial Report financière ing (CIIF) (ICFR) Applicat ion Operating Système d exploitation system Base Dat de abase données Net Réseau work

Politique sur le contrôle interne En quoi les contrôles informatiques importent-ils? Les contrôles informatiques protègent l intégrité des données et représentent une composante importante du contrôle informatique à l appui du CIIF d une organisation. Les contrôles informatiques ont trait à la sécurité (confidentialité, intégrité et disponibilité) des données, de même qu à la gestion globale des fonctions opérationnelles de l organisation. Les systèmes informatiques appuient le flux d informations à partir du déclenchement jusqu à l enregistrement et comptent parmi les éléments les plus importants et généralisés du système d information financière d une organisation. Les systèmes informatiques servent de plus en plus d outils visant à fournir un traitement et une communication efficients aux fins de la prise de décisions.

Politique sur le contrôle interne En quoi les contrôles informatiques importent-ils? Diminution de l étendue des tests et de la mesure dans laquelle on s appuie sur les contrôles au niveau des opérations Augmentation de l efficacité et de l efficience et diminution des coûts des contrôles internes en établissant un système informatique sain et en utilisant les systèmes au sein de l organisation Accroissement de l uniformité du fonctionnement du contrôle (c.-à-d. processus automatisés c. manuels) Amélioration de la sécurité (confidentialité, intégrité et disponibilité) de l information de la société Amélioration de la fiabilité des contrôles manuels liés aux TI

Business Risks Risques d entreprise Séparation des tâches Segregat ion of dut ies Contrôles au niveau de l entité Ent it y-level cont rols Politique sur le contrôle interne Vue d ensemble du contrôle informatique à l appui du CIIF Rapports Financial financiers reports Les contrôles informatiques sont classés dans trois principales catégories : Accès Access Contrôles Manual cont manuels rols Contrôles Controls Calculation Intégrité des and calculs data et des integrity données Aut Contrôles omat ed automatisés cont rols 1. Contrôles manuels liés aux TI Contrôles IT-dependent manuels manual liés aux contti rols Contrôles Applicat ion des applications cont rols 2. Contrôles des applications 3. Contrôles généraux informatiques Informat Base du contrôle ion syst em du système cont rol foundat informatique ion Contrôles IT general généraux cont informatiques rols Applications Operating Systèmes Bases de Databases d exploitation systems données

Leçons tirées

Leçons tirées Réduction de coûts possible Plus qu un exercice de conformité : Accroître les possibilités de l entreprise grâce à des contrôles efficaces et efficients Réagir plus rapidement aux changements de politiques et de réglementation Libérer des ressources et, ultimement, accroître la rentabilité Connaissances de la direction Tirer profit des connaissances de l organisation : Atteindre la réussite opérationnelle et stratégique continue Utiliser les contrôles informatiques à l appui de la gestion des connaissances globales Appuyer la sécurité (confidentialité, intégrité et disponibilité) de l information Ton donné par la direction Appui de la direction : Les contrôles au niveau de l entité sont cruciaux pour l évaluation des contrôles au niveau des opérations et des contrôles informatiques. L appui de la direction est essentiel à la réussite de la Politique sur le contrôle interne. La participation de l ensemble des parties intéressées des TI est cruciale à la réussite de la Politique sur le contrôle interne.

Leçons tirées Plus qu une question de TI La responsabilité des contrôles généraux informatiques n incombe PAS uniquement aux TI : La responsabilité de bon nombre d activités de contrôles informatiques clés est assurée par des représentants d entreprise. Par exemple : Approbation des droits d accès liés à une application Toutes les personnes intéressées des TI, faisant partie ou non du groupe des TI, devraient participer activement aux projets liés au CIIF. Uniformité du processus Efficience du projet optimisée grâce aux CGI uniformes : Assurer l uniformité des systèmes d une organisation (uniformité des activités propres à plusieurs systèmes au sein d une organisation; par exemple, le processus lié à la résiliation de l accès à un système lors du départ d un employé) Rationaliser les tests des contrôles généraux informatiques Maintenir l efficacité du fonctionnement des contrôles généraux informatiques de façon continue en réduisant les divergences entre les activités manuelles au sein de l organisation Sélection des contrôles informatiques Évaluer minutieusement les systèmes et les contrôles faisant partie de l étendue : Accorder la priorité aux applications de base ayant une influence directe sur l information financière Identifier les risques propres à cet objectif Éviter de délimiter une étendue trop vaste, ce qui pourrait nuire à l efficience

Leçons tirées Résiliation des accès Les départs devraient être opportuns. La résiliation des accès aux applications, bases de données, systèmes d exploitation et réseaux pose des défis, étant donné qu il ne s agit pas d une fonction assumée par un seul groupe au sein de l organisation (p. ex., RH, finances, TI). De même, lorsqu un employé occupe un nouveau poste au sein de l organisation, ses besoins en matière d accès changent aussi et doivent être modifiés en temps opportun. Séparation des tâches Environnements de développement et de production : Empêcher aux développeurs d accéder à l environnement de production pour les systèmes informatiques clés peut se révéler difficile. Cela est surtout le cas pour les petites organisations dont les ressources en TI sont restreintes. Des solutions pratiques permettront aux personnes clés de continuer à fournir des services (c.-à-.d. soutien TI), tout en conservant l intégrité des données, ce qui s avère crucial.

Planification d un audit fondé sur des contrôles

Planification d un audit fondé sur des contrôles L objectif premier consiste à s appuyer sur les contrôles internes. Recourir aux meilleures pratiques en matière de conservation et de classement des documents. L uniformité est essentielle. Réaliser une évaluation des risques internes et déterminer les aspects sur lesquels l audit sera axé. Identifier des événements importants ou inhabituels et prévoir les éléments probants et la documentation nécessaires pour étayer vos conclusions. Se concentrer sur les aspects pour lesquels un jugement ou une estimation important a été nécessaire pour tirer une conclusion.

Rapports et communications avec les comités d audit

Rapports et communications avec les comités d audit Comités ministériels de vérification Directive sur les comités ministériels de vérification : 4.1.1 - Le comité ministériel de vérification est un comité consultatif de l'administrateur général. Il donne objectivement des conseils et des recommandations à l'administrateur général sur le caractère suffisant, la qualité et les résultats de l'assurance fournie à l'égard de la pertinence et du fonctionnement des cadres et des processus de gestion des risques, de contrôle et de gouvernance du ministère

Rapports et communications avec les comités d audit Rôle du comité d audit KB Brady, contrôleur général de Nouvelle-Zélande : Les comités d audit doivent fournir un apport considérable pour améliorer la gouvernance, ainsi que le rendement et la reddition de comptes, des sociétés ouvertes. Ils peuvent jouer un rôle important dans l examen des politiques, processus, systèmes et contrôles d une organisation. Un comité d audit efficace témoigne de l engagement d une organisation envers une culture de transparence et d amélioration continue.

Rapports et communications avec les comités d audit Politique sur le contrôle interne Obligation fiduciaire visant à assurer qu un contrôle préalable approprié a été mis en œuvre dans le cadre de la Politique sur le contrôle interne. Vise à fournir un aperçu du processus de la Politique sur le contrôle interne à un niveau satisfaisant pour répondre aux obligations des comités. Propose des solutions pratiques et possibles aux questions identifiées. Établit des échéances et des stratégies pour remédier aux processus/contrôles existants et les améliorer. Il est possible que certains membres du comité connaissent d autres normes de contrôle interne; il faut tirer profit de ces connaissances!

Rapports et communications avec les comités d audit Commentaires généraux Comprendre les rôles et les responsabilités de votre comité ministériel de vérification (c.-à-d. sa charte). Prévoir les questions avant de rencontrer le comité et préparer des réponses. Fournir suffisamment de détails au comité pour l aider à assumer ses responsabilités fiduciaires, mais ne pas l encombrer avec des détails inutiles. Prendre les devants en assurant le suivi des commentaires/demandes formulés au cours des réunions précédentes.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back