La gestion des risques IT et l audit



Documents pareils
Stratégie IT : au cœur des enjeux de l entreprise

Opportunités s de mutualisation ITIL et ISO 27001

La relation DSI Utilisateur dans un contexte d infogérance

Le rôle de la DSI avec l audit Interne pour la maîtrise des risques

IODE Consulting I Intelligence on Demand Slide 1

La méthodologie ITIL : que faut-il retenir? réunion du 14 septembre 2004

ISO/IEC Comparatif entre la version 2013 et la version 2005

IBM Global Technology Services CONSEIL EN STRATÉGIE ET ARCHITECTURE INFORMATIQUE. La voie vers une plus grande effi cacité

Le MDM (Master Data Management) Pierre angulaire d'une bonne stratégie de management de l'information

Gestion du risque avec ISO/EIC17799

L offre IBM Software autour de la valeur métier

Quels nouveaux outils pour accompagner le développement de nos professions?

Référentiel d'évaluation du système de contrôle interne auprès des établissements de crédit

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Conditions de l'examen

Expériences dans les collectivités s publiques

Gouvernance et nouvelles règles d organisation

D Expert en Finance et Investissements

Les marchés Security La méthode The markets The approach

Marc Paulet-deodis pour APRIM 1

Accompagner la transformation vers l excellence opérationnelle. Olivier Gatti olivier.gatti@adis-innovation.com

SCC / QUANTUM Kickoff 2015 Data Protection Best Practices

NOM ENTREPRISE. Document : Plan Qualité Spécifique du Projet / Project Specific Quality Plan

Yphise optimise en Coût Valeur Risque l informatique d entreprise

ISO/CEI 27001:2005 ISMS -Information Security Management System

Le risque humain en entreprise Le cadre du renseignement

accompagner votre transformation IT vers le Cloud de confiance

Master Data Management Données, ROI et Méthodologie

La sécurité des solutions de partage Quelles solutions pour quels usages?

ITIL : Premiers Contacts

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

PLM 2.0 : Mise à niveau et introduction à l'offre version 6 de Dassault systèmes

L'impact économique total (Total Economic Impact ) de PayPal France

La Poste choisit l'erp Open Source Compiere

Peut-on gérer les Ressources

Communiqué de presse

REVITALIZING THE RAILWAYS IN AFRICA

Service management. Transforming the IT organization and driving it across the enterprise. Carlo Purassanta. Integrated Technology Services Executive

Présentation de ACE. ACE : Amélioration Continue de l Efficacité. Technologies & Processus / Information Technology & Processes.

Club ISO Juin 2009

APX et VCE, Modèle d industrialisation de l intégration et du déploiement. Olivier BERNARD, VCE

CobiT une expérience pratique

COMPUTING. Jeudi 23 juin CLOUD COMPUTING I PRESENTATION

Partner Business School

CS-DRMS. Enhancing Functionalities. Commonwealth Secretariat Debt Management Forum London, June De l Ouest. Centrale

Discours de Eric Lemieux Sommet Aéro Financement Palais des congrès, 4 décembre 2013

Les Routes de l innovation 2008 Toulouse Centre Pierre Baudis 18 novembre 2008

Copyright 2013, Oracle and/or its affiliates. All rights reserved.

Nouveaux enjeux, Risque en évolution : Comment transformer la gestion du risque? Patrick Schraut Senior Manager Professional Services

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

Coriolis - Mise en place d une culture Projet 17/01/ , rue de Londres Paris (9)

IT Roadmap Powered by Aris IT Architect William Poos, IT Gov Manager at NRB 08 Février 2011

Une vision stratégique du reporting réglementaire

Information Security Management Lifecycle of the supplier s relation

Système de Gestion Électronique de la Qualité Une étude de cas

SEMINAIRE DE L IFE. Un système de management environnemental basé sur ISO Presenté par Manoj Vaghjee

ESC Programme CORE COURSES (Master level) 2011/2012

Yphise accompagne les décideurs et managers dans leurs réflexions, décisions et actions

PRESENTATION. CRM Paris - 19/21 rue Hélène Boucher - ZA Chartres Est - Jardins d'entreprises GELLAINVILLE

The impacts of m-payment on financial services Novembre 2011

Graphes d attaques Une exemple d usage des graphes d attaques pour l évaluation dynamique des risques en Cyber Sécurité

Management des systèmes d information. Gouvernance des SI ESIEA Jour & 12 Octobre 2007

Quatre axes au service de la performance et des mutations Four lines serve the performance and changes

Gouvernance européenne sur les technologies énergétiques

Stratégie DataCenters Société Générale Enjeux, objectifs et rôle d un partenaire comme Data4

Lancement de la plateforme de private cloud IBM Connections en partenariat avec. 04 Novembre 2010

PILOTER SON ENTREPRISE LES INDICATEURS CLÉS DE PERFORMANCE D UNE ENTREPRISE

Copyright 2013, Oracle and/or its affiliates. All rights reserved.

L Excellence Achats et l Evaluation 360

La Business Intelligence pour les Institutions Financières. Jean-Michel JURBERT Resp Marketing Produit

THE OUAGADOUGOU RECOMMENDATIONS INTERNET INFRASTRUCTURE FOR AN AFRICAN DIGITAL ECONOMY 5-7 MARCH 2012

Macroscope et l'analyse d'affaires. Dave Couture Architecte principal Solutions Macroscope

! "#!"!!# ()*" + $ %!&!#&!

Provide supervision and mentorship, on an ongoing basis, to staff and student interns.

Modèle de centralisation des achats indirects au niveau mondial. Sandra Carlos & Bernd Gladden

Plan de Continuité des Activités Disneyland Resort Paris. Préparé par Karine Poirot/Paul Chatelot 26 mars 2009

Financial Facility for Remittances

Open Source, Mythes & Réalités La création de valeur grâce aux technologies Open Source

Formulaire d inscription (form also available in English) Mission commerciale en Floride. Coordonnées

Capacity Development Needs Diagnostics for Renewable Energy - CaDRE

La gestion des vulnérabilités par des simulations d'attaques

ETUDE SALARIALE SECTEUR FINANCIER 2015

<Insert Picture Here> Modernisation de la fonction Finance ERP, GRC & EPM

Les tendances, la sécurité, le BYOD et le ROI de la mobilité. July 12

Engineered for Business: Oracle Hardware for Oracle Database

la valorisation des externalités positives des services d eau potable et d assainissement

Comment la ville de Westmount a automatisé la préparation de ses réunions du conseil :

progena by PwC Une nouvelle approche du développement durable 31 mars 2011

Avertissement. Copyright 2014 Accenture All rights reserved. 2

Introduction à l ISO/IEC 17025:2005

L Audit selon la norme ISO27001

UE 13 Contrôle de gestion. Responsables : Henri Bouquin, Professeur Stéphanie Thiéry-Dubuisson, Maître de Conférences

We Generate. You Lead.

La démarche d intelligence économique

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

Manager, Construction and Engineering Procurement. Please apply through AECL website:

Tier 1 / Tier 2 relations: Are the roles changing?

Programme ESC 2. Les MAJEURES du semestre d automne Septembre à décembre

D ITIL à D ISO 20000, une démarche complémentaire

Lieberman Software Corporation

Transcription:

La gestion des risques IT et l audit 5èmé rencontre des experts auditeurs en sécurité de l information De l audit au management de la sécurité des systèmes d information 14 Février 2013

Qui sommes nous? Global Revenu de 21 M$ 140 pays 144,000 professionnels Conseil Audit Tax Transaction Amériques 6,000 professionnels EMEIA* 9,600 professionnels Asia Pacific 3,500 professionnel * EMEIA Europe, Middle East, India and Africa. La gestion des risques IT et l audit 2

Structure Advisory d Ernst & Young Le marché mondial que nous avons choisi Stratégie Offre de services EY Amélioration de la performance de l entreprise Les solutions que nous proposons sont à valeure ajoutée mesurable Intégrateurs de solutions Outsourcing Notre offre de service aide les clients à transformer et à maintenir la performance de leurs entreprises. Elle est focalisée sur la gestion des risques et l amélioration de la performance de l entreprise. Nous ne sommes ni de stratèges ni d intégrateurs de solutions. La gestion des risques IT et l audit 3

Agenda Section Les risques Business Les risques IT Le rôle de l audit dans la gestion des risques IT Focus sur l audit réglementaire de sécurité La gestion des risques IT et l audit 4

Les risques business La gestion des risques IT et l audit 5

Définition du risque Menace qu un événement, une action ou une absence d action affecte la capacité d une organisation à maximiser sa valeur et à atteindre ses objectifs. Le risque provient aussi bien des opportunités ratées que des menaces potentielles. norme AS/NZS 4360 sur le Risk Management (1999-2004) La raison d être de toute organisation est la création de valeur et l atteinte de ses objectifs L activité de l entreprise est impactée par les différents évènements, actions ou absences d actions qui entrainent un impact Positif : opportunité Négatif : risque Tout évènement ayant un impact négatif sur la création de valeur et empêchant l organisation d atteindre ses objectifs est un risque La gestion des risques IT et l audit 6

STRATEGIE ET OBJECTIFS VALEUR La gestion des risques : un juste équilibre Toute initiative comporte un risque, mais à vouloir éliminer tous les risques on peut rater des opportunités de générer de la valeur Il faut chercher un juste équilibre : processus de gestion des risques Identifier les risques Analyser les risques Vérifier les contrôles Contrôler les risques La gestion des risques IT et l audit 7

Les risques IT La gestion des risques IT et l audit 8

Pourquoi s intéresse-t-on aux risques IT? Toutes les entreprises dépendent fortement de leur SI Les entreprises évoluent. Les systèmes d information évoluent. Les risques évoluent également Source : Ernst & Young Global Information Security Survey 2012.. This item is available to download from www.ey.com. La gestion des risques IT et l audit 9

Pourquoi s intéresse-t-on aux risques IT? (cont.) Secteur bancaire Secteur Technologique Problèmes de qualité des crédits résiduels Réduction des profits Failles de gouvernance d entreprise et de contrôle interne Risques liés au respect des régulations et de la conformité Réputation Protection de la valeur des biens liquides incluant la gestion de la volatilité de change Gestion et sécurité de la propriété incluant l optimisation de la R&D Chocs géopolitiques macroéconomiques faible reprise / récession à double creux Capital humain Changements organisationnels Risques IT Expansion Evaluation et restructuration du modèle business Acquisition et intégration Convergence Technologique Capacité de développemen t des produits Attraction et gestion des talents Efficience et efficacité des opérations et des centres de service Sécurité des données Source: The Ernst & Young Business Risk Report 2010. This item is available to download from www.ey.com. La gestion des risques IT et l audit 10

Gestion des risques IT Les risques IT étant intimement liés aux risques business, la mise en place d une approche globale de gestion des risques au niveau de l entreprise est primordiale Les risques IT doivent être traités avec la même démarche que les autres risques (risques produits, risques sociaux, risques financiers) Ils doivent être analysés et gérés sur la base d une collaboration étroite avec les directions métiers de l entreprise Chaque structure de l entreprise a un rôle a jouer dans la gestion des risques IT La gestion des risques IT et l audit 11

Le rôle de l audit dans la gestion des risques IT La gestion des risques IT et l audit 12

Quel est le rôle de l audit dans la gestion des risques IT? L audit, comme toute activité de l entreprise, doit aider l entreprise à atteindre ses objectifs Tout évènement ayant un impact négatif sur la création de valeur et empêchant l organisation d atteindre ses objectifs est un risque L audit doit fournir une opinion indépendante et objective au management de l entreprise lui permettant de s assurer que ses risques sont gérés à un niveau acceptable Il est primordial d aligner l audit : Aux objectifs et à la stratégie de l entreprise Aux risques métier et IT pouvant impacter l atteinte de ces objectifs Approche d audit basée sur les risque La gestion des risques IT et l audit 13

Link business objectives to risks Evaluate the significance of the risk to business objectives Link risks to business processes Evaluate management and control activities Identify applications and IT infrastructure supporting business processes Partir des objectifs et des stratégies business.. Business objectives and strategies Risk analysis Audit scope Business Objectives and Strategies Inherent Risks Business Processes Applications Revenue and Market Share Reputation and Brand Expand product offering Expand into new markets Deliver superior customer service Enhance quality product Maximize return on capital Economic conditions Raw material price volatility Interest rate volatility International expansion New product development Environmental regulation IT infrastructure capacity Key supplier dependence New Product Developmen t Gain New Business Procuremen t Asset and Capital Management Earnings and Operating Margins Maximize benefits from technology investments Optimize operating efficiency Achieve cost optimization Recruitment and retention Customer migration Regulatory compliance Health/pension costs Joint venture partnerships Business continuity Intellectual property Production Distribution Retain top performers Customer Support La gestion des risques IT et l audit 14

Link objectives to risks Evaluate the significance of the risk to IT objectives Link risks to IT processes Evaluate management and control activities et des objectifs et stratégies IT Business objectives and strategies Risk analysis Audit scope IT objectives and strategies Inherent key IT risks IT processes IT governance and strategy Guidance and oversight Strategic planning IT process duplication and inefficiencies Emerging technologies Infrastructure and asset management Change management IT development and design IT operations Deliver superior Systems and applications Technology enablement to achieve business objectives Superior service support and delivery Continuity of services Optimize operating efficiency Technology direction System disruptions Contracts/3rd party vendors outsourcing Records retention Regulatory compliance People management Global sourcing Business continuity Asset and portfolio management Service level management Production support Security and data management Problem and incident management Information security and protection Protection of information Effectively manage security risk IT infrastructure capacity IT security/privacy Financial reporting Project/program management Customer support La gestion des risques IT et l audit 15

pour aboutir un plan d audit aligné à la stratégie L analyse des risques métier permet de faire correspondre les processus métier aux applications et infrastructures IT qui les supportent L analyse des risques IT permet d identifier les processus IT prioritaires Le périmètre d audit est focalisé sur les zones ou l IT est le plus important pour le business Risk Assessment IT Audit Plan System Implementation Audits Application Audits IT Process Audits IT Infrastructure Audits (Operating Systems, Systems Software) Information Security Audits Other (e.g., BCP, Computer Forensics, External Audit Support)` La gestion des risques IT et l audit 16

Audit Scope Aligned To Risk Level Risk Adjusted Approach & Resourcing et permettant une meilleure allocation des ressources Optimiser les ressources en priorisant les missions d audit en fonction des risques, Linkage of Risk-Process-Auditable Unit Risk Adjusted Resource Model Risk Adjusted Audit Approach End-to-End Process Audits Risk Risk Risk HIGH Full Scope Location Audits Integrated Audits (IT) Special Projects Mega/Major process Audit unit Audit unit Audit unit Process / Control Process / Control Process / Control MODERATE LOW Focused-Scoped Audits Process Reviews Data Analytics Surprise Audits Control Self Assessment Remote Analysis / Testing Automated Monitoring Training and Awareness La gestion des risques IT et l audit 17

Focus sur l audit réglementaire de sécurité La gestion des risques IT et l audit 18

Focus sur l audit réglementaire de sécurité Audit réglementaire Etude de l existant Gap assessment ISO 27002 (Audit organisationnel) Audit technique détaillé Analyse des risques Plan d action Analyse ou évaluation des risques? La mise en place des systèmes de gestion des risques d entreprise permettront d améliorer les apports de l audit réglementaire de sécurité La gestion des risques IT et l audit 19

Conclusion La gestion des risques IT et l audit 20

Conclusion L adoption d une approche d audit basée sur les risques Permet de garantir l efficacité et l efficience des opérations d audit en mettant l accent sur les zones présentant des risques plus élevés Permet de réduire les risques business et de contribuer ainsi à atteindre les stratégies et les objectifs business de l entreprise La mise en place d un système de management des risques au niveau entreprise facilite la cohérence des opérations d audit et la pérennité des résultats dans le temps La gestion des risques IT et l audit 21

Merci. Sami Zaoui Ernst & Young Bureau de Tunis Partner E-mail : sami.zaoui@tn.ey.com Tél: +216 70 72 85 28 Fax : +216 70 74 90 45 Abdelmajid Chemli Ernst & Young Bureau de Tunis IT Risk & Assurance Senior E-mail : abdelmajid.chemli@tn.ey.com Tél: +216 70 72 85 28 Fax : +216 70 74 90 45

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back