La gestion des risques IT et l audit 5èmé rencontre des experts auditeurs en sécurité de l information De l audit au management de la sécurité des systèmes d information 14 Février 2013
Qui sommes nous? Global Revenu de 21 M$ 140 pays 144,000 professionnels Conseil Audit Tax Transaction Amériques 6,000 professionnels EMEIA* 9,600 professionnels Asia Pacific 3,500 professionnel * EMEIA Europe, Middle East, India and Africa. La gestion des risques IT et l audit 2
Structure Advisory d Ernst & Young Le marché mondial que nous avons choisi Stratégie Offre de services EY Amélioration de la performance de l entreprise Les solutions que nous proposons sont à valeure ajoutée mesurable Intégrateurs de solutions Outsourcing Notre offre de service aide les clients à transformer et à maintenir la performance de leurs entreprises. Elle est focalisée sur la gestion des risques et l amélioration de la performance de l entreprise. Nous ne sommes ni de stratèges ni d intégrateurs de solutions. La gestion des risques IT et l audit 3
Agenda Section Les risques Business Les risques IT Le rôle de l audit dans la gestion des risques IT Focus sur l audit réglementaire de sécurité La gestion des risques IT et l audit 4
Les risques business La gestion des risques IT et l audit 5
Définition du risque Menace qu un événement, une action ou une absence d action affecte la capacité d une organisation à maximiser sa valeur et à atteindre ses objectifs. Le risque provient aussi bien des opportunités ratées que des menaces potentielles. norme AS/NZS 4360 sur le Risk Management (1999-2004) La raison d être de toute organisation est la création de valeur et l atteinte de ses objectifs L activité de l entreprise est impactée par les différents évènements, actions ou absences d actions qui entrainent un impact Positif : opportunité Négatif : risque Tout évènement ayant un impact négatif sur la création de valeur et empêchant l organisation d atteindre ses objectifs est un risque La gestion des risques IT et l audit 6
STRATEGIE ET OBJECTIFS VALEUR La gestion des risques : un juste équilibre Toute initiative comporte un risque, mais à vouloir éliminer tous les risques on peut rater des opportunités de générer de la valeur Il faut chercher un juste équilibre : processus de gestion des risques Identifier les risques Analyser les risques Vérifier les contrôles Contrôler les risques La gestion des risques IT et l audit 7
Les risques IT La gestion des risques IT et l audit 8
Pourquoi s intéresse-t-on aux risques IT? Toutes les entreprises dépendent fortement de leur SI Les entreprises évoluent. Les systèmes d information évoluent. Les risques évoluent également Source : Ernst & Young Global Information Security Survey 2012.. This item is available to download from www.ey.com. La gestion des risques IT et l audit 9
Pourquoi s intéresse-t-on aux risques IT? (cont.) Secteur bancaire Secteur Technologique Problèmes de qualité des crédits résiduels Réduction des profits Failles de gouvernance d entreprise et de contrôle interne Risques liés au respect des régulations et de la conformité Réputation Protection de la valeur des biens liquides incluant la gestion de la volatilité de change Gestion et sécurité de la propriété incluant l optimisation de la R&D Chocs géopolitiques macroéconomiques faible reprise / récession à double creux Capital humain Changements organisationnels Risques IT Expansion Evaluation et restructuration du modèle business Acquisition et intégration Convergence Technologique Capacité de développemen t des produits Attraction et gestion des talents Efficience et efficacité des opérations et des centres de service Sécurité des données Source: The Ernst & Young Business Risk Report 2010. This item is available to download from www.ey.com. La gestion des risques IT et l audit 10
Gestion des risques IT Les risques IT étant intimement liés aux risques business, la mise en place d une approche globale de gestion des risques au niveau de l entreprise est primordiale Les risques IT doivent être traités avec la même démarche que les autres risques (risques produits, risques sociaux, risques financiers) Ils doivent être analysés et gérés sur la base d une collaboration étroite avec les directions métiers de l entreprise Chaque structure de l entreprise a un rôle a jouer dans la gestion des risques IT La gestion des risques IT et l audit 11
Le rôle de l audit dans la gestion des risques IT La gestion des risques IT et l audit 12
Quel est le rôle de l audit dans la gestion des risques IT? L audit, comme toute activité de l entreprise, doit aider l entreprise à atteindre ses objectifs Tout évènement ayant un impact négatif sur la création de valeur et empêchant l organisation d atteindre ses objectifs est un risque L audit doit fournir une opinion indépendante et objective au management de l entreprise lui permettant de s assurer que ses risques sont gérés à un niveau acceptable Il est primordial d aligner l audit : Aux objectifs et à la stratégie de l entreprise Aux risques métier et IT pouvant impacter l atteinte de ces objectifs Approche d audit basée sur les risque La gestion des risques IT et l audit 13
Link business objectives to risks Evaluate the significance of the risk to business objectives Link risks to business processes Evaluate management and control activities Identify applications and IT infrastructure supporting business processes Partir des objectifs et des stratégies business.. Business objectives and strategies Risk analysis Audit scope Business Objectives and Strategies Inherent Risks Business Processes Applications Revenue and Market Share Reputation and Brand Expand product offering Expand into new markets Deliver superior customer service Enhance quality product Maximize return on capital Economic conditions Raw material price volatility Interest rate volatility International expansion New product development Environmental regulation IT infrastructure capacity Key supplier dependence New Product Developmen t Gain New Business Procuremen t Asset and Capital Management Earnings and Operating Margins Maximize benefits from technology investments Optimize operating efficiency Achieve cost optimization Recruitment and retention Customer migration Regulatory compliance Health/pension costs Joint venture partnerships Business continuity Intellectual property Production Distribution Retain top performers Customer Support La gestion des risques IT et l audit 14
Link objectives to risks Evaluate the significance of the risk to IT objectives Link risks to IT processes Evaluate management and control activities et des objectifs et stratégies IT Business objectives and strategies Risk analysis Audit scope IT objectives and strategies Inherent key IT risks IT processes IT governance and strategy Guidance and oversight Strategic planning IT process duplication and inefficiencies Emerging technologies Infrastructure and asset management Change management IT development and design IT operations Deliver superior Systems and applications Technology enablement to achieve business objectives Superior service support and delivery Continuity of services Optimize operating efficiency Technology direction System disruptions Contracts/3rd party vendors outsourcing Records retention Regulatory compliance People management Global sourcing Business continuity Asset and portfolio management Service level management Production support Security and data management Problem and incident management Information security and protection Protection of information Effectively manage security risk IT infrastructure capacity IT security/privacy Financial reporting Project/program management Customer support La gestion des risques IT et l audit 15
pour aboutir un plan d audit aligné à la stratégie L analyse des risques métier permet de faire correspondre les processus métier aux applications et infrastructures IT qui les supportent L analyse des risques IT permet d identifier les processus IT prioritaires Le périmètre d audit est focalisé sur les zones ou l IT est le plus important pour le business Risk Assessment IT Audit Plan System Implementation Audits Application Audits IT Process Audits IT Infrastructure Audits (Operating Systems, Systems Software) Information Security Audits Other (e.g., BCP, Computer Forensics, External Audit Support)` La gestion des risques IT et l audit 16
Audit Scope Aligned To Risk Level Risk Adjusted Approach & Resourcing et permettant une meilleure allocation des ressources Optimiser les ressources en priorisant les missions d audit en fonction des risques, Linkage of Risk-Process-Auditable Unit Risk Adjusted Resource Model Risk Adjusted Audit Approach End-to-End Process Audits Risk Risk Risk HIGH Full Scope Location Audits Integrated Audits (IT) Special Projects Mega/Major process Audit unit Audit unit Audit unit Process / Control Process / Control Process / Control MODERATE LOW Focused-Scoped Audits Process Reviews Data Analytics Surprise Audits Control Self Assessment Remote Analysis / Testing Automated Monitoring Training and Awareness La gestion des risques IT et l audit 17
Focus sur l audit réglementaire de sécurité La gestion des risques IT et l audit 18
Focus sur l audit réglementaire de sécurité Audit réglementaire Etude de l existant Gap assessment ISO 27002 (Audit organisationnel) Audit technique détaillé Analyse des risques Plan d action Analyse ou évaluation des risques? La mise en place des systèmes de gestion des risques d entreprise permettront d améliorer les apports de l audit réglementaire de sécurité La gestion des risques IT et l audit 19
Conclusion La gestion des risques IT et l audit 20
Conclusion L adoption d une approche d audit basée sur les risques Permet de garantir l efficacité et l efficience des opérations d audit en mettant l accent sur les zones présentant des risques plus élevés Permet de réduire les risques business et de contribuer ainsi à atteindre les stratégies et les objectifs business de l entreprise La mise en place d un système de management des risques au niveau entreprise facilite la cohérence des opérations d audit et la pérennité des résultats dans le temps La gestion des risques IT et l audit 21
Merci. Sami Zaoui Ernst & Young Bureau de Tunis Partner E-mail : sami.zaoui@tn.ey.com Tél: +216 70 72 85 28 Fax : +216 70 74 90 45 Abdelmajid Chemli Ernst & Young Bureau de Tunis IT Risk & Assurance Senior E-mail : abdelmajid.chemli@tn.ey.com Tél: +216 70 72 85 28 Fax : +216 70 74 90 45