SlideShare una empresa de Scribd logo

Optimisation de l’audit des contrôles TI

ISACA Chapitre de Québec
ISACA Chapitre de Québec
Tecnología
1 de 65
OPTIMISATION DE L’AUDIT DES CONTRÔLES TI CARL LALIBERTÉ CPA,CA, CIA, CISA, CISSP DIRECTEUR PRINCIPAL AUDIT INTERNE, TI VICE-PRÉSIDENCE AUDIT INTERNE, MOUVEMENT DESJARDINS 22 JANVIER 2014 http://www.isaca-quebec.ca 1
DES QUESTIONS CLÉS À SE POSER Quel niveau de contrôle peut être considéré comme suffisant pour notre organisation ? La réponse sous forme d’une autre question : Quel est le niveau de risque résiduel jugé acceptable par les administrateurs, la direction et les gestionnaires de notre organisation ? 2
DES ÉLÉMENTS IMPORTANTS À CONSIDÉRER À DES FINS D’OPTIMISATION DE L’AUDIT • Appétit pour le risque des administrateurs, de la direction et des gestionnaires • Connaissance des risques majeurs de l’organisation • Réalité d’affaires et situation budgétaire de l’organisation • Diversité des processus et activités d’affaires et TI • Situation économique et budgétaire de l’organisation • Connaissance des informations sensibles et applications critiques 3
DES ÉLÉMENTS IMPORTANTS À CONSIDÉRER À DES FINS D’OPTIMISATION DE L’AUDIT (SUITE) • Documentation de la conception, mise en place et application efficace des contrôles par les gestionnaires • Connaissance des risques associés aux projets de développement majeurs en cours ou à venir • Complexité technologique de l’organisation • Vigie à l’égard des tendances et besoins émergents en TI • Analyse judicieuse des risques TI et sélection des mandats prioritaires à réaliser par l’audit interne TI • Adéquation des ressources pour réaliser les mandats 4
CONTENU SOMMAIRE DE LA PRÉSENTATION Partie 1 :  Groupe Technologies Desjardins (statistiques et vidéos)  Ressources affectées à la planification et réalisation des mandats en audit interne TI  Univers d’audit des TI (domaines et processus couverts)  Analyse de risques et planification annuelle des mandats  Applications informatiques (CGTI et contrôles applicatifs)  Mandats réalisés en mode suivi de projets 5
GROUPE TECHNOLOGIES DESJARDINS (GTD) Informations générales et statistiques sur GTD : • L’entité légale qu’est GTD a été créée en 2010 et a commencé ses opérations le 1er janvier 2011. • GTD offre, en collaboration avec des impartiteurs majeurs, des services en TI aux autres entités du Mouvement (Fédération, DSF, DGAG, CCD, VMD, etc.). • GTD doit gérer des activités informatiques très diversifiées et des plates-formes multi-générationnelles, au niveau de l’infrastructure, des applications et des données. 6
GROUPE TECHNOLOGIES DESJARDINS (GTD) Informations générales et statistiques (suite) : • • • • • • • Budget annuel de 900 M$ 2 400 employés, plus de 1 600 applications 52 000 postes de travail et plus de 6 500 serveurs 2 600 guichets automatiques, 66 000 TPV 387 millions de transactions aux GA par année 43 000 téléphones et 5 000 km de fibre optique 375 000 jp d’efforts de développement par année, 450 M$ • Présentation d’un court vidéo sur GTD 7
ÉVOLUTION DU CONTEXTE DES TI ET DE GTD 2009 – 2012 «Jeter les bases»  Priorités • • • Optimisation de l’exploitation Rehaussement de la sécurité TI Création de Groupe Technologies Desjardins (GTD)  Nature des projets • Spécifiques aux secteurs d’affaires et fonctions de soutien Mouvement 2013 – 2016 «Maximiser la valeur»  Priorités • • Modernisation des infrastructures technologiques Évolution du développement et de la maintenance applicative  Nature des projets • • Spécifiques aux secteurs d’affaires et fonctions de soutien Mouvement Transversaux à l’échelle du Mouvement 8
RESSOURCES AFFECTÉES À LA PLANIFICATION ET RÉALISATION DES MANDATS EN AI TI La DPAITI compte au total 10 ressources professionnelles disposant : • de formations et titres professionnels diversifiés • d’une connaissance étendue de GTD et du Mouvement • de compétences variées et complémentaires en TI • de connaissances avancées en audit interne • de procédures conformes aux normes professionnelles • d’outils informatisés utilisés à des fins multiples 9
UNIVERS D’AUDIT DES TI Notre univers d’audit des TI se compose essentiellement de : • 46 macro-processus composés de sous processus et d’activités et répartis dans 5 grands domaines • Plus de 1 600 applications supportant un grand nombre de besoins d’affaires différents • Une multitude de projets de développement informatique aux niveaux TI et Affaires représentant plus de 450 M$ sur base annuelle 10
UNIVERS D’AUDIT DES TI Nous avons divisé les activités TI en 46 macro-processus répartis dans 5 domaines : Gouvernance :        Planification stratégique TI Gestion des risques Gestion des projets Gestion des investissements et de la valeur des TI Mesure de la performance et maturité des processus Gestion de la conformité et des contrôles TI Gestion des ressources humaines 11
UNIVERS D’AUDIT DES TI (SUITE) Architecture :     Architecture d’infrastructure Architecture des données Architecture des solutions d’affaires Architecture d’entreprise et orientations technologiques Acquisition, développement et support des systèmes :        Identification des besoins et estimations ressources Développement des solutions d’affaires Acquisition et gestion des solutions d’affaires Acquisition et gestion des systèmes impartis Tests et certification des systèmes Gestion de changements Gestion des librairies et codes sources 12
UNIVERS D’AUDIT DES TI (SUITE) Exploitation et Infrastructure :            Gestion des mise en production et déploiement des solutions d’affaires Exploitation et développement des serveurs Exploitation et développement des réseaux (incluant VoIP) Gestion des systèmes d’exploitation Gestion des postes de travail et des périphériques Gestion des applications bureautiques Exploitation des bases de données Exploitation des unités de stockage Gestion des incidents et des problèmes Gestion des centres d’assistance technologique Gestion de la performance et de la capacité des systèmes 13
UNIVERS D’AUDIT DES TI (SUITE) Exploitation et Infrastructure (suite) :      Gestion des niveaux de services Processus de sauvegarde et archivage des données Gestion de l’impartition et des partenariats d’affaires Gestion des configurations Gestion des licences Sécurité et Contrôles TI :      Encadrement de la sécurité de l’information Gestion des identités et des accès logiques aux données et applications Gestion des accès logiques aux environnements (Windows, UNIX…) Sécurité des réseaux (inclus le réseau VoIP) Gestion des vulnérabilités et correctifs de sécurité 14
UNIVERS D’AUDIT DES TI (SUITE) Sécurité et Contrôles TI (suite) :        Gestion des incidents de sécurité Sécurité physique de l’infrastructure TI Sécurité des applications E-commerce Gestion des clés cryptographiques Sécurité des bases de données Plan de relèves des technologiques de l’Information Surveillance et évaluation des contrôles TI 15
ANALYSE DE RISQUES ET PLANIFICATION ANNUELLE Stratégie adoptée :  Lors de l’exercice de planification annuelle, les risques inhérents et résiduels de chaque processus sont évalués selon des critères qualitatifs et quantitatifs (top down, bottom-up).  Les résultats de cette analyse permettent d’identifier les processus dont les sous-processus ou activités plus à risque (élevés ou modérés-élevés) seront audités dans le cadre de nos mandats en fonction de notre capacité de réalisation.  Il importe de procéder à une évaluation objective des risques inhérents et résiduels et de bien documenter la démarche de sélection de nos mandats prioritaires. 16
APPLICATIONS INFORMATIQUES Contexte  Plus de 1 600 applications informatiques au Mouvement Desjardins  Les propriétaires de ces applications sont généralement dans les secteurs d’affaires Applications auditées  Applications identifiées pour les besoins relatifs à Bâle  Applications identifiées pour les besoins de la vérification et de l’inspection en mode centralisé (réseau des caisses)  Applications identifiées par les 3 autres DP de la VPAIMD 17
APPLICATIONS INFORMATIQUES (SUITE) Approche :  Contrôles généraux TI : Contrôles communs à un ensemble d’applications. Ils ont pour objectif de veiller au développement et à la mise en œuvre appropriés des applications, à l’intégrité des fichiers de programmes et de données ainsi que des opérations informatiques. Exemples :       Sauvegardes Gestion des changements Accès logiques aux infrastructures et aux données Sécurité physique des centres de traitement Opérations informatiques Gestion des vulnérabilités Pour l’année 2013, plusieurs CGTI sont couverts via une approche transversale 18
APPLICATIONS INFORMATIQUES (SUITE) Approche d’audit des CGTI préconisée pour 2013 et 2014 Objectifs Audit des CGTI  Couvrir les besoins d’audit des services et processus TI gérés par le groupe GTD de Desjardins à travers un mandat unique.  Offrir par le biais d’un rapport unique, une opinion indépendante et objective sur l’état des contrôles généraux TI (CGTI) appliqués à l’infrastructure TI exploitée par le groupe GTD de Desjardins. Mouvement Desjardins CGTI Impartis 3416 IBM & Bell (Réalisé par l’Audit externe – PwC & Deloitte) CGTI non impartis Audit des processus et services TI (Réalisé par l’Audit Interne du Mouvement Desjardins) 19
APPLICATIONS INFORMATIQUES (SUITE) Approche d’audit des CGTI préconisée pour 2013 et 2014 Avantages  Réduction du nombre de rapports d’audit TI  Optimisation des interactions avec les différents secteurs TI de Desjardins  Simplification de la prise en charge des recommandations.  Amélioration de la reddition auprès des audités et de la CVI. 20
APPLICATIONS INFORMATIQUES (SUITE) 21
APPLICATIONS INFORMATIQUES (SUITE) Approche d’audit des CGTI préconisée pour 2013 et 2014 Fréquence des activités : couverture en 2 phases des 12 mois de l’année. Phase 1 • Couverture des 5 premiers mois de l’année: janvier - mai Phase 2 • Couverture des mois de juin – décembre 22
APPLICATIONS INFORMATIQUES (SUITE)  Contrôles applicatifs : Contrôles spécifiques à chaque application. Leur objectif est de veiller à l’exhaustivité et à l’exactitude des données enregistrées ainsi qu’à la validité de chaque entrée enregistrée après traitement par le programme. Types de contrôles applicatifs:  Les contrôles des données en entrée (ex. vraisemblance de la donnée saisie)  Les contrôles sur le traitement (ex. considération des plafonds de crédit des clients dans le traitement des bons de commande)  Les contrôles des données en sortie (ex. comparaison des résultats escomptés aux résultats en sortie)  Les contrôles d’intégrité (ex. droits d’accès aux fichiers maîtres)  La piste de contrôle de gestion (ex. pistes d’audit) Lors des audits TI, les contrôles applicatifs sont audités à haut niveau. Note: La fiabilité des contrôles applicatifs repose sur la fiabilité des contrôles généraux. 23
APPLICATIONS INFORMATIQUES (SUITE) Extrait du GTAG #8 de l’IIA portant sur l’Audit des contrôles applicatifs: «Chaque auditeur interne doit connaître les risques et les contrôles liés à l’informatique et être à même de déterminer si les contrôles applicatifs mis en œuvre sont conçus et fonctionnent correctement pour gérer les risques financiers, opérationnels et liés au respect de la réglementation. » 24
MANDATS EN MODE SUIVIS DE PROJETS  Lors de l’exercice de planification annuelle de nos mandats, les projets TI d’envergure sont identifiés et priorisés.  La DPAITI peut aussi collaborer avec les 3 autres DP de la VPAIMD au suivi de projets « Affaires » dotés d’un volet TI significatif. 25
MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Qu’est-ce qu’un projet et la gestion de projet ?  Un projet consiste essentiellement à la mise en commun, pendant une période de temps prédéterminée, des ressources humaines, financières, technologiques et matérielles en vue de réaliser un objectif commun, de répondre à des besoins d’affaires spécifiques et de réaliser des bénéfices escomptés.  La gestion de projet, quant à elle, est l’ensemble des mécanismes de coordination, planification, réalisation, suivi et reddition de compte requis pour permettre l’atteinte de la finalité du projet. 26
MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Principales méthodologies :  PMBOK 4e et 5e édition du Project Management Institute (PMI)  Norme ISO 21 500 (automne 2012)  Prince 2 (Projects in Controlled Environments)  IPMA (International Project Management Association)  CMMI du Software Engineering Institute (SEI) 27
MANDATS EN MODE SUIVIS DE PROJETS (SUITE) PMBOK 5e édition : (publié en décembre 2012)  Comprend 10 domaines de connaissance : • • • • • • • • • • Intégration (Intégration – 6 processus) Portée (Scope – 6 processus) Temps-échéancier (Time – 7 processus) Coût (Cost – 4 processus) Qualité (Quality – 3 processus) Ressources humaines (Human ressources – 4 processus) Communications (Communications – 3 processus) Risque (Risk – 6 processus) Contrats externes (Procurement – 4 processus) Intéressés (Stakeholder – 4 processus) 28
MANDATS EN MODE SUIVIS DE PROJETS (SUITE) PMBOK 5e édition : (publié en décembre 2012)  Comprend 15 groupe de processus et 47 processus au total : • • • • • Initiation -conception (Initiating – 2 processus) Planification (Planning – 24 processus) Exécution (Executing – 8 processus) Suivi et contrôle (Monitoring and controlling – 11 processus) Finalisation (Closing – 2 processus) 29
MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Facteurs clés du succès :  Définition claire de l’objectif et de la portée du projet, de la cible commune à atteindre  Soutien de la direction et structure de gouvernance efficace  Compréhension des rôles et responsabilités des divers intervenants  Bonne analyse des risques au départ et suivi constant de leur évolution  Ressources humaines compétentes aptes à assumer leurs responsabilités (surtout pour le chargé de projet)  Ressources financières, matérielles et technologiques adéquates  Budget établi avec prudence et réalisme et suivi avec rigueur  Maîtrise de la complexité du projet par le chargé de projet et son équipe 30
MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Facteurs clés du succès (suite) :          Gestion documentaire complète et bien structurée Implication des représentants des secteurs d’affaires du début à la fin Stratégie d’essais adéquate par rapport au projet et à ses enjeux Prise en compte des enjeux en sécurité de l’information (OWASP) Gestion des demandes de changement et des points en suspend Communication efficace entre les ressources humaines impliquées Suivi de gestion rigoureux basé sur des indicateurs de gestion pertinents Reddition de comptes régulière, fiable et transparente Réalisation d’un bilan de projet à des fins d’amélioration continue 31
MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Principales lacunes observées :  Analyse de risques incomplète et/ou mal suivie en cours de projet  Dépassement des coûts (budget mal évalué au départ et/ou mauvaise gestion durant le projet)  Non respect de l’échéancier prévu pour les livraisons et le projet  Qualité des livrables inadéquate et gestion du projet déficiente  Non atteinte de l’ensemble des besoins d’affaires et bénéfices escomptés identifiés au départ  Suivi de gestion non suffisamment rigoureux  Mauvaise gouvernance et reddition de compte incomplète ou inadéquate  Manque de compétences du chargé de projet et de son équipe 32
MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Approches possibles : mode conseil vs audit  Deux possibilités d’intervention pour l’auditeur interne par rapport à la gestion du projet et à son suivi : Mode Conseil : (approche comportant divers enjeux) • • • • Jouer un rôle aviseur auprès des intervenants du projet au niveau des livrables et de l’identification des contrôles applicatifs Attention à l’indépendance : qui ne dit rien consent Confusion quant au rôle de l’auditeur interne en mode conseil : les gens ont tendance à demander une forme d’approbation de l’auditeur interne notamment à l’égard des livrables produits Difficulté en matière de reddition de compte à la haute direction et au comité d’audit; les responsables du projet recherchent davantage un rapport conseil avec des pistes d’amélioration proposées 33
MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Mode Audit : (approche comportant divers enjeux) • • • • • Rôle de l’auditeur interne plus clair pour tous les intervenants dans le projet, la haute direction et le comité d’audit L’indépendance de l’auditeur interne est préservée Redditions de comptes trimestrielles sur les enjeux et les préoccupations soulevées par l’auditeur interne et leur prise en charge ou non par les responsables du projet Pas de formulation de recommandations: on établit plutôt d’un rapport d’étape à l’autre un suivi évolutif et comparatif des enjeux et de nos préoccupations et on réagit via nos constatations s’il y a un désaccord avec l’équipe de projet quant à la prise en charge de certains risques Production d’un dernier rapport d’étape à la fin du projet qui résume nos interventions dans le suivi du projet (bilan) 34
APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE • Lors de la phase de planification de chaque mandat, un questionnaire doit être complété par les auditeurs internes dans le but d’évaluer l’environnement de contrôle informatique • Ce questionnaire est un outil fort utile, spécialement pour les auditeurs internes qui ne possèdent pas de connaissances étendues en TI et il assure une plus grande uniformité et efficience dans la réalisation de nos divers mandats • Le contenu de ce questionnaire est présenté de façon sommaire dans les prochaines pages 35
APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE Éléments à prendre en considération lors de l’évaluation :     Applications utilisées par l'équipe pour réaliser ce processus et niveau de dépendance au système. Type de données manipulées par ces applications (ex. : données financières alimentant les états financiers, données personnelles des membres ou clients, informations de gestion). Criticité de ces données et des applications elles-mêmes. Volume des opérations effectuées avec les applications : • Nombre de transactions/opérations, • Montant des transactions, • Nombre et type d’utilisateurs : membres, clients, employés, fournisseurs, etc. 36
APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE (SUITE)    • • •  Niveau de satisfaction global par rapport à ces applications. Niveau de satisfaction par rapport aux besoins d’affaires. Fiabilité des applications : Incidents majeurs récents, Pannes par le passé, Anomalies : pertes de données, fermeture intempestive, etc. Performance de ces applications (temps de réponse acceptable ou pas).  Impact sur les activités d’une interruption des applications (majeur, moyen, faible; en termes financiers, commerciaux, réglementaires ou autres).  Niveaux de service établis avec les équipes TI. 37
APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE (SUITE)  Relève nécessaire.  Âge de ces applications.  Changements importants survenus sur ces applications au cours des dernières années.  Responsable du développement et de la maintenance de ces applications (TI, secteur d'affaires, fournisseur externe).  Importance du budget alloué à la maintenance de ces applications.  Accompagnement disponible sur le plan de la sécurité informatique.  Incidents de sécurité liés à ces applications. 38
APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE (SUITE)  Gestion des accès à ces applications : • Gérée par le secteur audité ou les TI, • Processus administratif formel, • Profils types correspondant aux différents postes dans votre équipe ou clonage des accès d’un employé déjà en poste, • Révision des accès à une fréquence déterminée.  Contrôles opérationnels permettant de compenser d’éventuelles faiblesses des applications.  Préoccupations concernant ces applications. 39
CONTENU SOMMAIRE DE LA PRÉSENTATION Partie 2:  Schéma sur les 3 lignes de défenses  Responsabilités: • des gestionnaires (1re ligne) • des fonctions de contrôle (2e ligne) • de l’audit interne (3e ligne)  Complémentarité des interventions des diverses parties  Conclusion de la présentation et période de discussion 40
LES 3 LIGNES DE DÉFENSE Adapted from ECIIA/FERMA Guidance on the 8th EU Company Law Directive, article 41 41
1RE LIGNE DE DÉFENSE : LA GESTION • Les gestionnaires TI sont le premiers responsables de la conception, mise en place et application efficace des contrôles liés à la réalisation des activités dont ils sont imputables (niveaux stratégique, tactique et opérationnel) • Ces contrôles doivent être documentés afin d’assurer une continuité de leur application en cas de modification à la structure organisationnelle ou de changement au niveau des ressources en place 42
2E LIGNE DE DÉFENSE : FONCTIONS DE CONTRÔLE • Les fonctions de contrôles sont là pour assister les gestionnaires en ce qui a trait à la conception, mise en place et application efficace des contrôles requis en lien avec les activités dont ils sont imputables. • Au sein du Mouvement Desjardins, ces fonctions se retrouvent essentiellement en Gouvernance financière TI et au sein de la Direction principale Risques et Conformité de GTD. Leurs activités sont également assujetties aux interventions menées par l’Audit interne. 43
3E LIGNE DE DÉFENSE : AUDIT INTERNE • L’audit interne, à titre de fonction de surveillance indépendante, agit comme troisième ligne de défense au sein de l’organisation. • Par les interventions qu’elle réalise sur la base de son analyse de risques, la DPAI TI s’assure que la gestion ainsi que les fonctions de contrôle assument adéquatement leurs responsabilités respectives en matière de gestion des risques et des contrôles. • Elle fait rapport au CV quant aux résultats de ses travaux. 44
COMPLÉMENTARITÉ ET COORDINATION DES INTERVENTIONS ENTRE LES PARTIES Afin d’assurer une plus grande efficience dans la réalisation de leurs travaux respectifs et d’éviter une duplication d’efforts et une trop grande sollicitation des gestionnaires des secteurs TI, des mécanismes de coordination sont nécessaires entre les 3 lignes de défenses. Cela se concrétise notamment via l’existence d’un comité de coordination, d’échanges sur les plans annuels et de rencontres au début de chacun des mandats. Un tel comité existe chez Desjardins et il est animé par un gestionnaire de la direction principale Risques et Conformité (DPRC) de GTD. Ce comité se réunit aux 2 semaines et regroupe des représentants de l’Audit Interne, de l’Audit externe, de la Gouvernance financière TI et de la Gestion des risques. 45
RÔLE, RESPONSABILITÉS ET ACTIVITÉS DE LA DPRC • LA DPRC, en plus d’assurer l’animation du comité mentionné à la page précédente, assume en tant que fonction de contrôle de 2e ligne un rôle et des responsabilités de coordination clés au sein de GTD. • Elle s’assure notamment que l’ensemble des activités de contrôle et d’audit (2e et 3e lignes) sont réalisées de façon efficace et efficiente. Elle vise aussi à accompagner et supporter les gestionnaires de 1re ligne, qui sont les premiers répondants imputables en matière de gestion des risques et des contrôles TI. • Les pages suivantes présentent un peu plus en détail les principales activités de la DPRC en matière de conformité et de gestion des risques et des contrôles TI. 46
LA CONFORMITÉ TI 47
UNIVERS DE LA CONFORMITÉ DE GTD Univers de conformité TI Bâle II RCE-RCP RO-RM Vérificateurs externes - États financiers - Monétique PCI-VISA-INTERACMastercard Exigences Gouvernance financière 52-109 Audit interne Conformité réglementaire GTD Parties prenantes VPDF VPAIMD VPGIRRO VPCM Lignes d’affaires VPSAESP Vérif. Externe 48
PROGRAMME DE CONFORMITÉ 49
EXIGENCES DE LA CONFORMITÉ Les secteurs des TI sont sujets annuellement à plusieurs exigences qui se traduisent dans différentes activités Vérification OCRCVM Vérification des processus TI dans le cadre de la vérification des états financiers Autoévaluations Bâle II Exigences Travaux de la gouvernance financière (52-109) Autoévaluations VISA, INTERAC MasterCard, et PCI Mandats de vérification interne 50
L’APPROCHE GESTION DES RISQUES TI 51
LE CADRE DE GESTION DES RISQUES TECHNOLOGIQUES • Permet d’établir les bases et les composantes de la démarche de gestion, soit la : • gouvernance; • l’évaluation du risque, et; • la réponse au risque. • S’intègre dans la démarche globale du Mouvement (le risque technologique étant considéré comme une sous-catégorie du risque opérationnel) • Aligné avec les politiques existantes au Mouvement (les politiques sont listées en annexe) • Basé sur le modèle Risk-IT de l’ISACA et tient compte des exigences de l’AMF en matière de gestion des risques technologiques 52
QUATRE COMPOSANTES DU CADRE DE GRT • État des expositions et opportunités de risques TI • Évaluation de l’efficacité des contrôles pour atténuer les risques • Plan de traitement ou stratégie d’atténuation • Plans d’action • Rôles et responsabilités en GRT • Vigie sur les principes directeurs du Bureau de Chef de la gestion des risques • Processus de gouvernance • Univers des risques technologiques • Vigie et surveillance sur les risques technologiques • Analyse des risques technologiques • Registre de risques inhérents (TI) • État des expositions et opportunités de risques TI • Évaluation de l’efficacité des contrôles pour atténuer les risques • Plan de traitement ou stratégie d’atténuation • Plans d’action 53
LES RISQUES TECHNOLOGIQUES SONT CONSIDÉRÉS COMME UN SOUS-ENSEMBLE DES RISQUES OPÉRATIONNELS Catégories de risques Mouvement Catégories de risques opérationnels Catégories de risques technologiques Le risque technologique est considéré comme un sousensemble du risque opérationnel. 54
L’UNIVERS DES RISQUES TECHNOLOGIQUES L’Univers des risques technologiques est un pilier du volet de gouvernance des risques technologiques. Il vise à :  Circonscrire la portée des activités de gestion des risques technologiques;  Faciliter l’identification initiale des risques inhérents importants et pertinents pour l’organisation;  Soutenir la consolidation des risques ainsi que la reddition de compte.  L’univers des risques technologiques a fait l’objet d’une revue par les vérificateurs externes (PWC) et par l’audit interne 55
CONTRÔLES ET MULTI CONFORMITÉ 56
CADRE DE CONTRÔLES TI : DÉMARCHE D’ÉLABORATION  Les référentiels Cobit 5 et ISO 27002 ont été utilisés afin de classer sous un dénominateur commun l’ensemble des exigences :  52-109, PCI, Visa, Interac, Mastercard, Bâle II et les contrôles propres à des tiers  CobIT 5 : référentiel en gouvernance des TI, présente les bonnes pratiques de gestion des TI  ISO 27002 : norme des meilleures pratiques des domaines de sécurité de l’information, tels :       La gestion des accès La gestion des incidents Le plan de continuité La sécurité physique et environnementale La gestion de l‘exploitation et des télécommunications L’acquisition, développement et maintenance des systèmes d’information 57
APPROCHE DU CADRE DE CONTRÔLES MULTI-CONFORMITÉ Avant Chevauchement L’approche traditionnelle qui traite les « exceptions » engendre de nombreux programmes de conformité distincts qui font en sorte que la gestion des exigences selon plusieurs règlementation n’est pas uniforme ni efficace 1500 contrôles Après Harmonisation Une intégration permettant de réduire les coûts, la complexité et la charge de travail liés aux efforts de conformité est nécessaire; de grandes économies de coûts peuvent être réalisées lorsque le chevauchement est évité et qu’une définition commune des exigences est appliquée 286 contrôles Desjardins! 58
ÉLÉMENTS DU CADRE DE CONTRÔLES TI Cadre de contrôles TI Desjardins Pratiques de contrôle Cadre de référence Cadre de référence Cadre de référence Cadre de référence Pratiques de contrôle Contrôle Objectifs de contrôle Pratiques de contrôle Pratiques de contrôle Contrôle Contrôle Pratiques de contrôle Pratiques de contrôle Pratiques de contrôle Pratiques de contrôle 59
DES RÉSULTATS CONCRETS 60
OBJECTIF DU PROGRAMME DE CONFORMITÉ Coordonner et optimiser les travaux des auditeurs / évaluateurs Chevauchement 1 Contrôle (ex. : gestion des changements) GF Test Audit interne Audit externe Test QSA PCI Test Test Audit Monétique Test DPRC Bâle Test Potentiel de 6 tests pour un contrôle ! Harmonisation 1 Contrôle (ex. : gestion des changements) Unité x Test Réutilisation des travaux par les autres évaluateurs / auditeurs GF Audit interne Audit externe QSA PCI Audit Monétique DPRC Bâle 61
PLAN DE MISE EN ŒUVRE DU PROGRAMME DE CONFORMITÉ 62
NOTRE RECETTE Vision multi conformité 500 gr de Vision «multi conformité» 250 gr de Cadre de références sélectionné (p.ex. CobIT ) 500 gr «Mapper» les exigences au cadre de contrôle sélectionné 200 gr de Lien entre le cadre de contrôle et les risques technologiques 500 gr de Implantation d’un outil de gestion de risque et conformité Une pincée de « Gros bon sens» 63
CONCLUSION DE LA PRÉSENTATION ET ÉCHANGE En résumé, l’optimisation des interventions d’audit des contrôles TI passe principalement par :     Une bonne connaissance de l’organisation, de sa réalité d’affaires et de son appétit pour le risque. Une bonne évaluation des risques majeurs et des contrôles clés conçus et appliqués par les gestionnaires. Une capacité de l’audit interne à effectuer annuellement, de façon efficace et efficiente, ses mandats jugés prioritaires (adéquation des ressources). Une coordination et une réalisation efficace et efficiente des interventions et activités menées par les différentes lignes de défense, compte tenu de leurs responsabilités respectives . 64
CONCLUSION DE LA PRÉSENTATION ET ÉCHANGE Merci ! Période de questions et d’échanges 65

Recomendados

Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SIArsène Ngato
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueFINALIANCE
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACAYann Riviere CCSK, CISSP, CRISC, CISM
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Ammar Sassi
 

Recomendados

Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SIArsène Ngato
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueFINALIANCE
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACAYann Riviere CCSK, CISSP, CRISC, CISM
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Ammar Sassi
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'informationAnnick Franck Monyie Fouda
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
La Gouvernance IT
La Gouvernance ITLa Gouvernance IT
La Gouvernance ITNicolas PIGNAL
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEhpfumtchum
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueIsmail EL Makrouz
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5ISACA Chapitre de Québec
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesAbdeslam Menacere
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Ammar Sassi
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIPECB
 
Cisa domaine 4 operations maintenance et support des systèmes d’information
Cisa domaine 4 operations maintenance et support des systèmes d’informationCisa domaine 4 operations maintenance et support des systèmes d’information
Cisa domaine 4 operations maintenance et support des systèmes d’informationSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
Plan de continuité des activités: le vrai enjeu stratégique
Plan de continuité des activités: le vrai enjeu stratégiquePlan de continuité des activités: le vrai enjeu stratégique
Plan de continuité des activités: le vrai enjeu stratégiqueDigicomp Academy Suisse Romande SA
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationRoland Kouakou
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Ammar Sassi
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2ISACA Chapitre de Québec
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidentsISACA Chapitre de Québec
 

Más contenido relacionado

La actualidad más candente

Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEhpfumtchum
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5ISACA Chapitre de Québec
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesAbdeslam Menacere
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Ammar Sassi
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIPECB
 
Plan de continuité des activités: le vrai enjeu stratégique
Plan de continuité des activités: le vrai enjeu stratégiquePlan de continuité des activités: le vrai enjeu stratégique
Plan de continuité des activités: le vrai enjeu stratégiqueDigicomp Academy Suisse Romande SA
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationRoland Kouakou
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Ammar Sassi
 

La actualidad más candente (20)

Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
La Gouvernance IT
La Gouvernance ITLa Gouvernance IT
La Gouvernance IT
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantes
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SI
 
Cisa domaine 4 operations maintenance et support des systèmes d’information
Cisa domaine 4 operations maintenance et support des systèmes d’informationCisa domaine 4 operations maintenance et support des systèmes d’information
Cisa domaine 4 operations maintenance et support des systèmes d’information
 
Plan de continuité des activités: le vrai enjeu stratégique
Plan de continuité des activités: le vrai enjeu stratégiquePlan de continuité des activités: le vrai enjeu stratégique
Plan de continuité des activités: le vrai enjeu stratégique
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’information
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 

Destacado

Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2ISACA Chapitre de Québec
 
Auditing by CIS . Chapter 6
Auditing by CIS . Chapter 6Auditing by CIS . Chapter 6
Auditing by CIS . Chapter 6Sharah Ayumi
 
Partie 1 audit comptable et financier
Partie 1 audit comptable et financierPartie 1 audit comptable et financier
Partie 1 audit comptable et financierZouhair Aitelhaj
 
Internal Control
Internal ControlInternal Control
Internal ControlSalih Islam
 
les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneYoussef Bensafi
 
COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER Hajar EL GUERI
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'auditBRAHIM MELLOUL
 
Estrategias de fijación de precios
Estrategias de fijación de preciosEstrategias de fijación de precios
Estrategias de fijación de preciosSaris Moncada Lopera
 
Formato para la presentación de un pn
Formato para la presentación de un pnFormato para la presentación de un pn
Formato para la presentación de un pnSaris Moncada Lopera
 
7eme-sondage-brides-du-5-au-12-oct-2015
7eme-sondage-brides-du-5-au-12-oct-2015 7eme-sondage-brides-du-5-au-12-oct-2015
7eme-sondage-brides-du-5-au-12-oct-2015Daniel Alouidor
 
Presentation Adhesion Group
Presentation Adhesion GroupPresentation Adhesion Group
Presentation Adhesion GroupVanessa Levi
 
Evaluer par ceintures et protfolio en 6e (mathématiques)
Evaluer par ceintures et protfolio en 6e (mathématiques)Evaluer par ceintures et protfolio en 6e (mathématiques)
Evaluer par ceintures et protfolio en 6e (mathématiques)Guillaume Caron
 

Destacado (20)

Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
 
Auditing by CIS . Chapter 6
Auditing by CIS . Chapter 6Auditing by CIS . Chapter 6
Auditing by CIS . Chapter 6
 
Partie 1 audit comptable et financier
Partie 1 audit comptable et financierPartie 1 audit comptable et financier
Partie 1 audit comptable et financier
 
Internal Control
Internal ControlInternal Control
Internal Control
 
les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interne
 
COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER
 
Audit presentation
Audit presentationAudit presentation
Audit presentation
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'audit
 
Résultats prix opéra 2013
Résultats prix opéra 2013Résultats prix opéra 2013
Résultats prix opéra 2013
 
Triangulos
TriangulosTriangulos
Triangulos
 
Julian beever
Julian beeverJulian beever
Julian beever
 
Estrategias de fijación de precios
Estrategias de fijación de preciosEstrategias de fijación de precios
Estrategias de fijación de precios
 
555 Flipflop
555 Flipflop555 Flipflop
555 Flipflop
 
Formato para la presentación de un pn
Formato para la presentación de un pnFormato para la presentación de un pn
Formato para la presentación de un pn
 
El CMV Y EL CUELLO DE BOTELLA
El CMV Y EL CUELLO DE BOTELLAEl CMV Y EL CUELLO DE BOTELLA
El CMV Y EL CUELLO DE BOTELLA
 
Europeización.
Europeización.Europeización.
Europeización.
 
7eme-sondage-brides-du-5-au-12-oct-2015
7eme-sondage-brides-du-5-au-12-oct-2015 7eme-sondage-brides-du-5-au-12-oct-2015
7eme-sondage-brides-du-5-au-12-oct-2015
 
Presentation Adhesion Group
Presentation Adhesion GroupPresentation Adhesion Group
Presentation Adhesion Group
 
Evaluer par ceintures et protfolio en 6e (mathématiques)
Evaluer par ceintures et protfolio en 6e (mathématiques)Evaluer par ceintures et protfolio en 6e (mathématiques)
Evaluer par ceintures et protfolio en 6e (mathématiques)
 

Similar a Optimisation de l’audit des contrôles TI

Audit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfAudit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfTAFEMBLANC
 
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationpapediallo3
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfsaadbourouis2
 
La vérité sur le Big Data, Hadoop, l'internet des objets et les tendances tec...
La vérité sur le Big Data, Hadoop, l'internet des objets et les tendances tec...La vérité sur le Big Data, Hadoop, l'internet des objets et les tendances tec...
La vérité sur le Big Data, Hadoop, l'internet des objets et les tendances tec...PMI-Montréal
 
Big data en (ré)assurance régis delayet
Big data en (ré)assurance régis delayetBig data en (ré)assurance régis delayet
Big data en (ré)assurance régis delayetKezhan SHI
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquechammem
 
Prise en charge des documents à partir des processus
Prise en charge des documents à partir des processusPrise en charge des documents à partir des processus
Prise en charge des documents à partir des processusJean-Pierre BENOIT
 

Similar a Optimisation de l’audit des contrôles TI (20)

Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1
 
Audit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfAudit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdf
 
[2]bis
[2]bis[2]bis
[2]bis
 
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'information
 
Cobit
Cobit Cobit
Cobit
 
présentation des services ITC
présentation des services ITCprésentation des services ITC
présentation des services ITC
 
COBIT
COBIT COBIT
COBIT
 
GTAG: Documents de référence
GTAG: Documents de référenceGTAG: Documents de référence
GTAG: Documents de référence
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référence
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdf
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
La vérité sur le Big Data, Hadoop, l'internet des objets et les tendances tec...
La vérité sur le Big Data, Hadoop, l'internet des objets et les tendances tec...La vérité sur le Big Data, Hadoop, l'internet des objets et les tendances tec...
La vérité sur le Big Data, Hadoop, l'internet des objets et les tendances tec...
 
Big data en (ré)assurance régis delayet
Big data en (ré)assurance régis delayetBig data en (ré)assurance régis delayet
Big data en (ré)assurance régis delayet
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatique
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016
 
M09 tendances et evolution métiers-ms-27
M09 tendances et evolution métiers-ms-27M09 tendances et evolution métiers-ms-27
M09 tendances et evolution métiers-ms-27
 
M01 avantages strategiques-24- ms
M01 avantages strategiques-24- msM01 avantages strategiques-24- ms
M01 avantages strategiques-24- ms
 
Informatisation de projets
Informatisation de projetsInformatisation de projets
Informatisation de projets
 
Prise en charge des documents à partir des processus
Prise en charge des documents à partir des processusPrise en charge des documents à partir des processus
Prise en charge des documents à partir des processus
 
La gestion des actifs, ISACA Québec Multiforce
La gestion des actifs, ISACA Québec MultiforceLa gestion des actifs, ISACA Québec Multiforce
La gestion des actifs, ISACA Québec Multiforce
 

Más de ISACA Chapitre de Québec

Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...ISACA Chapitre de Québec
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonISACA Chapitre de Québec
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdISACA Chapitre de Québec
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantISACA Chapitre de Québec
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauISACA Chapitre de Québec
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardISACA Chapitre de Québec
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeISACA Chapitre de Québec
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantISACA Chapitre de Québec
 
Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetISACA Chapitre de Québec
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015ISACA Chapitre de Québec
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIIISACA Chapitre de Québec
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2ISACA Chapitre de Québec
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationISACA Chapitre de Québec
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauISACA Chapitre de Québec
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 

Más de ISACA Chapitre de Québec (20)

ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
 
Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry Brisset
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 

Optimisation de l’audit des contrôles TI

  • 1. OPTIMISATION DE L’AUDIT DES CONTRÔLES TI CARL LALIBERTÉ CPA,CA, CIA, CISA, CISSP DIRECTEUR PRINCIPAL AUDIT INTERNE, TI VICE-PRÉSIDENCE AUDIT INTERNE, MOUVEMENT DESJARDINS 22 JANVIER 2014 http://www.isaca-quebec.ca 1
  • 2. DES QUESTIONS CLÉS À SE POSER Quel niveau de contrôle peut être considéré comme suffisant pour notre organisation ? La réponse sous forme d’une autre question : Quel est le niveau de risque résiduel jugé acceptable par les administrateurs, la direction et les gestionnaires de notre organisation ? 2
  • 3. DES ÉLÉMENTS IMPORTANTS À CONSIDÉRER À DES FINS D’OPTIMISATION DE L’AUDIT • Appétit pour le risque des administrateurs, de la direction et des gestionnaires • Connaissance des risques majeurs de l’organisation • Réalité d’affaires et situation budgétaire de l’organisation • Diversité des processus et activités d’affaires et TI • Situation économique et budgétaire de l’organisation • Connaissance des informations sensibles et applications critiques 3
  • 4. DES ÉLÉMENTS IMPORTANTS À CONSIDÉRER À DES FINS D’OPTIMISATION DE L’AUDIT (SUITE) • Documentation de la conception, mise en place et application efficace des contrôles par les gestionnaires • Connaissance des risques associés aux projets de développement majeurs en cours ou à venir • Complexité technologique de l’organisation • Vigie à l’égard des tendances et besoins émergents en TI • Analyse judicieuse des risques TI et sélection des mandats prioritaires à réaliser par l’audit interne TI • Adéquation des ressources pour réaliser les mandats 4
  • 5. CONTENU SOMMAIRE DE LA PRÉSENTATION Partie 1 :  Groupe Technologies Desjardins (statistiques et vidéos)  Ressources affectées à la planification et réalisation des mandats en audit interne TI  Univers d’audit des TI (domaines et processus couverts)  Analyse de risques et planification annuelle des mandats  Applications informatiques (CGTI et contrôles applicatifs)  Mandats réalisés en mode suivi de projets 5
  • 6. GROUPE TECHNOLOGIES DESJARDINS (GTD) Informations générales et statistiques sur GTD : • L’entité légale qu’est GTD a été créée en 2010 et a commencé ses opérations le 1er janvier 2011. • GTD offre, en collaboration avec des impartiteurs majeurs, des services en TI aux autres entités du Mouvement (Fédération, DSF, DGAG, CCD, VMD, etc.). • GTD doit gérer des activités informatiques très diversifiées et des plates-formes multi-générationnelles, au niveau de l’infrastructure, des applications et des données. 6
  • 7. GROUPE TECHNOLOGIES DESJARDINS (GTD) Informations générales et statistiques (suite) : • • • • • • • Budget annuel de 900 M$ 2 400 employés, plus de 1 600 applications 52 000 postes de travail et plus de 6 500 serveurs 2 600 guichets automatiques, 66 000 TPV 387 millions de transactions aux GA par année 43 000 téléphones et 5 000 km de fibre optique 375 000 jp d’efforts de développement par année, 450 M$ • Présentation d’un court vidéo sur GTD 7
  • 8. ÉVOLUTION DU CONTEXTE DES TI ET DE GTD 2009 – 2012 «Jeter les bases»  Priorités • • • Optimisation de l’exploitation Rehaussement de la sécurité TI Création de Groupe Technologies Desjardins (GTD)  Nature des projets • Spécifiques aux secteurs d’affaires et fonctions de soutien Mouvement 2013 – 2016 «Maximiser la valeur»  Priorités • • Modernisation des infrastructures technologiques Évolution du développement et de la maintenance applicative  Nature des projets • • Spécifiques aux secteurs d’affaires et fonctions de soutien Mouvement Transversaux à l’échelle du Mouvement 8
  • 9. RESSOURCES AFFECTÉES À LA PLANIFICATION ET RÉALISATION DES MANDATS EN AI TI La DPAITI compte au total 10 ressources professionnelles disposant : • de formations et titres professionnels diversifiés • d’une connaissance étendue de GTD et du Mouvement • de compétences variées et complémentaires en TI • de connaissances avancées en audit interne • de procédures conformes aux normes professionnelles • d’outils informatisés utilisés à des fins multiples 9
  • 10. UNIVERS D’AUDIT DES TI Notre univers d’audit des TI se compose essentiellement de : • 46 macro-processus composés de sous processus et d’activités et répartis dans 5 grands domaines • Plus de 1 600 applications supportant un grand nombre de besoins d’affaires différents • Une multitude de projets de développement informatique aux niveaux TI et Affaires représentant plus de 450 M$ sur base annuelle 10
  • 11. UNIVERS D’AUDIT DES TI Nous avons divisé les activités TI en 46 macro-processus répartis dans 5 domaines : Gouvernance :        Planification stratégique TI Gestion des risques Gestion des projets Gestion des investissements et de la valeur des TI Mesure de la performance et maturité des processus Gestion de la conformité et des contrôles TI Gestion des ressources humaines 11
  • 12. UNIVERS D’AUDIT DES TI (SUITE) Architecture :     Architecture d’infrastructure Architecture des données Architecture des solutions d’affaires Architecture d’entreprise et orientations technologiques Acquisition, développement et support des systèmes :        Identification des besoins et estimations ressources Développement des solutions d’affaires Acquisition et gestion des solutions d’affaires Acquisition et gestion des systèmes impartis Tests et certification des systèmes Gestion de changements Gestion des librairies et codes sources 12
  • 13. UNIVERS D’AUDIT DES TI (SUITE) Exploitation et Infrastructure :            Gestion des mise en production et déploiement des solutions d’affaires Exploitation et développement des serveurs Exploitation et développement des réseaux (incluant VoIP) Gestion des systèmes d’exploitation Gestion des postes de travail et des périphériques Gestion des applications bureautiques Exploitation des bases de données Exploitation des unités de stockage Gestion des incidents et des problèmes Gestion des centres d’assistance technologique Gestion de la performance et de la capacité des systèmes 13
  • 14. UNIVERS D’AUDIT DES TI (SUITE) Exploitation et Infrastructure (suite) :      Gestion des niveaux de services Processus de sauvegarde et archivage des données Gestion de l’impartition et des partenariats d’affaires Gestion des configurations Gestion des licences Sécurité et Contrôles TI :      Encadrement de la sécurité de l’information Gestion des identités et des accès logiques aux données et applications Gestion des accès logiques aux environnements (Windows, UNIX…) Sécurité des réseaux (inclus le réseau VoIP) Gestion des vulnérabilités et correctifs de sécurité 14
  • 15. UNIVERS D’AUDIT DES TI (SUITE) Sécurité et Contrôles TI (suite) :        Gestion des incidents de sécurité Sécurité physique de l’infrastructure TI Sécurité des applications E-commerce Gestion des clés cryptographiques Sécurité des bases de données Plan de relèves des technologiques de l’Information Surveillance et évaluation des contrôles TI 15
  • 16. ANALYSE DE RISQUES ET PLANIFICATION ANNUELLE Stratégie adoptée :  Lors de l’exercice de planification annuelle, les risques inhérents et résiduels de chaque processus sont évalués selon des critères qualitatifs et quantitatifs (top down, bottom-up).  Les résultats de cette analyse permettent d’identifier les processus dont les sous-processus ou activités plus à risque (élevés ou modérés-élevés) seront audités dans le cadre de nos mandats en fonction de notre capacité de réalisation.  Il importe de procéder à une évaluation objective des risques inhérents et résiduels et de bien documenter la démarche de sélection de nos mandats prioritaires. 16
  • 17. APPLICATIONS INFORMATIQUES Contexte  Plus de 1 600 applications informatiques au Mouvement Desjardins  Les propriétaires de ces applications sont généralement dans les secteurs d’affaires Applications auditées  Applications identifiées pour les besoins relatifs à Bâle  Applications identifiées pour les besoins de la vérification et de l’inspection en mode centralisé (réseau des caisses)  Applications identifiées par les 3 autres DP de la VPAIMD 17
  • 18. APPLICATIONS INFORMATIQUES (SUITE) Approche :  Contrôles généraux TI : Contrôles communs à un ensemble d’applications. Ils ont pour objectif de veiller au développement et à la mise en œuvre appropriés des applications, à l’intégrité des fichiers de programmes et de données ainsi que des opérations informatiques. Exemples :       Sauvegardes Gestion des changements Accès logiques aux infrastructures et aux données Sécurité physique des centres de traitement Opérations informatiques Gestion des vulnérabilités Pour l’année 2013, plusieurs CGTI sont couverts via une approche transversale 18
  • 19. APPLICATIONS INFORMATIQUES (SUITE) Approche d’audit des CGTI préconisée pour 2013 et 2014 Objectifs Audit des CGTI  Couvrir les besoins d’audit des services et processus TI gérés par le groupe GTD de Desjardins à travers un mandat unique.  Offrir par le biais d’un rapport unique, une opinion indépendante et objective sur l’état des contrôles généraux TI (CGTI) appliqués à l’infrastructure TI exploitée par le groupe GTD de Desjardins. Mouvement Desjardins CGTI Impartis 3416 IBM & Bell (Réalisé par l’Audit externe – PwC & Deloitte) CGTI non impartis Audit des processus et services TI (Réalisé par l’Audit Interne du Mouvement Desjardins) 19
  • 20. APPLICATIONS INFORMATIQUES (SUITE) Approche d’audit des CGTI préconisée pour 2013 et 2014 Avantages  Réduction du nombre de rapports d’audit TI  Optimisation des interactions avec les différents secteurs TI de Desjardins  Simplification de la prise en charge des recommandations.  Amélioration de la reddition auprès des audités et de la CVI. 20
  • 22. APPLICATIONS INFORMATIQUES (SUITE) Approche d’audit des CGTI préconisée pour 2013 et 2014 Fréquence des activités : couverture en 2 phases des 12 mois de l’année. Phase 1 • Couverture des 5 premiers mois de l’année: janvier - mai Phase 2 • Couverture des mois de juin – décembre 22
  • 23. APPLICATIONS INFORMATIQUES (SUITE)  Contrôles applicatifs : Contrôles spécifiques à chaque application. Leur objectif est de veiller à l’exhaustivité et à l’exactitude des données enregistrées ainsi qu’à la validité de chaque entrée enregistrée après traitement par le programme. Types de contrôles applicatifs:  Les contrôles des données en entrée (ex. vraisemblance de la donnée saisie)  Les contrôles sur le traitement (ex. considération des plafonds de crédit des clients dans le traitement des bons de commande)  Les contrôles des données en sortie (ex. comparaison des résultats escomptés aux résultats en sortie)  Les contrôles d’intégrité (ex. droits d’accès aux fichiers maîtres)  La piste de contrôle de gestion (ex. pistes d’audit) Lors des audits TI, les contrôles applicatifs sont audités à haut niveau. Note: La fiabilité des contrôles applicatifs repose sur la fiabilité des contrôles généraux. 23
  • 24. APPLICATIONS INFORMATIQUES (SUITE) Extrait du GTAG #8 de l’IIA portant sur l’Audit des contrôles applicatifs: «Chaque auditeur interne doit connaître les risques et les contrôles liés à l’informatique et être à même de déterminer si les contrôles applicatifs mis en œuvre sont conçus et fonctionnent correctement pour gérer les risques financiers, opérationnels et liés au respect de la réglementation. » 24
  • 25. MANDATS EN MODE SUIVIS DE PROJETS  Lors de l’exercice de planification annuelle de nos mandats, les projets TI d’envergure sont identifiés et priorisés.  La DPAITI peut aussi collaborer avec les 3 autres DP de la VPAIMD au suivi de projets « Affaires » dotés d’un volet TI significatif. 25
  • 26. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Qu’est-ce qu’un projet et la gestion de projet ?  Un projet consiste essentiellement à la mise en commun, pendant une période de temps prédéterminée, des ressources humaines, financières, technologiques et matérielles en vue de réaliser un objectif commun, de répondre à des besoins d’affaires spécifiques et de réaliser des bénéfices escomptés.  La gestion de projet, quant à elle, est l’ensemble des mécanismes de coordination, planification, réalisation, suivi et reddition de compte requis pour permettre l’atteinte de la finalité du projet. 26
  • 27. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Principales méthodologies :  PMBOK 4e et 5e édition du Project Management Institute (PMI)  Norme ISO 21 500 (automne 2012)  Prince 2 (Projects in Controlled Environments)  IPMA (International Project Management Association)  CMMI du Software Engineering Institute (SEI) 27
  • 28. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) PMBOK 5e édition : (publié en décembre 2012)  Comprend 10 domaines de connaissance : • • • • • • • • • • Intégration (Intégration – 6 processus) Portée (Scope – 6 processus) Temps-échéancier (Time – 7 processus) Coût (Cost – 4 processus) Qualité (Quality – 3 processus) Ressources humaines (Human ressources – 4 processus) Communications (Communications – 3 processus) Risque (Risk – 6 processus) Contrats externes (Procurement – 4 processus) Intéressés (Stakeholder – 4 processus) 28
  • 29. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) PMBOK 5e édition : (publié en décembre 2012)  Comprend 15 groupe de processus et 47 processus au total : • • • • • Initiation -conception (Initiating – 2 processus) Planification (Planning – 24 processus) Exécution (Executing – 8 processus) Suivi et contrôle (Monitoring and controlling – 11 processus) Finalisation (Closing – 2 processus) 29
  • 30. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Facteurs clés du succès :  Définition claire de l’objectif et de la portée du projet, de la cible commune à atteindre  Soutien de la direction et structure de gouvernance efficace  Compréhension des rôles et responsabilités des divers intervenants  Bonne analyse des risques au départ et suivi constant de leur évolution  Ressources humaines compétentes aptes à assumer leurs responsabilités (surtout pour le chargé de projet)  Ressources financières, matérielles et technologiques adéquates  Budget établi avec prudence et réalisme et suivi avec rigueur  Maîtrise de la complexité du projet par le chargé de projet et son équipe 30
  • 31. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Facteurs clés du succès (suite) :          Gestion documentaire complète et bien structurée Implication des représentants des secteurs d’affaires du début à la fin Stratégie d’essais adéquate par rapport au projet et à ses enjeux Prise en compte des enjeux en sécurité de l’information (OWASP) Gestion des demandes de changement et des points en suspend Communication efficace entre les ressources humaines impliquées Suivi de gestion rigoureux basé sur des indicateurs de gestion pertinents Reddition de comptes régulière, fiable et transparente Réalisation d’un bilan de projet à des fins d’amélioration continue 31
  • 32. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Principales lacunes observées :  Analyse de risques incomplète et/ou mal suivie en cours de projet  Dépassement des coûts (budget mal évalué au départ et/ou mauvaise gestion durant le projet)  Non respect de l’échéancier prévu pour les livraisons et le projet  Qualité des livrables inadéquate et gestion du projet déficiente  Non atteinte de l’ensemble des besoins d’affaires et bénéfices escomptés identifiés au départ  Suivi de gestion non suffisamment rigoureux  Mauvaise gouvernance et reddition de compte incomplète ou inadéquate  Manque de compétences du chargé de projet et de son équipe 32
  • 33. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Approches possibles : mode conseil vs audit  Deux possibilités d’intervention pour l’auditeur interne par rapport à la gestion du projet et à son suivi : Mode Conseil : (approche comportant divers enjeux) • • • • Jouer un rôle aviseur auprès des intervenants du projet au niveau des livrables et de l’identification des contrôles applicatifs Attention à l’indépendance : qui ne dit rien consent Confusion quant au rôle de l’auditeur interne en mode conseil : les gens ont tendance à demander une forme d’approbation de l’auditeur interne notamment à l’égard des livrables produits Difficulté en matière de reddition de compte à la haute direction et au comité d’audit; les responsables du projet recherchent davantage un rapport conseil avec des pistes d’amélioration proposées 33
  • 34. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Mode Audit : (approche comportant divers enjeux) • • • • • Rôle de l’auditeur interne plus clair pour tous les intervenants dans le projet, la haute direction et le comité d’audit L’indépendance de l’auditeur interne est préservée Redditions de comptes trimestrielles sur les enjeux et les préoccupations soulevées par l’auditeur interne et leur prise en charge ou non par les responsables du projet Pas de formulation de recommandations: on établit plutôt d’un rapport d’étape à l’autre un suivi évolutif et comparatif des enjeux et de nos préoccupations et on réagit via nos constatations s’il y a un désaccord avec l’équipe de projet quant à la prise en charge de certains risques Production d’un dernier rapport d’étape à la fin du projet qui résume nos interventions dans le suivi du projet (bilan) 34
  • 35. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE • Lors de la phase de planification de chaque mandat, un questionnaire doit être complété par les auditeurs internes dans le but d’évaluer l’environnement de contrôle informatique • Ce questionnaire est un outil fort utile, spécialement pour les auditeurs internes qui ne possèdent pas de connaissances étendues en TI et il assure une plus grande uniformité et efficience dans la réalisation de nos divers mandats • Le contenu de ce questionnaire est présenté de façon sommaire dans les prochaines pages 35
  • 36. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE Éléments à prendre en considération lors de l’évaluation :     Applications utilisées par l'équipe pour réaliser ce processus et niveau de dépendance au système. Type de données manipulées par ces applications (ex. : données financières alimentant les états financiers, données personnelles des membres ou clients, informations de gestion). Criticité de ces données et des applications elles-mêmes. Volume des opérations effectuées avec les applications : • Nombre de transactions/opérations, • Montant des transactions, • Nombre et type d’utilisateurs : membres, clients, employés, fournisseurs, etc. 36
  • 37. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE (SUITE)    • • •  Niveau de satisfaction global par rapport à ces applications. Niveau de satisfaction par rapport aux besoins d’affaires. Fiabilité des applications : Incidents majeurs récents, Pannes par le passé, Anomalies : pertes de données, fermeture intempestive, etc. Performance de ces applications (temps de réponse acceptable ou pas).  Impact sur les activités d’une interruption des applications (majeur, moyen, faible; en termes financiers, commerciaux, réglementaires ou autres).  Niveaux de service établis avec les équipes TI. 37
  • 38. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE (SUITE)  Relève nécessaire.  Âge de ces applications.  Changements importants survenus sur ces applications au cours des dernières années.  Responsable du développement et de la maintenance de ces applications (TI, secteur d'affaires, fournisseur externe).  Importance du budget alloué à la maintenance de ces applications.  Accompagnement disponible sur le plan de la sécurité informatique.  Incidents de sécurité liés à ces applications. 38
  • 39. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE (SUITE)  Gestion des accès à ces applications : • Gérée par le secteur audité ou les TI, • Processus administratif formel, • Profils types correspondant aux différents postes dans votre équipe ou clonage des accès d’un employé déjà en poste, • Révision des accès à une fréquence déterminée.  Contrôles opérationnels permettant de compenser d’éventuelles faiblesses des applications.  Préoccupations concernant ces applications. 39
  • 40. CONTENU SOMMAIRE DE LA PRÉSENTATION Partie 2:  Schéma sur les 3 lignes de défenses  Responsabilités: • des gestionnaires (1re ligne) • des fonctions de contrôle (2e ligne) • de l’audit interne (3e ligne)  Complémentarité des interventions des diverses parties  Conclusion de la présentation et période de discussion 40
  • 41. LES 3 LIGNES DE DÉFENSE Adapted from ECIIA/FERMA Guidance on the 8th EU Company Law Directive, article 41 41
  • 42. 1RE LIGNE DE DÉFENSE : LA GESTION • Les gestionnaires TI sont le premiers responsables de la conception, mise en place et application efficace des contrôles liés à la réalisation des activités dont ils sont imputables (niveaux stratégique, tactique et opérationnel) • Ces contrôles doivent être documentés afin d’assurer une continuité de leur application en cas de modification à la structure organisationnelle ou de changement au niveau des ressources en place 42
  • 43. 2E LIGNE DE DÉFENSE : FONCTIONS DE CONTRÔLE • Les fonctions de contrôles sont là pour assister les gestionnaires en ce qui a trait à la conception, mise en place et application efficace des contrôles requis en lien avec les activités dont ils sont imputables. • Au sein du Mouvement Desjardins, ces fonctions se retrouvent essentiellement en Gouvernance financière TI et au sein de la Direction principale Risques et Conformité de GTD. Leurs activités sont également assujetties aux interventions menées par l’Audit interne. 43
  • 44. 3E LIGNE DE DÉFENSE : AUDIT INTERNE • L’audit interne, à titre de fonction de surveillance indépendante, agit comme troisième ligne de défense au sein de l’organisation. • Par les interventions qu’elle réalise sur la base de son analyse de risques, la DPAI TI s’assure que la gestion ainsi que les fonctions de contrôle assument adéquatement leurs responsabilités respectives en matière de gestion des risques et des contrôles. • Elle fait rapport au CV quant aux résultats de ses travaux. 44
  • 45. COMPLÉMENTARITÉ ET COORDINATION DES INTERVENTIONS ENTRE LES PARTIES Afin d’assurer une plus grande efficience dans la réalisation de leurs travaux respectifs et d’éviter une duplication d’efforts et une trop grande sollicitation des gestionnaires des secteurs TI, des mécanismes de coordination sont nécessaires entre les 3 lignes de défenses. Cela se concrétise notamment via l’existence d’un comité de coordination, d’échanges sur les plans annuels et de rencontres au début de chacun des mandats. Un tel comité existe chez Desjardins et il est animé par un gestionnaire de la direction principale Risques et Conformité (DPRC) de GTD. Ce comité se réunit aux 2 semaines et regroupe des représentants de l’Audit Interne, de l’Audit externe, de la Gouvernance financière TI et de la Gestion des risques. 45
  • 46. RÔLE, RESPONSABILITÉS ET ACTIVITÉS DE LA DPRC • LA DPRC, en plus d’assurer l’animation du comité mentionné à la page précédente, assume en tant que fonction de contrôle de 2e ligne un rôle et des responsabilités de coordination clés au sein de GTD. • Elle s’assure notamment que l’ensemble des activités de contrôle et d’audit (2e et 3e lignes) sont réalisées de façon efficace et efficiente. Elle vise aussi à accompagner et supporter les gestionnaires de 1re ligne, qui sont les premiers répondants imputables en matière de gestion des risques et des contrôles TI. • Les pages suivantes présentent un peu plus en détail les principales activités de la DPRC en matière de conformité et de gestion des risques et des contrôles TI. 46
  • 48. UNIVERS DE LA CONFORMITÉ DE GTD Univers de conformité TI Bâle II RCE-RCP RO-RM Vérificateurs externes - États financiers - Monétique PCI-VISA-INTERACMastercard Exigences Gouvernance financière 52-109 Audit interne Conformité réglementaire GTD Parties prenantes VPDF VPAIMD VPGIRRO VPCM Lignes d’affaires VPSAESP Vérif. Externe 48
  • 50. EXIGENCES DE LA CONFORMITÉ Les secteurs des TI sont sujets annuellement à plusieurs exigences qui se traduisent dans différentes activités Vérification OCRCVM Vérification des processus TI dans le cadre de la vérification des états financiers Autoévaluations Bâle II Exigences Travaux de la gouvernance financière (52-109) Autoévaluations VISA, INTERAC MasterCard, et PCI Mandats de vérification interne 50
  • 51. L’APPROCHE GESTION DES RISQUES TI 51
  • 52. LE CADRE DE GESTION DES RISQUES TECHNOLOGIQUES • Permet d’établir les bases et les composantes de la démarche de gestion, soit la : • gouvernance; • l’évaluation du risque, et; • la réponse au risque. • S’intègre dans la démarche globale du Mouvement (le risque technologique étant considéré comme une sous-catégorie du risque opérationnel) • Aligné avec les politiques existantes au Mouvement (les politiques sont listées en annexe) • Basé sur le modèle Risk-IT de l’ISACA et tient compte des exigences de l’AMF en matière de gestion des risques technologiques 52
  • 53. QUATRE COMPOSANTES DU CADRE DE GRT • État des expositions et opportunités de risques TI • Évaluation de l’efficacité des contrôles pour atténuer les risques • Plan de traitement ou stratégie d’atténuation • Plans d’action • Rôles et responsabilités en GRT • Vigie sur les principes directeurs du Bureau de Chef de la gestion des risques • Processus de gouvernance • Univers des risques technologiques • Vigie et surveillance sur les risques technologiques • Analyse des risques technologiques • Registre de risques inhérents (TI) • État des expositions et opportunités de risques TI • Évaluation de l’efficacité des contrôles pour atténuer les risques • Plan de traitement ou stratégie d’atténuation • Plans d’action 53
  • 54. LES RISQUES TECHNOLOGIQUES SONT CONSIDÉRÉS COMME UN SOUS-ENSEMBLE DES RISQUES OPÉRATIONNELS Catégories de risques Mouvement Catégories de risques opérationnels Catégories de risques technologiques Le risque technologique est considéré comme un sousensemble du risque opérationnel. 54
  • 55. L’UNIVERS DES RISQUES TECHNOLOGIQUES L’Univers des risques technologiques est un pilier du volet de gouvernance des risques technologiques. Il vise à :  Circonscrire la portée des activités de gestion des risques technologiques;  Faciliter l’identification initiale des risques inhérents importants et pertinents pour l’organisation;  Soutenir la consolidation des risques ainsi que la reddition de compte.  L’univers des risques technologiques a fait l’objet d’une revue par les vérificateurs externes (PWC) et par l’audit interne 55
  • 56. CONTRÔLES ET MULTI CONFORMITÉ 56
  • 57. CADRE DE CONTRÔLES TI : DÉMARCHE D’ÉLABORATION  Les référentiels Cobit 5 et ISO 27002 ont été utilisés afin de classer sous un dénominateur commun l’ensemble des exigences :  52-109, PCI, Visa, Interac, Mastercard, Bâle II et les contrôles propres à des tiers  CobIT 5 : référentiel en gouvernance des TI, présente les bonnes pratiques de gestion des TI  ISO 27002 : norme des meilleures pratiques des domaines de sécurité de l’information, tels :       La gestion des accès La gestion des incidents Le plan de continuité La sécurité physique et environnementale La gestion de l‘exploitation et des télécommunications L’acquisition, développement et maintenance des systèmes d’information 57
  • 58. APPROCHE DU CADRE DE CONTRÔLES MULTI-CONFORMITÉ Avant Chevauchement L’approche traditionnelle qui traite les « exceptions » engendre de nombreux programmes de conformité distincts qui font en sorte que la gestion des exigences selon plusieurs règlementation n’est pas uniforme ni efficace 1500 contrôles Après Harmonisation Une intégration permettant de réduire les coûts, la complexité et la charge de travail liés aux efforts de conformité est nécessaire; de grandes économies de coûts peuvent être réalisées lorsque le chevauchement est évité et qu’une définition commune des exigences est appliquée 286 contrôles Desjardins! 58
  • 59. ÉLÉMENTS DU CADRE DE CONTRÔLES TI Cadre de contrôles TI Desjardins Pratiques de contrôle Cadre de référence Cadre de référence Cadre de référence Cadre de référence Pratiques de contrôle Contrôle Objectifs de contrôle Pratiques de contrôle Pratiques de contrôle Contrôle Contrôle Pratiques de contrôle Pratiques de contrôle Pratiques de contrôle Pratiques de contrôle 59
  • 61. OBJECTIF DU PROGRAMME DE CONFORMITÉ Coordonner et optimiser les travaux des auditeurs / évaluateurs Chevauchement 1 Contrôle (ex. : gestion des changements) GF Test Audit interne Audit externe Test QSA PCI Test Test Audit Monétique Test DPRC Bâle Test Potentiel de 6 tests pour un contrôle ! Harmonisation 1 Contrôle (ex. : gestion des changements) Unité x Test Réutilisation des travaux par les autres évaluateurs / auditeurs GF Audit interne Audit externe QSA PCI Audit Monétique DPRC Bâle 61
  • 62. PLAN DE MISE EN ŒUVRE DU PROGRAMME DE CONFORMITÉ 62
  • 63. NOTRE RECETTE Vision multi conformité 500 gr de Vision «multi conformité» 250 gr de Cadre de références sélectionné (p.ex. CobIT ) 500 gr «Mapper» les exigences au cadre de contrôle sélectionné 200 gr de Lien entre le cadre de contrôle et les risques technologiques 500 gr de Implantation d’un outil de gestion de risque et conformité Une pincée de « Gros bon sens» 63
  • 64. CONCLUSION DE LA PRÉSENTATION ET ÉCHANGE En résumé, l’optimisation des interventions d’audit des contrôles TI passe principalement par :     Une bonne connaissance de l’organisation, de sa réalité d’affaires et de son appétit pour le risque. Une bonne évaluation des risques majeurs et des contrôles clés conçus et appliqués par les gestionnaires. Une capacité de l’audit interne à effectuer annuellement, de façon efficace et efficiente, ses mandats jugés prioritaires (adéquation des ressources). Une coordination et une réalisation efficace et efficiente des interventions et activités menées par les différentes lignes de défense, compte tenu de leurs responsabilités respectives . 64
  • 65. CONCLUSION DE LA PRÉSENTATION ET ÉCHANGE Merci ! Période de questions et d’échanges 65