OPTIMISATION DE L’AUDIT DES CONTRÔLES TI
CARL LALIBERTÉ CPA,CA, CIA, CISA, CISSP
DIRECTEUR PRINCIPAL AUDIT INTERNE, TI
VIC...
DES QUESTIONS CLÉS À SE POSER
Quel niveau de contrôle peut être considéré comme
suffisant pour notre organisation ?

La ré...
DES ÉLÉMENTS IMPORTANTS À CONSIDÉRER À DES
FINS D’OPTIMISATION DE L’AUDIT
•

Appétit pour le risque des administrateurs, d...
DES ÉLÉMENTS IMPORTANTS À CONSIDÉRER À DES
FINS D’OPTIMISATION DE L’AUDIT (SUITE)
•

Documentation de la conception, mise ...
CONTENU SOMMAIRE DE LA PRÉSENTATION
Partie 1 :
 Groupe Technologies Desjardins (statistiques et vidéos)
 Ressources affe...
GROUPE TECHNOLOGIES DESJARDINS (GTD)
Informations générales et statistiques sur GTD :
• L’entité légale qu’est GTD a été c...
GROUPE TECHNOLOGIES DESJARDINS (GTD)
Informations générales et statistiques (suite) :
•
•
•
•
•
•
•

Budget annuel de 900 ...
ÉVOLUTION DU CONTEXTE DES TI ET DE GTD
2009 – 2012
«Jeter les bases»
 Priorités
•
•
•

Optimisation de l’exploitation
Reh...
RESSOURCES AFFECTÉES À LA PLANIFICATION ET
RÉALISATION DES MANDATS EN AI TI
La DPAITI compte au total 10 ressources profes...
UNIVERS D’AUDIT DES TI
Notre univers d’audit des TI se compose essentiellement de :
• 46 macro-processus composés de sous ...
UNIVERS D’AUDIT DES TI
Nous avons divisé les activités TI en 46 macro-processus
répartis dans 5 domaines :
Gouvernance :
...
UNIVERS D’AUDIT DES TI (SUITE)
Architecture :





Architecture d’infrastructure
Architecture des données
Architecture...
UNIVERS D’AUDIT DES TI (SUITE)
Exploitation et Infrastructure :












Gestion des mise en production et d...
UNIVERS D’AUDIT DES TI (SUITE)
Exploitation et Infrastructure (suite) :






Gestion des niveaux de services
Process...
UNIVERS D’AUDIT DES TI (SUITE)
Sécurité et Contrôles TI (suite) :








Gestion des incidents de sécurité
Sécurit...
ANALYSE DE RISQUES ET PLANIFICATION ANNUELLE
Stratégie adoptée :
 Lors de l’exercice de planification annuelle, les risqu...
APPLICATIONS INFORMATIQUES
Contexte
 Plus de 1 600 applications informatiques au Mouvement
Desjardins
 Les propriétaires...
APPLICATIONS INFORMATIQUES (SUITE)
Approche :


Contrôles généraux TI : Contrôles communs à un ensemble
d’applications. I...
APPLICATIONS INFORMATIQUES (SUITE)
Approche d’audit des CGTI préconisée pour 2013 et 2014
Objectifs
Audit des CGTI
 Couvr...
APPLICATIONS INFORMATIQUES (SUITE)
Approche d’audit des CGTI préconisée pour 2013 et 2014
Avantages
 Réduction du nombre ...
APPLICATIONS INFORMATIQUES (SUITE)

21
APPLICATIONS INFORMATIQUES (SUITE)
Approche d’audit des CGTI préconisée pour 2013 et 2014
Fréquence des activités : couver...
APPLICATIONS INFORMATIQUES (SUITE)
 Contrôles applicatifs : Contrôles spécifiques à chaque application. Leur
objectif est...
APPLICATIONS INFORMATIQUES (SUITE)
Extrait du GTAG #8 de l’IIA portant sur l’Audit des contrôles
applicatifs:
«Chaque audi...
MANDATS EN MODE SUIVIS DE PROJETS
 Lors de l’exercice de planification annuelle de nos
mandats, les projets TI d’envergur...
MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Qu’est-ce qu’un projet et la gestion de projet ?


Un projet consiste essentiel...
MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Principales méthodologies :
 PMBOK 4e et 5e édition du Project Management Insti...
MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
PMBOK 5e édition : (publié en décembre 2012)
 Comprend 10 domaines de connaissa...
MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
PMBOK 5e édition : (publié en décembre 2012)
 Comprend 15 groupe de processus e...
MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Facteurs clés du succès :
 Définition claire de l’objectif et de la portée du p...
MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Facteurs clés du succès (suite) :










Gestion documentaire complè...
MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Principales lacunes observées :
 Analyse de risques incomplète et/ou mal suivie...
MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Approches possibles : mode conseil vs audit


Deux possibilités d’intervention ...
MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Mode Audit : (approche comportant divers enjeux)
•
•
•
•

•

Rôle de l’auditeur ...
APPRÉCIATION DE L’ENVIRONNEMENT DE
CONTRÔLE INFORMATIQUE
• Lors de la phase de planification de chaque mandat, un question...
APPRÉCIATION DE L’ENVIRONNEMENT DE
CONTRÔLE INFORMATIQUE
Éléments à prendre en considération lors de l’évaluation :



...
APPRÉCIATION DE L’ENVIRONNEMENT DE
CONTRÔLE INFORMATIQUE (SUITE)



•
•
•


Niveau de satisfaction global par rapport ...
APPRÉCIATION DE L’ENVIRONNEMENT DE
CONTRÔLE INFORMATIQUE (SUITE)
 Relève nécessaire.
 Âge de ces applications.
 Changem...
APPRÉCIATION DE L’ENVIRONNEMENT DE
CONTRÔLE INFORMATIQUE (SUITE)
 Gestion des accès à ces applications :
• Gérée par le s...
CONTENU SOMMAIRE DE LA PRÉSENTATION
Partie 2:
 Schéma sur les 3 lignes de défenses
 Responsabilités:
• des gestionnaires...
LES 3 LIGNES DE DÉFENSE

Adapted from ECIIA/FERMA Guidance on the 8th EU Company Law Directive, article 41

41
1RE LIGNE DE DÉFENSE : LA GESTION
•

Les gestionnaires TI sont le premiers responsables de la
conception, mise en place et...
2E LIGNE DE DÉFENSE : FONCTIONS DE CONTRÔLE
•

Les fonctions de contrôles sont là pour assister les
gestionnaires en ce qu...
3E LIGNE DE DÉFENSE : AUDIT INTERNE
•

L’audit interne, à titre de fonction de surveillance
indépendante, agit comme trois...
COMPLÉMENTARITÉ ET COORDINATION DES
INTERVENTIONS ENTRE LES PARTIES
Afin d’assurer une plus grande efficience dans la réal...
RÔLE, RESPONSABILITÉS ET ACTIVITÉS DE LA DPRC
•

LA DPRC, en plus d’assurer l’animation du comité mentionné à la page préc...
LA CONFORMITÉ TI

47
UNIVERS DE LA CONFORMITÉ DE GTD
Univers de conformité TI
Bâle II
RCE-RCP
RO-RM

Vérificateurs
externes
- États
financiers ...
PROGRAMME DE CONFORMITÉ

49
EXIGENCES DE LA CONFORMITÉ
Les secteurs des TI
sont sujets
annuellement à
plusieurs
exigences qui se
traduisent dans
diffé...
L’APPROCHE GESTION DES RISQUES TI

51
LE CADRE DE GESTION DES RISQUES
TECHNOLOGIQUES
• Permet d’établir les bases et les composantes de la
démarche de gestion, ...
QUATRE COMPOSANTES DU CADRE DE GRT
• État des expositions et
opportunités de risques TI
• Évaluation de l’efficacité
des c...
LES RISQUES TECHNOLOGIQUES SONT CONSIDÉRÉS COMME UN
SOUS-ENSEMBLE DES RISQUES OPÉRATIONNELS
Catégories de
risques Mouvemen...
L’UNIVERS DES RISQUES TECHNOLOGIQUES
L’Univers des risques technologiques est un pilier du volet de
gouvernance des risque...
CONTRÔLES ET MULTI CONFORMITÉ

56
CADRE DE CONTRÔLES TI :
DÉMARCHE D’ÉLABORATION
 Les référentiels Cobit 5 et ISO 27002 ont été utilisés afin de classer so...
APPROCHE DU CADRE DE CONTRÔLES
MULTI-CONFORMITÉ
Avant
Chevauchement
L’approche traditionnelle qui traite les « exceptions ...
ÉLÉMENTS DU CADRE DE CONTRÔLES TI
Cadre de contrôles TI Desjardins
Pratiques de contrôle
Cadre de référence
Cadre de référ...
DES RÉSULTATS CONCRETS

60
OBJECTIF DU PROGRAMME DE CONFORMITÉ
Coordonner et optimiser les travaux des auditeurs / évaluateurs

Chevauchement
1 Contr...
PLAN DE MISE EN ŒUVRE DU PROGRAMME
DE CONFORMITÉ

62
NOTRE RECETTE

Vision multi
conformité

500 gr de Vision «multi conformité»
250 gr de Cadre de références sélectionné (p.e...
CONCLUSION DE LA PRÉSENTATION ET ÉCHANGE
En résumé, l’optimisation des interventions d’audit des
contrôles TI passe princi...
CONCLUSION DE LA PRÉSENTATION ET ÉCHANGE

Merci !
Période de questions et d’échanges

65
Prochain SlideShare
Chargement dans…5
×

Optimisation de l’audit des contrôles TI

4 377 vues

Publié le

Publié dans : Technologie
0 commentaire
6 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
4 377
Sur SlideShare
0
Issues des intégrations
0
Intégrations
519
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
6
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Optimisation de l’audit des contrôles TI

  1. 1. OPTIMISATION DE L’AUDIT DES CONTRÔLES TI CARL LALIBERTÉ CPA,CA, CIA, CISA, CISSP DIRECTEUR PRINCIPAL AUDIT INTERNE, TI VICE-PRÉSIDENCE AUDIT INTERNE, MOUVEMENT DESJARDINS 22 JANVIER 2014 http://www.isaca-quebec.ca 1
  2. 2. DES QUESTIONS CLÉS À SE POSER Quel niveau de contrôle peut être considéré comme suffisant pour notre organisation ? La réponse sous forme d’une autre question : Quel est le niveau de risque résiduel jugé acceptable par les administrateurs, la direction et les gestionnaires de notre organisation ? 2
  3. 3. DES ÉLÉMENTS IMPORTANTS À CONSIDÉRER À DES FINS D’OPTIMISATION DE L’AUDIT • Appétit pour le risque des administrateurs, de la direction et des gestionnaires • Connaissance des risques majeurs de l’organisation • Réalité d’affaires et situation budgétaire de l’organisation • Diversité des processus et activités d’affaires et TI • Situation économique et budgétaire de l’organisation • Connaissance des informations sensibles et applications critiques 3
  4. 4. DES ÉLÉMENTS IMPORTANTS À CONSIDÉRER À DES FINS D’OPTIMISATION DE L’AUDIT (SUITE) • Documentation de la conception, mise en place et application efficace des contrôles par les gestionnaires • Connaissance des risques associés aux projets de développement majeurs en cours ou à venir • Complexité technologique de l’organisation • Vigie à l’égard des tendances et besoins émergents en TI • Analyse judicieuse des risques TI et sélection des mandats prioritaires à réaliser par l’audit interne TI • Adéquation des ressources pour réaliser les mandats 4
  5. 5. CONTENU SOMMAIRE DE LA PRÉSENTATION Partie 1 :  Groupe Technologies Desjardins (statistiques et vidéos)  Ressources affectées à la planification et réalisation des mandats en audit interne TI  Univers d’audit des TI (domaines et processus couverts)  Analyse de risques et planification annuelle des mandats  Applications informatiques (CGTI et contrôles applicatifs)  Mandats réalisés en mode suivi de projets 5
  6. 6. GROUPE TECHNOLOGIES DESJARDINS (GTD) Informations générales et statistiques sur GTD : • L’entité légale qu’est GTD a été créée en 2010 et a commencé ses opérations le 1er janvier 2011. • GTD offre, en collaboration avec des impartiteurs majeurs, des services en TI aux autres entités du Mouvement (Fédération, DSF, DGAG, CCD, VMD, etc.). • GTD doit gérer des activités informatiques très diversifiées et des plates-formes multi-générationnelles, au niveau de l’infrastructure, des applications et des données. 6
  7. 7. GROUPE TECHNOLOGIES DESJARDINS (GTD) Informations générales et statistiques (suite) : • • • • • • • Budget annuel de 900 M$ 2 400 employés, plus de 1 600 applications 52 000 postes de travail et plus de 6 500 serveurs 2 600 guichets automatiques, 66 000 TPV 387 millions de transactions aux GA par année 43 000 téléphones et 5 000 km de fibre optique 375 000 jp d’efforts de développement par année, 450 M$ • Présentation d’un court vidéo sur GTD 7
  8. 8. ÉVOLUTION DU CONTEXTE DES TI ET DE GTD 2009 – 2012 «Jeter les bases»  Priorités • • • Optimisation de l’exploitation Rehaussement de la sécurité TI Création de Groupe Technologies Desjardins (GTD)  Nature des projets • Spécifiques aux secteurs d’affaires et fonctions de soutien Mouvement 2013 – 2016 «Maximiser la valeur»  Priorités • • Modernisation des infrastructures technologiques Évolution du développement et de la maintenance applicative  Nature des projets • • Spécifiques aux secteurs d’affaires et fonctions de soutien Mouvement Transversaux à l’échelle du Mouvement 8
  9. 9. RESSOURCES AFFECTÉES À LA PLANIFICATION ET RÉALISATION DES MANDATS EN AI TI La DPAITI compte au total 10 ressources professionnelles disposant : • de formations et titres professionnels diversifiés • d’une connaissance étendue de GTD et du Mouvement • de compétences variées et complémentaires en TI • de connaissances avancées en audit interne • de procédures conformes aux normes professionnelles • d’outils informatisés utilisés à des fins multiples 9
  10. 10. UNIVERS D’AUDIT DES TI Notre univers d’audit des TI se compose essentiellement de : • 46 macro-processus composés de sous processus et d’activités et répartis dans 5 grands domaines • Plus de 1 600 applications supportant un grand nombre de besoins d’affaires différents • Une multitude de projets de développement informatique aux niveaux TI et Affaires représentant plus de 450 M$ sur base annuelle 10
  11. 11. UNIVERS D’AUDIT DES TI Nous avons divisé les activités TI en 46 macro-processus répartis dans 5 domaines : Gouvernance :        Planification stratégique TI Gestion des risques Gestion des projets Gestion des investissements et de la valeur des TI Mesure de la performance et maturité des processus Gestion de la conformité et des contrôles TI Gestion des ressources humaines 11
  12. 12. UNIVERS D’AUDIT DES TI (SUITE) Architecture :     Architecture d’infrastructure Architecture des données Architecture des solutions d’affaires Architecture d’entreprise et orientations technologiques Acquisition, développement et support des systèmes :        Identification des besoins et estimations ressources Développement des solutions d’affaires Acquisition et gestion des solutions d’affaires Acquisition et gestion des systèmes impartis Tests et certification des systèmes Gestion de changements Gestion des librairies et codes sources 12
  13. 13. UNIVERS D’AUDIT DES TI (SUITE) Exploitation et Infrastructure :            Gestion des mise en production et déploiement des solutions d’affaires Exploitation et développement des serveurs Exploitation et développement des réseaux (incluant VoIP) Gestion des systèmes d’exploitation Gestion des postes de travail et des périphériques Gestion des applications bureautiques Exploitation des bases de données Exploitation des unités de stockage Gestion des incidents et des problèmes Gestion des centres d’assistance technologique Gestion de la performance et de la capacité des systèmes 13
  14. 14. UNIVERS D’AUDIT DES TI (SUITE) Exploitation et Infrastructure (suite) :      Gestion des niveaux de services Processus de sauvegarde et archivage des données Gestion de l’impartition et des partenariats d’affaires Gestion des configurations Gestion des licences Sécurité et Contrôles TI :      Encadrement de la sécurité de l’information Gestion des identités et des accès logiques aux données et applications Gestion des accès logiques aux environnements (Windows, UNIX…) Sécurité des réseaux (inclus le réseau VoIP) Gestion des vulnérabilités et correctifs de sécurité 14
  15. 15. UNIVERS D’AUDIT DES TI (SUITE) Sécurité et Contrôles TI (suite) :        Gestion des incidents de sécurité Sécurité physique de l’infrastructure TI Sécurité des applications E-commerce Gestion des clés cryptographiques Sécurité des bases de données Plan de relèves des technologiques de l’Information Surveillance et évaluation des contrôles TI 15
  16. 16. ANALYSE DE RISQUES ET PLANIFICATION ANNUELLE Stratégie adoptée :  Lors de l’exercice de planification annuelle, les risques inhérents et résiduels de chaque processus sont évalués selon des critères qualitatifs et quantitatifs (top down, bottom-up).  Les résultats de cette analyse permettent d’identifier les processus dont les sous-processus ou activités plus à risque (élevés ou modérés-élevés) seront audités dans le cadre de nos mandats en fonction de notre capacité de réalisation.  Il importe de procéder à une évaluation objective des risques inhérents et résiduels et de bien documenter la démarche de sélection de nos mandats prioritaires. 16
  17. 17. APPLICATIONS INFORMATIQUES Contexte  Plus de 1 600 applications informatiques au Mouvement Desjardins  Les propriétaires de ces applications sont généralement dans les secteurs d’affaires Applications auditées  Applications identifiées pour les besoins relatifs à Bâle  Applications identifiées pour les besoins de la vérification et de l’inspection en mode centralisé (réseau des caisses)  Applications identifiées par les 3 autres DP de la VPAIMD 17
  18. 18. APPLICATIONS INFORMATIQUES (SUITE) Approche :  Contrôles généraux TI : Contrôles communs à un ensemble d’applications. Ils ont pour objectif de veiller au développement et à la mise en œuvre appropriés des applications, à l’intégrité des fichiers de programmes et de données ainsi que des opérations informatiques. Exemples :       Sauvegardes Gestion des changements Accès logiques aux infrastructures et aux données Sécurité physique des centres de traitement Opérations informatiques Gestion des vulnérabilités Pour l’année 2013, plusieurs CGTI sont couverts via une approche transversale 18
  19. 19. APPLICATIONS INFORMATIQUES (SUITE) Approche d’audit des CGTI préconisée pour 2013 et 2014 Objectifs Audit des CGTI  Couvrir les besoins d’audit des services et processus TI gérés par le groupe GTD de Desjardins à travers un mandat unique.  Offrir par le biais d’un rapport unique, une opinion indépendante et objective sur l’état des contrôles généraux TI (CGTI) appliqués à l’infrastructure TI exploitée par le groupe GTD de Desjardins. Mouvement Desjardins CGTI Impartis 3416 IBM & Bell (Réalisé par l’Audit externe – PwC & Deloitte) CGTI non impartis Audit des processus et services TI (Réalisé par l’Audit Interne du Mouvement Desjardins) 19
  20. 20. APPLICATIONS INFORMATIQUES (SUITE) Approche d’audit des CGTI préconisée pour 2013 et 2014 Avantages  Réduction du nombre de rapports d’audit TI  Optimisation des interactions avec les différents secteurs TI de Desjardins  Simplification de la prise en charge des recommandations.  Amélioration de la reddition auprès des audités et de la CVI. 20
  21. 21. APPLICATIONS INFORMATIQUES (SUITE) 21
  22. 22. APPLICATIONS INFORMATIQUES (SUITE) Approche d’audit des CGTI préconisée pour 2013 et 2014 Fréquence des activités : couverture en 2 phases des 12 mois de l’année. Phase 1 • Couverture des 5 premiers mois de l’année: janvier - mai Phase 2 • Couverture des mois de juin – décembre 22
  23. 23. APPLICATIONS INFORMATIQUES (SUITE)  Contrôles applicatifs : Contrôles spécifiques à chaque application. Leur objectif est de veiller à l’exhaustivité et à l’exactitude des données enregistrées ainsi qu’à la validité de chaque entrée enregistrée après traitement par le programme. Types de contrôles applicatifs:  Les contrôles des données en entrée (ex. vraisemblance de la donnée saisie)  Les contrôles sur le traitement (ex. considération des plafonds de crédit des clients dans le traitement des bons de commande)  Les contrôles des données en sortie (ex. comparaison des résultats escomptés aux résultats en sortie)  Les contrôles d’intégrité (ex. droits d’accès aux fichiers maîtres)  La piste de contrôle de gestion (ex. pistes d’audit) Lors des audits TI, les contrôles applicatifs sont audités à haut niveau. Note: La fiabilité des contrôles applicatifs repose sur la fiabilité des contrôles généraux. 23
  24. 24. APPLICATIONS INFORMATIQUES (SUITE) Extrait du GTAG #8 de l’IIA portant sur l’Audit des contrôles applicatifs: «Chaque auditeur interne doit connaître les risques et les contrôles liés à l’informatique et être à même de déterminer si les contrôles applicatifs mis en œuvre sont conçus et fonctionnent correctement pour gérer les risques financiers, opérationnels et liés au respect de la réglementation. » 24
  25. 25. MANDATS EN MODE SUIVIS DE PROJETS  Lors de l’exercice de planification annuelle de nos mandats, les projets TI d’envergure sont identifiés et priorisés.  La DPAITI peut aussi collaborer avec les 3 autres DP de la VPAIMD au suivi de projets « Affaires » dotés d’un volet TI significatif. 25
  26. 26. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Qu’est-ce qu’un projet et la gestion de projet ?  Un projet consiste essentiellement à la mise en commun, pendant une période de temps prédéterminée, des ressources humaines, financières, technologiques et matérielles en vue de réaliser un objectif commun, de répondre à des besoins d’affaires spécifiques et de réaliser des bénéfices escomptés.  La gestion de projet, quant à elle, est l’ensemble des mécanismes de coordination, planification, réalisation, suivi et reddition de compte requis pour permettre l’atteinte de la finalité du projet. 26
  27. 27. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Principales méthodologies :  PMBOK 4e et 5e édition du Project Management Institute (PMI)  Norme ISO 21 500 (automne 2012)  Prince 2 (Projects in Controlled Environments)  IPMA (International Project Management Association)  CMMI du Software Engineering Institute (SEI) 27
  28. 28. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) PMBOK 5e édition : (publié en décembre 2012)  Comprend 10 domaines de connaissance : • • • • • • • • • • Intégration (Intégration – 6 processus) Portée (Scope – 6 processus) Temps-échéancier (Time – 7 processus) Coût (Cost – 4 processus) Qualité (Quality – 3 processus) Ressources humaines (Human ressources – 4 processus) Communications (Communications – 3 processus) Risque (Risk – 6 processus) Contrats externes (Procurement – 4 processus) Intéressés (Stakeholder – 4 processus) 28
  29. 29. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) PMBOK 5e édition : (publié en décembre 2012)  Comprend 15 groupe de processus et 47 processus au total : • • • • • Initiation -conception (Initiating – 2 processus) Planification (Planning – 24 processus) Exécution (Executing – 8 processus) Suivi et contrôle (Monitoring and controlling – 11 processus) Finalisation (Closing – 2 processus) 29
  30. 30. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Facteurs clés du succès :  Définition claire de l’objectif et de la portée du projet, de la cible commune à atteindre  Soutien de la direction et structure de gouvernance efficace  Compréhension des rôles et responsabilités des divers intervenants  Bonne analyse des risques au départ et suivi constant de leur évolution  Ressources humaines compétentes aptes à assumer leurs responsabilités (surtout pour le chargé de projet)  Ressources financières, matérielles et technologiques adéquates  Budget établi avec prudence et réalisme et suivi avec rigueur  Maîtrise de la complexité du projet par le chargé de projet et son équipe 30
  31. 31. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Facteurs clés du succès (suite) :          Gestion documentaire complète et bien structurée Implication des représentants des secteurs d’affaires du début à la fin Stratégie d’essais adéquate par rapport au projet et à ses enjeux Prise en compte des enjeux en sécurité de l’information (OWASP) Gestion des demandes de changement et des points en suspend Communication efficace entre les ressources humaines impliquées Suivi de gestion rigoureux basé sur des indicateurs de gestion pertinents Reddition de comptes régulière, fiable et transparente Réalisation d’un bilan de projet à des fins d’amélioration continue 31
  32. 32. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Principales lacunes observées :  Analyse de risques incomplète et/ou mal suivie en cours de projet  Dépassement des coûts (budget mal évalué au départ et/ou mauvaise gestion durant le projet)  Non respect de l’échéancier prévu pour les livraisons et le projet  Qualité des livrables inadéquate et gestion du projet déficiente  Non atteinte de l’ensemble des besoins d’affaires et bénéfices escomptés identifiés au départ  Suivi de gestion non suffisamment rigoureux  Mauvaise gouvernance et reddition de compte incomplète ou inadéquate  Manque de compétences du chargé de projet et de son équipe 32
  33. 33. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Approches possibles : mode conseil vs audit  Deux possibilités d’intervention pour l’auditeur interne par rapport à la gestion du projet et à son suivi : Mode Conseil : (approche comportant divers enjeux) • • • • Jouer un rôle aviseur auprès des intervenants du projet au niveau des livrables et de l’identification des contrôles applicatifs Attention à l’indépendance : qui ne dit rien consent Confusion quant au rôle de l’auditeur interne en mode conseil : les gens ont tendance à demander une forme d’approbation de l’auditeur interne notamment à l’égard des livrables produits Difficulté en matière de reddition de compte à la haute direction et au comité d’audit; les responsables du projet recherchent davantage un rapport conseil avec des pistes d’amélioration proposées 33
  34. 34. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Mode Audit : (approche comportant divers enjeux) • • • • • Rôle de l’auditeur interne plus clair pour tous les intervenants dans le projet, la haute direction et le comité d’audit L’indépendance de l’auditeur interne est préservée Redditions de comptes trimestrielles sur les enjeux et les préoccupations soulevées par l’auditeur interne et leur prise en charge ou non par les responsables du projet Pas de formulation de recommandations: on établit plutôt d’un rapport d’étape à l’autre un suivi évolutif et comparatif des enjeux et de nos préoccupations et on réagit via nos constatations s’il y a un désaccord avec l’équipe de projet quant à la prise en charge de certains risques Production d’un dernier rapport d’étape à la fin du projet qui résume nos interventions dans le suivi du projet (bilan) 34
  35. 35. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE • Lors de la phase de planification de chaque mandat, un questionnaire doit être complété par les auditeurs internes dans le but d’évaluer l’environnement de contrôle informatique • Ce questionnaire est un outil fort utile, spécialement pour les auditeurs internes qui ne possèdent pas de connaissances étendues en TI et il assure une plus grande uniformité et efficience dans la réalisation de nos divers mandats • Le contenu de ce questionnaire est présenté de façon sommaire dans les prochaines pages 35
  36. 36. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE Éléments à prendre en considération lors de l’évaluation :     Applications utilisées par l'équipe pour réaliser ce processus et niveau de dépendance au système. Type de données manipulées par ces applications (ex. : données financières alimentant les états financiers, données personnelles des membres ou clients, informations de gestion). Criticité de ces données et des applications elles-mêmes. Volume des opérations effectuées avec les applications : • Nombre de transactions/opérations, • Montant des transactions, • Nombre et type d’utilisateurs : membres, clients, employés, fournisseurs, etc. 36
  37. 37. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE (SUITE)    • • •  Niveau de satisfaction global par rapport à ces applications. Niveau de satisfaction par rapport aux besoins d’affaires. Fiabilité des applications : Incidents majeurs récents, Pannes par le passé, Anomalies : pertes de données, fermeture intempestive, etc. Performance de ces applications (temps de réponse acceptable ou pas).  Impact sur les activités d’une interruption des applications (majeur, moyen, faible; en termes financiers, commerciaux, réglementaires ou autres).  Niveaux de service établis avec les équipes TI. 37
  38. 38. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE (SUITE)  Relève nécessaire.  Âge de ces applications.  Changements importants survenus sur ces applications au cours des dernières années.  Responsable du développement et de la maintenance de ces applications (TI, secteur d'affaires, fournisseur externe).  Importance du budget alloué à la maintenance de ces applications.  Accompagnement disponible sur le plan de la sécurité informatique.  Incidents de sécurité liés à ces applications. 38
  39. 39. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE (SUITE)  Gestion des accès à ces applications : • Gérée par le secteur audité ou les TI, • Processus administratif formel, • Profils types correspondant aux différents postes dans votre équipe ou clonage des accès d’un employé déjà en poste, • Révision des accès à une fréquence déterminée.  Contrôles opérationnels permettant de compenser d’éventuelles faiblesses des applications.  Préoccupations concernant ces applications. 39
  40. 40. CONTENU SOMMAIRE DE LA PRÉSENTATION Partie 2:  Schéma sur les 3 lignes de défenses  Responsabilités: • des gestionnaires (1re ligne) • des fonctions de contrôle (2e ligne) • de l’audit interne (3e ligne)  Complémentarité des interventions des diverses parties  Conclusion de la présentation et période de discussion 40
  41. 41. LES 3 LIGNES DE DÉFENSE Adapted from ECIIA/FERMA Guidance on the 8th EU Company Law Directive, article 41 41
  42. 42. 1RE LIGNE DE DÉFENSE : LA GESTION • Les gestionnaires TI sont le premiers responsables de la conception, mise en place et application efficace des contrôles liés à la réalisation des activités dont ils sont imputables (niveaux stratégique, tactique et opérationnel) • Ces contrôles doivent être documentés afin d’assurer une continuité de leur application en cas de modification à la structure organisationnelle ou de changement au niveau des ressources en place 42
  43. 43. 2E LIGNE DE DÉFENSE : FONCTIONS DE CONTRÔLE • Les fonctions de contrôles sont là pour assister les gestionnaires en ce qui a trait à la conception, mise en place et application efficace des contrôles requis en lien avec les activités dont ils sont imputables. • Au sein du Mouvement Desjardins, ces fonctions se retrouvent essentiellement en Gouvernance financière TI et au sein de la Direction principale Risques et Conformité de GTD. Leurs activités sont également assujetties aux interventions menées par l’Audit interne. 43
  44. 44. 3E LIGNE DE DÉFENSE : AUDIT INTERNE • L’audit interne, à titre de fonction de surveillance indépendante, agit comme troisième ligne de défense au sein de l’organisation. • Par les interventions qu’elle réalise sur la base de son analyse de risques, la DPAI TI s’assure que la gestion ainsi que les fonctions de contrôle assument adéquatement leurs responsabilités respectives en matière de gestion des risques et des contrôles. • Elle fait rapport au CV quant aux résultats de ses travaux. 44
  45. 45. COMPLÉMENTARITÉ ET COORDINATION DES INTERVENTIONS ENTRE LES PARTIES Afin d’assurer une plus grande efficience dans la réalisation de leurs travaux respectifs et d’éviter une duplication d’efforts et une trop grande sollicitation des gestionnaires des secteurs TI, des mécanismes de coordination sont nécessaires entre les 3 lignes de défenses. Cela se concrétise notamment via l’existence d’un comité de coordination, d’échanges sur les plans annuels et de rencontres au début de chacun des mandats. Un tel comité existe chez Desjardins et il est animé par un gestionnaire de la direction principale Risques et Conformité (DPRC) de GTD. Ce comité se réunit aux 2 semaines et regroupe des représentants de l’Audit Interne, de l’Audit externe, de la Gouvernance financière TI et de la Gestion des risques. 45
  46. 46. RÔLE, RESPONSABILITÉS ET ACTIVITÉS DE LA DPRC • LA DPRC, en plus d’assurer l’animation du comité mentionné à la page précédente, assume en tant que fonction de contrôle de 2e ligne un rôle et des responsabilités de coordination clés au sein de GTD. • Elle s’assure notamment que l’ensemble des activités de contrôle et d’audit (2e et 3e lignes) sont réalisées de façon efficace et efficiente. Elle vise aussi à accompagner et supporter les gestionnaires de 1re ligne, qui sont les premiers répondants imputables en matière de gestion des risques et des contrôles TI. • Les pages suivantes présentent un peu plus en détail les principales activités de la DPRC en matière de conformité et de gestion des risques et des contrôles TI. 46
  47. 47. LA CONFORMITÉ TI 47
  48. 48. UNIVERS DE LA CONFORMITÉ DE GTD Univers de conformité TI Bâle II RCE-RCP RO-RM Vérificateurs externes - États financiers - Monétique PCI-VISA-INTERACMastercard Exigences Gouvernance financière 52-109 Audit interne Conformité réglementaire GTD Parties prenantes VPDF VPAIMD VPGIRRO VPCM Lignes d’affaires VPSAESP Vérif. Externe 48
  49. 49. PROGRAMME DE CONFORMITÉ 49
  50. 50. EXIGENCES DE LA CONFORMITÉ Les secteurs des TI sont sujets annuellement à plusieurs exigences qui se traduisent dans différentes activités Vérification OCRCVM Vérification des processus TI dans le cadre de la vérification des états financiers Autoévaluations Bâle II Exigences Travaux de la gouvernance financière (52-109) Autoévaluations VISA, INTERAC MasterCard, et PCI Mandats de vérification interne 50
  51. 51. L’APPROCHE GESTION DES RISQUES TI 51
  52. 52. LE CADRE DE GESTION DES RISQUES TECHNOLOGIQUES • Permet d’établir les bases et les composantes de la démarche de gestion, soit la : • gouvernance; • l’évaluation du risque, et; • la réponse au risque. • S’intègre dans la démarche globale du Mouvement (le risque technologique étant considéré comme une sous-catégorie du risque opérationnel) • Aligné avec les politiques existantes au Mouvement (les politiques sont listées en annexe) • Basé sur le modèle Risk-IT de l’ISACA et tient compte des exigences de l’AMF en matière de gestion des risques technologiques 52
  53. 53. QUATRE COMPOSANTES DU CADRE DE GRT • État des expositions et opportunités de risques TI • Évaluation de l’efficacité des contrôles pour atténuer les risques • Plan de traitement ou stratégie d’atténuation • Plans d’action • Rôles et responsabilités en GRT • Vigie sur les principes directeurs du Bureau de Chef de la gestion des risques • Processus de gouvernance • Univers des risques technologiques • Vigie et surveillance sur les risques technologiques • Analyse des risques technologiques • Registre de risques inhérents (TI) • État des expositions et opportunités de risques TI • Évaluation de l’efficacité des contrôles pour atténuer les risques • Plan de traitement ou stratégie d’atténuation • Plans d’action 53
  54. 54. LES RISQUES TECHNOLOGIQUES SONT CONSIDÉRÉS COMME UN SOUS-ENSEMBLE DES RISQUES OPÉRATIONNELS Catégories de risques Mouvement Catégories de risques opérationnels Catégories de risques technologiques Le risque technologique est considéré comme un sousensemble du risque opérationnel. 54
  55. 55. L’UNIVERS DES RISQUES TECHNOLOGIQUES L’Univers des risques technologiques est un pilier du volet de gouvernance des risques technologiques. Il vise à :  Circonscrire la portée des activités de gestion des risques technologiques;  Faciliter l’identification initiale des risques inhérents importants et pertinents pour l’organisation;  Soutenir la consolidation des risques ainsi que la reddition de compte.  L’univers des risques technologiques a fait l’objet d’une revue par les vérificateurs externes (PWC) et par l’audit interne 55
  56. 56. CONTRÔLES ET MULTI CONFORMITÉ 56
  57. 57. CADRE DE CONTRÔLES TI : DÉMARCHE D’ÉLABORATION  Les référentiels Cobit 5 et ISO 27002 ont été utilisés afin de classer sous un dénominateur commun l’ensemble des exigences :  52-109, PCI, Visa, Interac, Mastercard, Bâle II et les contrôles propres à des tiers  CobIT 5 : référentiel en gouvernance des TI, présente les bonnes pratiques de gestion des TI  ISO 27002 : norme des meilleures pratiques des domaines de sécurité de l’information, tels :       La gestion des accès La gestion des incidents Le plan de continuité La sécurité physique et environnementale La gestion de l‘exploitation et des télécommunications L’acquisition, développement et maintenance des systèmes d’information 57
  58. 58. APPROCHE DU CADRE DE CONTRÔLES MULTI-CONFORMITÉ Avant Chevauchement L’approche traditionnelle qui traite les « exceptions » engendre de nombreux programmes de conformité distincts qui font en sorte que la gestion des exigences selon plusieurs règlementation n’est pas uniforme ni efficace 1500 contrôles Après Harmonisation Une intégration permettant de réduire les coûts, la complexité et la charge de travail liés aux efforts de conformité est nécessaire; de grandes économies de coûts peuvent être réalisées lorsque le chevauchement est évité et qu’une définition commune des exigences est appliquée 286 contrôles Desjardins! 58
  59. 59. ÉLÉMENTS DU CADRE DE CONTRÔLES TI Cadre de contrôles TI Desjardins Pratiques de contrôle Cadre de référence Cadre de référence Cadre de référence Cadre de référence Pratiques de contrôle Contrôle Objectifs de contrôle Pratiques de contrôle Pratiques de contrôle Contrôle Contrôle Pratiques de contrôle Pratiques de contrôle Pratiques de contrôle Pratiques de contrôle 59
  60. 60. DES RÉSULTATS CONCRETS 60
  61. 61. OBJECTIF DU PROGRAMME DE CONFORMITÉ Coordonner et optimiser les travaux des auditeurs / évaluateurs Chevauchement 1 Contrôle (ex. : gestion des changements) GF Test Audit interne Audit externe Test QSA PCI Test Test Audit Monétique Test DPRC Bâle Test Potentiel de 6 tests pour un contrôle ! Harmonisation 1 Contrôle (ex. : gestion des changements) Unité x Test Réutilisation des travaux par les autres évaluateurs / auditeurs GF Audit interne Audit externe QSA PCI Audit Monétique DPRC Bâle 61
  62. 62. PLAN DE MISE EN ŒUVRE DU PROGRAMME DE CONFORMITÉ 62
  63. 63. NOTRE RECETTE Vision multi conformité 500 gr de Vision «multi conformité» 250 gr de Cadre de références sélectionné (p.ex. CobIT ) 500 gr «Mapper» les exigences au cadre de contrôle sélectionné 200 gr de Lien entre le cadre de contrôle et les risques technologiques 500 gr de Implantation d’un outil de gestion de risque et conformité Une pincée de « Gros bon sens» 63
  64. 64. CONCLUSION DE LA PRÉSENTATION ET ÉCHANGE En résumé, l’optimisation des interventions d’audit des contrôles TI passe principalement par :     Une bonne connaissance de l’organisation, de sa réalité d’affaires et de son appétit pour le risque. Une bonne évaluation des risques majeurs et des contrôles clés conçus et appliqués par les gestionnaires. Une capacité de l’audit interne à effectuer annuellement, de façon efficace et efficiente, ses mandats jugés prioritaires (adéquation des ressources). Une coordination et une réalisation efficace et efficiente des interventions et activités menées par les différentes lignes de défense, compte tenu de leurs responsabilités respectives . 64
  65. 65. CONCLUSION DE LA PRÉSENTATION ET ÉCHANGE Merci ! Période de questions et d’échanges 65

×