Contrôles internes au sein d un environnement informatique Novembre 2010
Ernst & Young Présentation des orateurs Stephen McIntyre, Services consultatifs en risque Hassan Qureshi, Risque et certification en TI Marco Perron, Services consultatifs en risque
Ordre du jour Séance 1 (9 h à 10 h 15) Contrôles internes sur l information financière (CIIF) Séance 2 (13 h 30 à 14 h 30) Discussion Séance 3 (15 h à 16 h) Contrôles internes au sein d un environnement informatique
Séance 3 : Ordre du jour Politique sur le contrôle interne En quoi les contrôles informatiques importent-ils? Contrôles informatiques à l appui du CIIF Stratégie descendante axée sur les risques Contrôles des applications Contrôles manuels liés aux TI Contrôles généraux informatiques Quelles leçons pouvons-nous tirer d autres projets sur le contrôle interne?
Politique sur le contrôle interne Les TI dans le contexte de la Politique sur le contrôle interne La responsabilité première en matière de présentation de rapports sur la conformité en vertu de la Politique sur le contrôle interne incombe à l administrateur général du ministère. Veiller à la mise en place, au maintien, à la surveillance et à l examen du système ministériel de contrôle interne qui permet d atténuer les risques dans les grandes catégories suivantes : TI l'efficacité et l efficience des programmes, des opérations et de la gestion des ressources, y compris la protection des actifs; TI la fiabilité des rapports financiers; et la conformité aux lois, règlements, politiques et pouvoirs délégués. Les technologies de l information (TI) sont cruciales à l efficacité et l efficience de la gestion des programmes, des opérations et des ressources, y compris la protection des actifs. Les TI permettent la fiabilité de l information financière.
Politique sur le contrôle interne Stratégie descendante axée sur les risques? Rapports Financial financiers reports Internal Contrôles Cont internes rols over sur l information Financial Report financière ing (CIIF) (ICFR) Applicat ion Operating Système d exploitation system Base Dat de abase données Net Réseau work
Politique sur le contrôle interne En quoi les contrôles informatiques importent-ils? Les contrôles informatiques protègent l intégrité des données et représentent une composante importante du contrôle informatique à l appui du CIIF d une organisation. Les contrôles informatiques ont trait à la sécurité (confidentialité, intégrité et disponibilité) des données, de même qu à la gestion globale des fonctions opérationnelles de l organisation. Les systèmes informatiques appuient le flux d informations à partir du déclenchement jusqu à l enregistrement et comptent parmi les éléments les plus importants et généralisés du système d information financière d une organisation. Les systèmes informatiques servent de plus en plus d outils visant à fournir un traitement et une communication efficients aux fins de la prise de décisions.
Politique sur le contrôle interne En quoi les contrôles informatiques importent-ils? Diminution de l étendue des tests et de la mesure dans laquelle on s appuie sur les contrôles au niveau des opérations Augmentation de l efficacité et de l efficience et diminution des coûts des contrôles internes en établissant un système informatique sain et en utilisant les systèmes au sein de l organisation Accroissement de l uniformité du fonctionnement du contrôle (c.-à-d. processus automatisés c. manuels) Amélioration de la sécurité (confidentialité, intégrité et disponibilité) de l information de la société Amélioration de la fiabilité des contrôles manuels liés aux TI
Business Risks Risques d entreprise Séparation des tâches Segregat ion of dut ies Contrôles au niveau de l entité Ent it y-level cont rols Politique sur le contrôle interne Vue d ensemble du contrôle informatique à l appui du CIIF Rapports Financial financiers reports Les contrôles informatiques sont classés dans trois principales catégories : Accès Access Contrôles Manual cont manuels rols Contrôles Controls Calculation Intégrité des and calculs data et des integrity données Aut Contrôles omat ed automatisés cont rols 1. Contrôles manuels liés aux TI Contrôles IT-dependent manuels manual liés aux contti rols Contrôles Applicat ion des applications cont rols 2. Contrôles des applications 3. Contrôles généraux informatiques Informat Base du contrôle ion syst em du système cont rol foundat informatique ion Contrôles IT general généraux cont informatiques rols Applications Operating Systèmes Bases de Databases d exploitation systems données
Leçons tirées
Leçons tirées Réduction de coûts possible Plus qu un exercice de conformité : Accroître les possibilités de l entreprise grâce à des contrôles efficaces et efficients Réagir plus rapidement aux changements de politiques et de réglementation Libérer des ressources et, ultimement, accroître la rentabilité Connaissances de la direction Tirer profit des connaissances de l organisation : Atteindre la réussite opérationnelle et stratégique continue Utiliser les contrôles informatiques à l appui de la gestion des connaissances globales Appuyer la sécurité (confidentialité, intégrité et disponibilité) de l information Ton donné par la direction Appui de la direction : Les contrôles au niveau de l entité sont cruciaux pour l évaluation des contrôles au niveau des opérations et des contrôles informatiques. L appui de la direction est essentiel à la réussite de la Politique sur le contrôle interne. La participation de l ensemble des parties intéressées des TI est cruciale à la réussite de la Politique sur le contrôle interne.
Leçons tirées Plus qu une question de TI La responsabilité des contrôles généraux informatiques n incombe PAS uniquement aux TI : La responsabilité de bon nombre d activités de contrôles informatiques clés est assurée par des représentants d entreprise. Par exemple : Approbation des droits d accès liés à une application Toutes les personnes intéressées des TI, faisant partie ou non du groupe des TI, devraient participer activement aux projets liés au CIIF. Uniformité du processus Efficience du projet optimisée grâce aux CGI uniformes : Assurer l uniformité des systèmes d une organisation (uniformité des activités propres à plusieurs systèmes au sein d une organisation; par exemple, le processus lié à la résiliation de l accès à un système lors du départ d un employé) Rationaliser les tests des contrôles généraux informatiques Maintenir l efficacité du fonctionnement des contrôles généraux informatiques de façon continue en réduisant les divergences entre les activités manuelles au sein de l organisation Sélection des contrôles informatiques Évaluer minutieusement les systèmes et les contrôles faisant partie de l étendue : Accorder la priorité aux applications de base ayant une influence directe sur l information financière Identifier les risques propres à cet objectif Éviter de délimiter une étendue trop vaste, ce qui pourrait nuire à l efficience
Leçons tirées Résiliation des accès Les départs devraient être opportuns. La résiliation des accès aux applications, bases de données, systèmes d exploitation et réseaux pose des défis, étant donné qu il ne s agit pas d une fonction assumée par un seul groupe au sein de l organisation (p. ex., RH, finances, TI). De même, lorsqu un employé occupe un nouveau poste au sein de l organisation, ses besoins en matière d accès changent aussi et doivent être modifiés en temps opportun. Séparation des tâches Environnements de développement et de production : Empêcher aux développeurs d accéder à l environnement de production pour les systèmes informatiques clés peut se révéler difficile. Cela est surtout le cas pour les petites organisations dont les ressources en TI sont restreintes. Des solutions pratiques permettront aux personnes clés de continuer à fournir des services (c.-à-.d. soutien TI), tout en conservant l intégrité des données, ce qui s avère crucial.
Planification d un audit fondé sur des contrôles
Planification d un audit fondé sur des contrôles L objectif premier consiste à s appuyer sur les contrôles internes. Recourir aux meilleures pratiques en matière de conservation et de classement des documents. L uniformité est essentielle. Réaliser une évaluation des risques internes et déterminer les aspects sur lesquels l audit sera axé. Identifier des événements importants ou inhabituels et prévoir les éléments probants et la documentation nécessaires pour étayer vos conclusions. Se concentrer sur les aspects pour lesquels un jugement ou une estimation important a été nécessaire pour tirer une conclusion.
Rapports et communications avec les comités d audit
Rapports et communications avec les comités d audit Comités ministériels de vérification Directive sur les comités ministériels de vérification : 4.1.1 - Le comité ministériel de vérification est un comité consultatif de l'administrateur général. Il donne objectivement des conseils et des recommandations à l'administrateur général sur le caractère suffisant, la qualité et les résultats de l'assurance fournie à l'égard de la pertinence et du fonctionnement des cadres et des processus de gestion des risques, de contrôle et de gouvernance du ministère
Rapports et communications avec les comités d audit Rôle du comité d audit KB Brady, contrôleur général de Nouvelle-Zélande : Les comités d audit doivent fournir un apport considérable pour améliorer la gouvernance, ainsi que le rendement et la reddition de comptes, des sociétés ouvertes. Ils peuvent jouer un rôle important dans l examen des politiques, processus, systèmes et contrôles d une organisation. Un comité d audit efficace témoigne de l engagement d une organisation envers une culture de transparence et d amélioration continue.
Rapports et communications avec les comités d audit Politique sur le contrôle interne Obligation fiduciaire visant à assurer qu un contrôle préalable approprié a été mis en œuvre dans le cadre de la Politique sur le contrôle interne. Vise à fournir un aperçu du processus de la Politique sur le contrôle interne à un niveau satisfaisant pour répondre aux obligations des comités. Propose des solutions pratiques et possibles aux questions identifiées. Établit des échéances et des stratégies pour remédier aux processus/contrôles existants et les améliorer. Il est possible que certains membres du comité connaissent d autres normes de contrôle interne; il faut tirer profit de ces connaissances!
Rapports et communications avec les comités d audit Commentaires généraux Comprendre les rôles et les responsabilités de votre comité ministériel de vérification (c.-à-d. sa charte). Prévoir les questions avant de rencontrer le comité et préparer des réponses. Fournir suffisamment de détails au comité pour l aider à assumer ses responsabilités fiduciaires, mais ne pas l encombrer avec des détails inutiles. Prendre les devants en assurant le suivi des commentaires/demandes formulés au cours des réunions précédentes.