SlideShare une entreprise Scribd logo
1  sur  65
OPTIMISATION DE L’AUDIT DES CONTRÔLES TI
CARL LALIBERTÉ CPA,CA, CIA, CISA, CISSP
DIRECTEUR PRINCIPAL AUDIT INTERNE, TI
VICE-PRÉSIDENCE AUDIT INTERNE, MOUVEMENT DESJARDINS
22 JANVIER 2014

http://www.isaca-quebec.ca
1
DES QUESTIONS CLÉS À SE POSER
Quel niveau de contrôle peut être considéré comme
suffisant pour notre organisation ?

La réponse sous forme d’une autre question :
Quel est le niveau de risque résiduel jugé acceptable par
les administrateurs, la direction et les gestionnaires de
notre organisation ?

2
DES ÉLÉMENTS IMPORTANTS À CONSIDÉRER À DES
FINS D’OPTIMISATION DE L’AUDIT
•

Appétit pour le risque des administrateurs, de la direction
et des gestionnaires

•

Connaissance des risques majeurs de l’organisation

•

Réalité d’affaires et situation budgétaire de l’organisation

•

Diversité des processus et activités d’affaires et TI

•

Situation économique et budgétaire de l’organisation

•

Connaissance des informations sensibles et applications
critiques

3
DES ÉLÉMENTS IMPORTANTS À CONSIDÉRER À DES
FINS D’OPTIMISATION DE L’AUDIT (SUITE)
•

Documentation de la conception, mise en place et
application efficace des contrôles par les gestionnaires

•

Connaissance des risques associés aux projets de
développement majeurs en cours ou à venir

•

Complexité technologique de l’organisation

•

Vigie à l’égard des tendances et besoins émergents en TI

•

Analyse judicieuse des risques TI et sélection des mandats
prioritaires à réaliser par l’audit interne TI

•

Adéquation des ressources pour réaliser les mandats

4
CONTENU SOMMAIRE DE LA PRÉSENTATION
Partie 1 :
 Groupe Technologies Desjardins (statistiques et vidéos)
 Ressources affectées à la planification et réalisation des
mandats en audit interne TI
 Univers d’audit des TI (domaines et processus couverts)
 Analyse de risques et planification annuelle des mandats

 Applications informatiques (CGTI et contrôles applicatifs)
 Mandats réalisés en mode suivi de projets

5
GROUPE TECHNOLOGIES DESJARDINS (GTD)
Informations générales et statistiques sur GTD :
• L’entité légale qu’est GTD a été créée en 2010 et a
commencé ses opérations le 1er janvier 2011.
• GTD offre, en collaboration avec des impartiteurs majeurs,
des services en TI aux autres entités du Mouvement
(Fédération, DSF, DGAG, CCD, VMD, etc.).
• GTD doit gérer des activités informatiques très diversifiées
et des plates-formes multi-générationnelles, au niveau de
l’infrastructure, des applications et des données.

6
GROUPE TECHNOLOGIES DESJARDINS (GTD)
Informations générales et statistiques (suite) :
•
•
•
•
•
•
•

Budget annuel de 900 M$
2 400 employés, plus de 1 600 applications
52 000 postes de travail et plus de 6 500 serveurs
2 600 guichets automatiques, 66 000 TPV
387 millions de transactions aux GA par année
43 000 téléphones et 5 000 km de fibre optique
375 000 jp d’efforts de développement par année, 450 M$

• Présentation d’un court vidéo sur GTD

7
ÉVOLUTION DU CONTEXTE DES TI ET DE GTD
2009 – 2012
«Jeter les bases»
 Priorités
•
•
•

Optimisation de l’exploitation
Rehaussement de la sécurité TI
Création de Groupe
Technologies Desjardins (GTD)

 Nature des projets
•

Spécifiques aux secteurs
d’affaires et fonctions de
soutien Mouvement

2013 – 2016
«Maximiser la valeur»
 Priorités
•
•

Modernisation des
infrastructures technologiques
Évolution du développement et
de la maintenance applicative

 Nature des projets
•
•

Spécifiques aux secteurs
d’affaires et fonctions de
soutien Mouvement
Transversaux à l’échelle du
Mouvement

8
RESSOURCES AFFECTÉES À LA PLANIFICATION ET
RÉALISATION DES MANDATS EN AI TI
La DPAITI compte au total 10 ressources professionnelles
disposant :
• de formations et titres professionnels diversifiés

• d’une connaissance étendue de GTD et du Mouvement
• de compétences variées et complémentaires en TI
• de connaissances avancées en audit interne
• de procédures conformes aux normes professionnelles
• d’outils informatisés utilisés à des fins multiples

9
UNIVERS D’AUDIT DES TI
Notre univers d’audit des TI se compose essentiellement de :
• 46 macro-processus composés de sous processus et d’activités et
répartis dans 5 grands domaines
• Plus de 1 600 applications supportant un grand nombre de besoins
d’affaires différents
• Une multitude de projets de développement informatique aux niveaux
TI et Affaires représentant plus de 450 M$ sur base annuelle

10
UNIVERS D’AUDIT DES TI
Nous avons divisé les activités TI en 46 macro-processus
répartis dans 5 domaines :
Gouvernance :








Planification stratégique TI
Gestion des risques
Gestion des projets
Gestion des investissements et de la valeur des TI
Mesure de la performance et maturité des processus
Gestion de la conformité et des contrôles TI
Gestion des ressources humaines

11
UNIVERS D’AUDIT DES TI (SUITE)
Architecture :





Architecture d’infrastructure
Architecture des données
Architecture des solutions d’affaires
Architecture d’entreprise et orientations technologiques

Acquisition, développement et support des systèmes :








Identification des besoins et estimations ressources
Développement des solutions d’affaires
Acquisition et gestion des solutions d’affaires
Acquisition et gestion des systèmes impartis
Tests et certification des systèmes
Gestion de changements
Gestion des librairies et codes sources

12
UNIVERS D’AUDIT DES TI (SUITE)
Exploitation et Infrastructure :












Gestion des mise en production et déploiement des solutions d’affaires
Exploitation et développement des serveurs
Exploitation et développement des réseaux (incluant VoIP)
Gestion des systèmes d’exploitation
Gestion des postes de travail et des périphériques
Gestion des applications bureautiques
Exploitation des bases de données
Exploitation des unités de stockage
Gestion des incidents et des problèmes
Gestion des centres d’assistance technologique
Gestion de la performance et de la capacité des systèmes

13
UNIVERS D’AUDIT DES TI (SUITE)
Exploitation et Infrastructure (suite) :






Gestion des niveaux de services
Processus de sauvegarde et archivage des données
Gestion de l’impartition et des partenariats d’affaires
Gestion des configurations
Gestion des licences

Sécurité et Contrôles TI :






Encadrement de la sécurité de l’information
Gestion des identités et des accès logiques aux données et applications
Gestion des accès logiques aux environnements (Windows, UNIX…)
Sécurité des réseaux (inclus le réseau VoIP)
Gestion des vulnérabilités et correctifs de sécurité

14
UNIVERS D’AUDIT DES TI (SUITE)
Sécurité et Contrôles TI (suite) :








Gestion des incidents de sécurité
Sécurité physique de l’infrastructure TI
Sécurité des applications E-commerce
Gestion des clés cryptographiques
Sécurité des bases de données
Plan de relèves des technologiques de l’Information
Surveillance et évaluation des contrôles TI

15
ANALYSE DE RISQUES ET PLANIFICATION ANNUELLE
Stratégie adoptée :
 Lors de l’exercice de planification annuelle, les risques
inhérents et résiduels de chaque processus sont évalués selon
des critères qualitatifs et quantitatifs (top down, bottom-up).
 Les résultats de cette analyse permettent d’identifier les
processus dont les sous-processus ou activités plus à risque
(élevés ou modérés-élevés) seront audités dans le cadre de nos
mandats en fonction de notre capacité de réalisation.
 Il importe de procéder à une évaluation objective des risques
inhérents et résiduels et de bien documenter la démarche de
sélection de nos mandats prioritaires.

16
APPLICATIONS INFORMATIQUES
Contexte
 Plus de 1 600 applications informatiques au Mouvement
Desjardins
 Les propriétaires de ces applications sont généralement dans
les secteurs d’affaires

Applications auditées
 Applications identifiées pour les besoins relatifs à Bâle
 Applications identifiées pour les besoins de la vérification et de
l’inspection en mode centralisé (réseau des caisses)
 Applications identifiées par les 3 autres DP de la VPAIMD

17
APPLICATIONS INFORMATIQUES (SUITE)
Approche :


Contrôles généraux TI : Contrôles communs à un ensemble
d’applications. Ils ont pour objectif de veiller au développement et à la
mise en œuvre appropriés des applications, à l’intégrité des fichiers de
programmes et de données ainsi que des opérations informatiques.
Exemples :







Sauvegardes
Gestion des changements
Accès logiques aux infrastructures et aux données
Sécurité physique des centres de traitement
Opérations informatiques
Gestion des vulnérabilités

Pour l’année 2013, plusieurs CGTI sont couverts via une approche transversale

18
APPLICATIONS INFORMATIQUES (SUITE)
Approche d’audit des CGTI préconisée pour 2013 et 2014
Objectifs
Audit des CGTI
 Couvrir les besoins d’audit des services et
processus TI gérés par le groupe GTD de
Desjardins à travers un mandat unique.
 Offrir par le biais d’un rapport unique, une
opinion indépendante et objective sur
l’état des contrôles généraux TI (CGTI)
appliqués à l’infrastructure TI exploitée
par le groupe GTD de Desjardins.

Mouvement Desjardins
CGTI Impartis
3416 IBM & Bell
(Réalisé par l’Audit
externe – PwC &
Deloitte)

CGTI non impartis
Audit des
processus et
services TI
(Réalisé par l’Audit
Interne du
Mouvement
Desjardins)

19
APPLICATIONS INFORMATIQUES (SUITE)
Approche d’audit des CGTI préconisée pour 2013 et 2014
Avantages
 Réduction du nombre de rapports d’audit TI
 Optimisation des interactions avec les différents secteurs TI de
Desjardins
 Simplification de la prise en charge des recommandations.
 Amélioration de la reddition auprès des audités et de la CVI.

20
APPLICATIONS INFORMATIQUES (SUITE)

21
APPLICATIONS INFORMATIQUES (SUITE)
Approche d’audit des CGTI préconisée pour 2013 et 2014
Fréquence des activités : couverture en 2 phases des 12 mois de l’année.
Phase 1

• Couverture des 5 premiers mois de l’année:
janvier - mai

Phase 2

• Couverture des mois de juin – décembre

22
APPLICATIONS INFORMATIQUES (SUITE)
 Contrôles applicatifs : Contrôles spécifiques à chaque application. Leur
objectif est de veiller à l’exhaustivité et à l’exactitude des données
enregistrées ainsi qu’à la validité de chaque entrée enregistrée après
traitement par le programme.

Types de contrôles applicatifs:
 Les contrôles des données en entrée (ex. vraisemblance de la donnée saisie)
 Les contrôles sur le traitement (ex. considération des plafonds de crédit des clients
dans le traitement des bons de commande)
 Les contrôles des données en sortie (ex. comparaison des résultats escomptés aux
résultats en sortie)
 Les contrôles d’intégrité (ex. droits d’accès aux fichiers maîtres)
 La piste de contrôle de gestion (ex. pistes d’audit)

Lors des audits TI, les contrôles applicatifs sont audités à haut niveau.
Note: La fiabilité des contrôles applicatifs repose sur la fiabilité des contrôles
généraux.

23
APPLICATIONS INFORMATIQUES (SUITE)
Extrait du GTAG #8 de l’IIA portant sur l’Audit des contrôles
applicatifs:
«Chaque auditeur interne doit connaître les risques et les
contrôles liés à l’informatique et être à même de déterminer
si les contrôles applicatifs mis en œuvre sont conçus et
fonctionnent correctement pour gérer les risques financiers,
opérationnels et liés au respect de la réglementation. »

24
MANDATS EN MODE SUIVIS DE PROJETS
 Lors de l’exercice de planification annuelle de nos
mandats, les projets TI d’envergure sont identifiés et
priorisés.
 La DPAITI peut aussi collaborer avec les 3 autres DP
de la VPAIMD au suivi de projets « Affaires » dotés
d’un volet TI significatif.

25
MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Qu’est-ce qu’un projet et la gestion de projet ?


Un projet consiste essentiellement à la mise en commun, pendant
une période de temps prédéterminée, des ressources humaines,
financières, technologiques et matérielles en vue de réaliser un
objectif commun, de répondre à des besoins d’affaires spécifiques et
de réaliser des bénéfices escomptés.



La gestion de projet, quant à elle, est l’ensemble des mécanismes de
coordination, planification, réalisation, suivi et reddition de compte
requis pour permettre l’atteinte de la finalité du projet.

26
MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Principales méthodologies :
 PMBOK 4e et 5e édition du Project Management Institute
(PMI)

 Norme ISO 21 500 (automne 2012)
 Prince 2 (Projects in Controlled Environments)
 IPMA (International Project Management Association)
 CMMI du Software Engineering Institute (SEI)

27
MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
PMBOK 5e édition : (publié en décembre 2012)
 Comprend 10 domaines de connaissance :
•
•
•
•
•
•
•
•
•
•

Intégration (Intégration – 6 processus)
Portée (Scope – 6 processus)
Temps-échéancier (Time – 7 processus)
Coût (Cost – 4 processus)
Qualité (Quality – 3 processus)
Ressources humaines (Human ressources – 4 processus)
Communications (Communications – 3 processus)
Risque (Risk – 6 processus)
Contrats externes (Procurement – 4 processus)
Intéressés (Stakeholder – 4 processus)

28
MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
PMBOK 5e édition : (publié en décembre 2012)
 Comprend 15 groupe de processus et 47 processus
au total :
•
•
•
•

•

Initiation -conception (Initiating – 2 processus)
Planification (Planning – 24 processus)
Exécution (Executing – 8 processus)
Suivi et contrôle (Monitoring and controlling – 11
processus)
Finalisation (Closing – 2 processus)

29
MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Facteurs clés du succès :
 Définition claire de l’objectif et de la portée du projet, de la cible commune à
atteindre
 Soutien de la direction et structure de gouvernance efficace
 Compréhension des rôles et responsabilités des divers intervenants
 Bonne analyse des risques au départ et suivi constant de leur évolution
 Ressources humaines compétentes aptes à assumer leurs responsabilités
(surtout pour le chargé de projet)
 Ressources financières, matérielles et technologiques adéquates
 Budget établi avec prudence et réalisme et suivi avec rigueur
 Maîtrise de la complexité du projet par le chargé de projet et son équipe

30
MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Facteurs clés du succès (suite) :










Gestion documentaire complète et bien structurée
Implication des représentants des secteurs d’affaires du début à la fin
Stratégie d’essais adéquate par rapport au projet et à ses enjeux
Prise en compte des enjeux en sécurité de l’information (OWASP)
Gestion des demandes de changement et des points en suspend
Communication efficace entre les ressources humaines impliquées
Suivi de gestion rigoureux basé sur des indicateurs de gestion pertinents
Reddition de comptes régulière, fiable et transparente
Réalisation d’un bilan de projet à des fins d’amélioration continue

31
MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Principales lacunes observées :
 Analyse de risques incomplète et/ou mal suivie en cours de projet
 Dépassement des coûts (budget mal évalué au départ et/ou mauvaise gestion
durant le projet)
 Non respect de l’échéancier prévu pour les livraisons et le projet
 Qualité des livrables inadéquate et gestion du projet déficiente
 Non atteinte de l’ensemble des besoins d’affaires et bénéfices escomptés
identifiés au départ
 Suivi de gestion non suffisamment rigoureux
 Mauvaise gouvernance et reddition de compte incomplète ou inadéquate
 Manque de compétences du chargé de projet et de son équipe

32
MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Approches possibles : mode conseil vs audit


Deux possibilités d’intervention pour l’auditeur interne par
rapport à la gestion du projet et à son suivi :

Mode Conseil : (approche comportant divers enjeux)
•
•
•
•

Jouer un rôle aviseur auprès des intervenants du projet au niveau des livrables et de
l’identification des contrôles applicatifs
Attention à l’indépendance : qui ne dit rien consent
Confusion quant au rôle de l’auditeur interne en mode conseil : les gens ont tendance à
demander une forme d’approbation de l’auditeur interne notamment à l’égard des
livrables produits
Difficulté en matière de reddition de compte à la haute direction et au comité d’audit;
les responsables du projet recherchent davantage un rapport conseil avec des pistes
d’amélioration proposées

33
MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Mode Audit : (approche comportant divers enjeux)
•
•
•
•

•

Rôle de l’auditeur interne plus clair pour tous les intervenants dans le projet, la haute
direction et le comité d’audit
L’indépendance de l’auditeur interne est préservée
Redditions de comptes trimestrielles sur les enjeux et les préoccupations soulevées par
l’auditeur interne et leur prise en charge ou non par les responsables du projet
Pas de formulation de recommandations: on établit plutôt d’un rapport d’étape à
l’autre un suivi évolutif et comparatif des enjeux et de nos préoccupations et on réagit
via nos constatations s’il y a un désaccord avec l’équipe de projet quant à la prise en
charge de certains risques
Production d’un dernier rapport d’étape à la fin du projet qui résume nos interventions
dans le suivi du projet (bilan)

34
APPRÉCIATION DE L’ENVIRONNEMENT DE
CONTRÔLE INFORMATIQUE
• Lors de la phase de planification de chaque mandat, un questionnaire
doit être complété par les auditeurs internes dans le but d’évaluer
l’environnement de contrôle informatique
• Ce questionnaire est un outil fort utile, spécialement pour les
auditeurs internes qui ne possèdent pas de connaissances étendues
en TI et il assure une plus grande uniformité et efficience dans la
réalisation de nos divers mandats
• Le contenu de ce questionnaire est présenté de façon sommaire dans
les prochaines pages

35
APPRÉCIATION DE L’ENVIRONNEMENT DE
CONTRÔLE INFORMATIQUE
Éléments à prendre en considération lors de l’évaluation :





Applications utilisées par l'équipe pour réaliser ce processus et
niveau de dépendance au système.
Type de données manipulées par ces applications (ex. : données
financières alimentant les états financiers, données personnelles des
membres ou clients, informations de gestion).
Criticité de ces données et des applications elles-mêmes.
Volume des opérations effectuées avec les applications :
• Nombre de transactions/opérations,
• Montant des transactions,
• Nombre et type d’utilisateurs : membres, clients, employés, fournisseurs, etc.

36
APPRÉCIATION DE L’ENVIRONNEMENT DE
CONTRÔLE INFORMATIQUE (SUITE)



•
•
•


Niveau de satisfaction global par rapport à ces applications.
Niveau de satisfaction par rapport aux besoins d’affaires.
Fiabilité des applications :
Incidents majeurs récents,
Pannes par le passé,
Anomalies : pertes de données, fermeture intempestive, etc.
Performance de ces applications (temps de réponse acceptable ou
pas).
 Impact sur les activités d’une interruption des applications (majeur,
moyen, faible; en termes financiers, commerciaux, réglementaires ou
autres).
 Niveaux de service établis avec les équipes TI.

37
APPRÉCIATION DE L’ENVIRONNEMENT DE
CONTRÔLE INFORMATIQUE (SUITE)
 Relève nécessaire.
 Âge de ces applications.
 Changements importants survenus sur ces applications au
cours des dernières années.
 Responsable du développement et de la maintenance de ces
applications (TI, secteur d'affaires, fournisseur externe).
 Importance du budget alloué à la maintenance de ces
applications.
 Accompagnement disponible sur le plan de la sécurité
informatique.
 Incidents de sécurité liés à ces applications.

38
APPRÉCIATION DE L’ENVIRONNEMENT DE
CONTRÔLE INFORMATIQUE (SUITE)
 Gestion des accès à ces applications :
• Gérée par le secteur audité ou les TI,
• Processus administratif formel,
• Profils types correspondant aux différents postes dans votre
équipe ou clonage des accès d’un employé déjà en poste,
• Révision des accès à une fréquence déterminée.

 Contrôles opérationnels permettant de compenser
d’éventuelles faiblesses des applications.
 Préoccupations concernant ces applications.

39
CONTENU SOMMAIRE DE LA PRÉSENTATION
Partie 2:
 Schéma sur les 3 lignes de défenses
 Responsabilités:
• des gestionnaires (1re ligne)
• des fonctions de contrôle (2e ligne)
• de l’audit interne (3e ligne)
 Complémentarité des interventions des diverses parties
 Conclusion de la présentation et période de discussion

40
LES 3 LIGNES DE DÉFENSE

Adapted from ECIIA/FERMA Guidance on the 8th EU Company Law Directive, article 41

41
1RE LIGNE DE DÉFENSE : LA GESTION
•

Les gestionnaires TI sont le premiers responsables de la
conception, mise en place et application efficace des
contrôles liés à la réalisation des activités dont ils sont
imputables (niveaux stratégique, tactique et opérationnel)

•

Ces contrôles doivent être documentés afin d’assurer une
continuité de leur application en cas de modification à la
structure organisationnelle ou de changement au niveau
des ressources en place

42
2E LIGNE DE DÉFENSE : FONCTIONS DE CONTRÔLE
•

Les fonctions de contrôles sont là pour assister les
gestionnaires en ce qui a trait à la conception, mise en
place et application efficace des contrôles requis en lien
avec les activités dont ils sont imputables.

•

Au sein du Mouvement Desjardins, ces fonctions se
retrouvent essentiellement en Gouvernance financière TI
et au sein de la Direction principale Risques et Conformité
de GTD. Leurs activités sont également assujetties aux
interventions menées par l’Audit interne.

43
3E LIGNE DE DÉFENSE : AUDIT INTERNE
•

L’audit interne, à titre de fonction de surveillance
indépendante, agit comme troisième ligne de défense au
sein de l’organisation.

•

Par les interventions qu’elle réalise sur la base de son
analyse de risques, la DPAI TI s’assure que la gestion ainsi
que les fonctions de contrôle assument adéquatement
leurs responsabilités respectives en matière de gestion
des risques et des contrôles.

•

Elle fait rapport au CV quant aux résultats de ses travaux.

44
COMPLÉMENTARITÉ ET COORDINATION DES
INTERVENTIONS ENTRE LES PARTIES
Afin d’assurer une plus grande efficience dans la réalisation de leurs travaux respectifs et
d’éviter une duplication d’efforts et une trop grande sollicitation des gestionnaires des
secteurs TI, des mécanismes de coordination sont nécessaires entre les 3 lignes de défenses.
Cela se concrétise notamment via l’existence d’un comité de coordination, d’échanges sur les
plans annuels et de rencontres au début de chacun des mandats.
Un tel comité existe chez Desjardins et il est animé par un gestionnaire de la direction
principale Risques et Conformité (DPRC) de GTD. Ce comité se réunit aux 2 semaines et
regroupe des représentants de l’Audit Interne, de l’Audit externe, de la Gouvernance

financière TI et de la Gestion des risques.

45
RÔLE, RESPONSABILITÉS ET ACTIVITÉS DE LA DPRC
•

LA DPRC, en plus d’assurer l’animation du comité mentionné à la page précédente,
assume en tant que fonction de contrôle de 2e ligne un rôle et des responsabilités de
coordination clés au sein de GTD.

•

Elle s’assure notamment que l’ensemble des activités de contrôle et d’audit (2e et 3e
lignes) sont réalisées de façon efficace et efficiente. Elle vise aussi à accompagner et
supporter les gestionnaires de 1re ligne, qui sont les premiers répondants imputables en
matière de gestion des risques et des contrôles TI.

•

Les pages suivantes présentent un peu plus en détail les principales activités de la DPRC

en matière de conformité et de gestion des risques et des contrôles TI.

46
LA CONFORMITÉ TI

47
UNIVERS DE LA CONFORMITÉ DE GTD
Univers de conformité TI
Bâle II
RCE-RCP
RO-RM

Vérificateurs
externes
- États
financiers -

Monétique
PCI-VISA-INTERACMastercard

Exigences
Gouvernance
financière

52-109

Audit interne
Conformité
réglementaire

GTD

Parties prenantes
VPDF

VPAIMD

VPGIRRO

VPCM

Lignes
d’affaires

VPSAESP

Vérif.
Externe

48
PROGRAMME DE CONFORMITÉ

49
EXIGENCES DE LA CONFORMITÉ
Les secteurs des TI
sont sujets
annuellement à
plusieurs
exigences qui se
traduisent dans
différentes
activités

Vérification
OCRCVM
Vérification
des processus TI
dans le cadre de la
vérification des
états financiers

Autoévaluations
Bâle II

Exigences
Travaux
de la gouvernance
financière (52-109)

Autoévaluations
VISA, INTERAC
MasterCard, et PCI
Mandats
de vérification
interne

50
L’APPROCHE GESTION DES RISQUES TI

51
LE CADRE DE GESTION DES RISQUES
TECHNOLOGIQUES
• Permet d’établir les bases et les composantes de la
démarche de gestion, soit la :
• gouvernance;
• l’évaluation du risque, et;
• la réponse au risque.
• S’intègre dans la démarche globale du Mouvement
(le risque technologique étant considéré comme une
sous-catégorie du risque opérationnel)
• Aligné avec les politiques existantes au Mouvement
(les politiques sont listées en annexe)
• Basé sur le modèle Risk-IT de l’ISACA et tient compte
des exigences de l’AMF en matière de gestion des
risques technologiques

52
QUATRE COMPOSANTES DU CADRE DE GRT
• État des expositions et
opportunités de risques TI
• Évaluation de l’efficacité
des contrôles pour
atténuer les risques
• Plan de traitement ou
stratégie d’atténuation
• Plans d’action

• Rôles et responsabilités en GRT
• Vigie sur les principes directeurs
du Bureau de Chef de la gestion
des risques
• Processus de gouvernance
• Univers des risques
technologiques

• Vigie et surveillance sur les
risques technologiques
• Analyse des risques
technologiques
• Registre de risques inhérents (TI)
• État des expositions et
opportunités de risques TI
• Évaluation de l’efficacité
des contrôles pour
atténuer les risques
• Plan de traitement ou
stratégie d’atténuation
• Plans d’action

53
LES RISQUES TECHNOLOGIQUES SONT CONSIDÉRÉS COMME UN
SOUS-ENSEMBLE DES RISQUES OPÉRATIONNELS
Catégories de
risques Mouvement

Catégories de
risques opérationnels

Catégories de
risques technologiques

Le risque technologique est considéré comme un sousensemble du risque opérationnel.

54
L’UNIVERS DES RISQUES TECHNOLOGIQUES
L’Univers des risques technologiques est un pilier du volet de
gouvernance des risques technologiques.
Il vise à :
 Circonscrire la portée des
activités de gestion des
risques technologiques;
 Faciliter l’identification
initiale des risques
inhérents importants et
pertinents pour
l’organisation;
 Soutenir la consolidation
des risques ainsi que la
reddition de compte.

 L’univers des risques technologiques a fait l’objet d’une revue par les vérificateurs externes
(PWC) et par l’audit interne

55
CONTRÔLES ET MULTI CONFORMITÉ

56
CADRE DE CONTRÔLES TI :
DÉMARCHE D’ÉLABORATION
 Les référentiels Cobit 5 et ISO 27002 ont été utilisés afin de classer sous un
dénominateur commun l’ensemble des exigences :
 52-109, PCI, Visa, Interac, Mastercard, Bâle II et les contrôles propres à des tiers

 CobIT 5 : référentiel en gouvernance des TI, présente les bonnes pratiques de
gestion des TI

 ISO 27002 : norme des meilleures pratiques des domaines de sécurité de
l’information, tels :







La gestion des accès
La gestion des incidents
Le plan de continuité
La sécurité physique et environnementale
La gestion de l‘exploitation et des télécommunications
L’acquisition, développement et maintenance des systèmes d’information

57
APPROCHE DU CADRE DE CONTRÔLES
MULTI-CONFORMITÉ
Avant
Chevauchement
L’approche traditionnelle qui traite les « exceptions » engendre de
nombreux programmes de conformité distincts qui font en sorte que
la gestion des exigences selon plusieurs règlementation n’est pas
uniforme ni efficace

1500 contrôles

Après
Harmonisation
Une intégration permettant de réduire les coûts, la complexité et la
charge de travail liés aux efforts de conformité est nécessaire; de
grandes économies de coûts peuvent être réalisées lorsque le
chevauchement est évité et qu’une définition commune des
exigences est appliquée

286 contrôles Desjardins!

58
ÉLÉMENTS DU CADRE DE CONTRÔLES TI
Cadre de contrôles TI Desjardins
Pratiques de contrôle
Cadre de référence
Cadre de référence
Cadre de référence
Cadre de référence

Pratiques de contrôle
Contrôle

Objectifs
de contrôle

Pratiques de contrôle
Pratiques de contrôle

Contrôle
Contrôle

Pratiques de contrôle
Pratiques de contrôle
Pratiques de contrôle
Pratiques de contrôle

59
DES RÉSULTATS CONCRETS

60
OBJECTIF DU PROGRAMME DE CONFORMITÉ
Coordonner et optimiser les travaux des auditeurs / évaluateurs

Chevauchement
1 Contrôle (ex. : gestion des changements)
GF

Test

Audit
interne

Audit externe

Test

QSA
PCI

Test

Test

Audit
Monétique
Test

DPRC
Bâle
Test

Potentiel de 6 tests pour un contrôle !

Harmonisation
1 Contrôle (ex. : gestion des changements)
Unité x

Test
Réutilisation des travaux par les
autres évaluateurs / auditeurs
GF

Audit interne

Audit externe

QSA
PCI

Audit
Monétique

DPRC
Bâle

61
PLAN DE MISE EN ŒUVRE DU PROGRAMME
DE CONFORMITÉ

62
NOTRE RECETTE

Vision multi
conformité

500 gr de Vision «multi conformité»
250 gr de Cadre de références sélectionné (p.ex. CobIT )
500 gr «Mapper» les exigences au cadre de contrôle sélectionné
200 gr de Lien entre le cadre de contrôle et les risques technologiques
500 gr de Implantation d’un outil de gestion de risque et conformité

Une pincée de « Gros bon sens»

63
CONCLUSION DE LA PRÉSENTATION ET ÉCHANGE
En résumé, l’optimisation des interventions d’audit des
contrôles TI passe principalement par :





Une bonne connaissance de l’organisation, de sa réalité d’affaires et de son
appétit pour le risque.
Une bonne évaluation des risques majeurs et des contrôles clés conçus et
appliqués par les gestionnaires.
Une capacité de l’audit interne à effectuer annuellement, de façon efficace et
efficiente, ses mandats jugés prioritaires (adéquation des ressources).
Une coordination et une réalisation efficace et efficiente des interventions et
activités menées par les différentes lignes de défense, compte tenu de leurs
responsabilités respectives .

64
CONCLUSION DE LA PRÉSENTATION ET ÉCHANGE

Merci !
Période de questions et d’échanges

65

Contenu connexe

Tendances

Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
 L’organisation et la formalisation du management des risques selon l’ISO 31000  L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 PECB
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5ISACA Chapitre de Québec
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueFINALIANCE
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURICours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURIMansouri Khalifa
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Ammar Sassi
 

Tendances (20)

Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
 L’organisation et la formalisation du management des risques selon l’ISO 31000  L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
La Gouvernance IT
La Gouvernance ITLa Gouvernance IT
La Gouvernance IT
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
 
Audit des projets informatiques
Audit des projets informatiquesAudit des projets informatiques
Audit des projets informatiques
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURICours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
SoutenanceCobIT
SoutenanceCobITSoutenanceCobIT
SoutenanceCobIT
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
 

En vedette

Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2ISACA Chapitre de Québec
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
Auditing by CIS . Chapter 6
Auditing by CIS . Chapter 6Auditing by CIS . Chapter 6
Auditing by CIS . Chapter 6Sharah Ayumi
 
Partie 1 audit comptable et financier
Partie 1 audit comptable et financierPartie 1 audit comptable et financier
Partie 1 audit comptable et financierZouhair Aitelhaj
 
Internal Control
Internal ControlInternal Control
Internal ControlSalih Islam
 
les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneYoussef Bensafi
 
COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER Hajar EL GUERI
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'auditBRAHIM MELLOUL
 
Estrategias de fijación de precios
Estrategias de fijación de preciosEstrategias de fijación de precios
Estrategias de fijación de preciosSaris Moncada Lopera
 
Formato para la presentación de un pn
Formato para la presentación de un pnFormato para la presentación de un pn
Formato para la presentación de un pnSaris Moncada Lopera
 
7eme-sondage-brides-du-5-au-12-oct-2015
 7eme-sondage-brides-du-5-au-12-oct-2015 7eme-sondage-brides-du-5-au-12-oct-2015
7eme-sondage-brides-du-5-au-12-oct-2015Daniel Alouidor
 
Presentation Adhesion Group
Presentation Adhesion GroupPresentation Adhesion Group
Presentation Adhesion GroupVanessa Levi
 

En vedette (20)

Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
 
Auditing by CIS . Chapter 6
Auditing by CIS . Chapter 6Auditing by CIS . Chapter 6
Auditing by CIS . Chapter 6
 
Partie 1 audit comptable et financier
Partie 1 audit comptable et financierPartie 1 audit comptable et financier
Partie 1 audit comptable et financier
 
Internal Control
Internal ControlInternal Control
Internal Control
 
les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interne
 
COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER
 
Audit presentation
Audit presentationAudit presentation
Audit presentation
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'audit
 
Résultats prix opéra 2013
Résultats prix opéra 2013Résultats prix opéra 2013
Résultats prix opéra 2013
 
Triangulos
TriangulosTriangulos
Triangulos
 
Julian beever
Julian beeverJulian beever
Julian beever
 
Estrategias de fijación de precios
Estrategias de fijación de preciosEstrategias de fijación de precios
Estrategias de fijación de precios
 
555 Flipflop
555 Flipflop555 Flipflop
555 Flipflop
 
Formato para la presentación de un pn
Formato para la presentación de un pnFormato para la presentación de un pn
Formato para la presentación de un pn
 
El CMV Y EL CUELLO DE BOTELLA
El CMV Y EL CUELLO DE BOTELLAEl CMV Y EL CUELLO DE BOTELLA
El CMV Y EL CUELLO DE BOTELLA
 
Europeización.
Europeización.Europeización.
Europeización.
 
7eme-sondage-brides-du-5-au-12-oct-2015
 7eme-sondage-brides-du-5-au-12-oct-2015 7eme-sondage-brides-du-5-au-12-oct-2015
7eme-sondage-brides-du-5-au-12-oct-2015
 
Presentation Adhesion Group
Presentation Adhesion GroupPresentation Adhesion Group
Presentation Adhesion Group
 

Similaire à Optimisation de l’audit des contrôles TI

Audit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfAudit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfTAFEMBLANC
 
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationpapediallo3
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesAbdeslam Menacere
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfsaadbourouis2
 
La vérité sur le Big Data, Hadoop, l'internet des objets et les tendances tec...
La vérité sur le Big Data, Hadoop, l'internet des objets et les tendances tec...La vérité sur le Big Data, Hadoop, l'internet des objets et les tendances tec...
La vérité sur le Big Data, Hadoop, l'internet des objets et les tendances tec...PMI-Montréal
 
Big data en (ré)assurance régis delayet
Big data en (ré)assurance   régis delayetBig data en (ré)assurance   régis delayet
Big data en (ré)assurance régis delayetKezhan SHI
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquechammem
 
Prise en charge des documents à partir des processus
Prise en charge des documents à partir des processusPrise en charge des documents à partir des processus
Prise en charge des documents à partir des processusJean-Pierre BENOIT
 

Similaire à Optimisation de l’audit des contrôles TI (20)

Audit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfAudit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdf
 
[2]bis
[2]bis[2]bis
[2]bis
 
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'information
 
Cobit
Cobit Cobit
Cobit
 
présentation des services ITC
présentation des services ITCprésentation des services ITC
présentation des services ITC
 
COBIT
COBIT COBIT
COBIT
 
GTAG: Documents de référence
GTAG: Documents de référenceGTAG: Documents de référence
GTAG: Documents de référence
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référence
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantes
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdf
 
La vérité sur le Big Data, Hadoop, l'internet des objets et les tendances tec...
La vérité sur le Big Data, Hadoop, l'internet des objets et les tendances tec...La vérité sur le Big Data, Hadoop, l'internet des objets et les tendances tec...
La vérité sur le Big Data, Hadoop, l'internet des objets et les tendances tec...
 
Big data en (ré)assurance régis delayet
Big data en (ré)assurance   régis delayetBig data en (ré)assurance   régis delayet
Big data en (ré)assurance régis delayet
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatique
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016
 
M09 tendances et evolution métiers-ms-27
M09 tendances et evolution métiers-ms-27M09 tendances et evolution métiers-ms-27
M09 tendances et evolution métiers-ms-27
 
M01 avantages strategiques-24- ms
M01 avantages strategiques-24- msM01 avantages strategiques-24- ms
M01 avantages strategiques-24- ms
 
Informatisation de projets
Informatisation de projetsInformatisation de projets
Informatisation de projets
 
Prise en charge des documents à partir des processus
Prise en charge des documents à partir des processusPrise en charge des documents à partir des processus
Prise en charge des documents à partir des processus
 
La gestion des actifs, ISACA Québec Multiforce
La gestion des actifs, ISACA Québec MultiforceLa gestion des actifs, ISACA Québec Multiforce
La gestion des actifs, ISACA Québec Multiforce
 
Sécurité BI
Sécurité BISécurité BI
Sécurité BI
 

Plus de ISACA Chapitre de Québec

Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...ISACA Chapitre de Québec
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonISACA Chapitre de Québec
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdISACA Chapitre de Québec
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantISACA Chapitre de Québec
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauISACA Chapitre de Québec
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardISACA Chapitre de Québec
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeISACA Chapitre de Québec
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantISACA Chapitre de Québec
 
Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetISACA Chapitre de Québec
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015ISACA Chapitre de Québec
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIIISACA Chapitre de Québec
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2ISACA Chapitre de Québec
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationISACA Chapitre de Québec
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauISACA Chapitre de Québec
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 

Plus de ISACA Chapitre de Québec (20)

ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
 
Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry Brisset
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 

Optimisation de l’audit des contrôles TI

  • 1. OPTIMISATION DE L’AUDIT DES CONTRÔLES TI CARL LALIBERTÉ CPA,CA, CIA, CISA, CISSP DIRECTEUR PRINCIPAL AUDIT INTERNE, TI VICE-PRÉSIDENCE AUDIT INTERNE, MOUVEMENT DESJARDINS 22 JANVIER 2014 http://www.isaca-quebec.ca 1
  • 2. DES QUESTIONS CLÉS À SE POSER Quel niveau de contrôle peut être considéré comme suffisant pour notre organisation ? La réponse sous forme d’une autre question : Quel est le niveau de risque résiduel jugé acceptable par les administrateurs, la direction et les gestionnaires de notre organisation ? 2
  • 3. DES ÉLÉMENTS IMPORTANTS À CONSIDÉRER À DES FINS D’OPTIMISATION DE L’AUDIT • Appétit pour le risque des administrateurs, de la direction et des gestionnaires • Connaissance des risques majeurs de l’organisation • Réalité d’affaires et situation budgétaire de l’organisation • Diversité des processus et activités d’affaires et TI • Situation économique et budgétaire de l’organisation • Connaissance des informations sensibles et applications critiques 3
  • 4. DES ÉLÉMENTS IMPORTANTS À CONSIDÉRER À DES FINS D’OPTIMISATION DE L’AUDIT (SUITE) • Documentation de la conception, mise en place et application efficace des contrôles par les gestionnaires • Connaissance des risques associés aux projets de développement majeurs en cours ou à venir • Complexité technologique de l’organisation • Vigie à l’égard des tendances et besoins émergents en TI • Analyse judicieuse des risques TI et sélection des mandats prioritaires à réaliser par l’audit interne TI • Adéquation des ressources pour réaliser les mandats 4
  • 5. CONTENU SOMMAIRE DE LA PRÉSENTATION Partie 1 :  Groupe Technologies Desjardins (statistiques et vidéos)  Ressources affectées à la planification et réalisation des mandats en audit interne TI  Univers d’audit des TI (domaines et processus couverts)  Analyse de risques et planification annuelle des mandats  Applications informatiques (CGTI et contrôles applicatifs)  Mandats réalisés en mode suivi de projets 5
  • 6. GROUPE TECHNOLOGIES DESJARDINS (GTD) Informations générales et statistiques sur GTD : • L’entité légale qu’est GTD a été créée en 2010 et a commencé ses opérations le 1er janvier 2011. • GTD offre, en collaboration avec des impartiteurs majeurs, des services en TI aux autres entités du Mouvement (Fédération, DSF, DGAG, CCD, VMD, etc.). • GTD doit gérer des activités informatiques très diversifiées et des plates-formes multi-générationnelles, au niveau de l’infrastructure, des applications et des données. 6
  • 7. GROUPE TECHNOLOGIES DESJARDINS (GTD) Informations générales et statistiques (suite) : • • • • • • • Budget annuel de 900 M$ 2 400 employés, plus de 1 600 applications 52 000 postes de travail et plus de 6 500 serveurs 2 600 guichets automatiques, 66 000 TPV 387 millions de transactions aux GA par année 43 000 téléphones et 5 000 km de fibre optique 375 000 jp d’efforts de développement par année, 450 M$ • Présentation d’un court vidéo sur GTD 7
  • 8. ÉVOLUTION DU CONTEXTE DES TI ET DE GTD 2009 – 2012 «Jeter les bases»  Priorités • • • Optimisation de l’exploitation Rehaussement de la sécurité TI Création de Groupe Technologies Desjardins (GTD)  Nature des projets • Spécifiques aux secteurs d’affaires et fonctions de soutien Mouvement 2013 – 2016 «Maximiser la valeur»  Priorités • • Modernisation des infrastructures technologiques Évolution du développement et de la maintenance applicative  Nature des projets • • Spécifiques aux secteurs d’affaires et fonctions de soutien Mouvement Transversaux à l’échelle du Mouvement 8
  • 9. RESSOURCES AFFECTÉES À LA PLANIFICATION ET RÉALISATION DES MANDATS EN AI TI La DPAITI compte au total 10 ressources professionnelles disposant : • de formations et titres professionnels diversifiés • d’une connaissance étendue de GTD et du Mouvement • de compétences variées et complémentaires en TI • de connaissances avancées en audit interne • de procédures conformes aux normes professionnelles • d’outils informatisés utilisés à des fins multiples 9
  • 10. UNIVERS D’AUDIT DES TI Notre univers d’audit des TI se compose essentiellement de : • 46 macro-processus composés de sous processus et d’activités et répartis dans 5 grands domaines • Plus de 1 600 applications supportant un grand nombre de besoins d’affaires différents • Une multitude de projets de développement informatique aux niveaux TI et Affaires représentant plus de 450 M$ sur base annuelle 10
  • 11. UNIVERS D’AUDIT DES TI Nous avons divisé les activités TI en 46 macro-processus répartis dans 5 domaines : Gouvernance :        Planification stratégique TI Gestion des risques Gestion des projets Gestion des investissements et de la valeur des TI Mesure de la performance et maturité des processus Gestion de la conformité et des contrôles TI Gestion des ressources humaines 11
  • 12. UNIVERS D’AUDIT DES TI (SUITE) Architecture :     Architecture d’infrastructure Architecture des données Architecture des solutions d’affaires Architecture d’entreprise et orientations technologiques Acquisition, développement et support des systèmes :        Identification des besoins et estimations ressources Développement des solutions d’affaires Acquisition et gestion des solutions d’affaires Acquisition et gestion des systèmes impartis Tests et certification des systèmes Gestion de changements Gestion des librairies et codes sources 12
  • 13. UNIVERS D’AUDIT DES TI (SUITE) Exploitation et Infrastructure :            Gestion des mise en production et déploiement des solutions d’affaires Exploitation et développement des serveurs Exploitation et développement des réseaux (incluant VoIP) Gestion des systèmes d’exploitation Gestion des postes de travail et des périphériques Gestion des applications bureautiques Exploitation des bases de données Exploitation des unités de stockage Gestion des incidents et des problèmes Gestion des centres d’assistance technologique Gestion de la performance et de la capacité des systèmes 13
  • 14. UNIVERS D’AUDIT DES TI (SUITE) Exploitation et Infrastructure (suite) :      Gestion des niveaux de services Processus de sauvegarde et archivage des données Gestion de l’impartition et des partenariats d’affaires Gestion des configurations Gestion des licences Sécurité et Contrôles TI :      Encadrement de la sécurité de l’information Gestion des identités et des accès logiques aux données et applications Gestion des accès logiques aux environnements (Windows, UNIX…) Sécurité des réseaux (inclus le réseau VoIP) Gestion des vulnérabilités et correctifs de sécurité 14
  • 15. UNIVERS D’AUDIT DES TI (SUITE) Sécurité et Contrôles TI (suite) :        Gestion des incidents de sécurité Sécurité physique de l’infrastructure TI Sécurité des applications E-commerce Gestion des clés cryptographiques Sécurité des bases de données Plan de relèves des technologiques de l’Information Surveillance et évaluation des contrôles TI 15
  • 16. ANALYSE DE RISQUES ET PLANIFICATION ANNUELLE Stratégie adoptée :  Lors de l’exercice de planification annuelle, les risques inhérents et résiduels de chaque processus sont évalués selon des critères qualitatifs et quantitatifs (top down, bottom-up).  Les résultats de cette analyse permettent d’identifier les processus dont les sous-processus ou activités plus à risque (élevés ou modérés-élevés) seront audités dans le cadre de nos mandats en fonction de notre capacité de réalisation.  Il importe de procéder à une évaluation objective des risques inhérents et résiduels et de bien documenter la démarche de sélection de nos mandats prioritaires. 16
  • 17. APPLICATIONS INFORMATIQUES Contexte  Plus de 1 600 applications informatiques au Mouvement Desjardins  Les propriétaires de ces applications sont généralement dans les secteurs d’affaires Applications auditées  Applications identifiées pour les besoins relatifs à Bâle  Applications identifiées pour les besoins de la vérification et de l’inspection en mode centralisé (réseau des caisses)  Applications identifiées par les 3 autres DP de la VPAIMD 17
  • 18. APPLICATIONS INFORMATIQUES (SUITE) Approche :  Contrôles généraux TI : Contrôles communs à un ensemble d’applications. Ils ont pour objectif de veiller au développement et à la mise en œuvre appropriés des applications, à l’intégrité des fichiers de programmes et de données ainsi que des opérations informatiques. Exemples :       Sauvegardes Gestion des changements Accès logiques aux infrastructures et aux données Sécurité physique des centres de traitement Opérations informatiques Gestion des vulnérabilités Pour l’année 2013, plusieurs CGTI sont couverts via une approche transversale 18
  • 19. APPLICATIONS INFORMATIQUES (SUITE) Approche d’audit des CGTI préconisée pour 2013 et 2014 Objectifs Audit des CGTI  Couvrir les besoins d’audit des services et processus TI gérés par le groupe GTD de Desjardins à travers un mandat unique.  Offrir par le biais d’un rapport unique, une opinion indépendante et objective sur l’état des contrôles généraux TI (CGTI) appliqués à l’infrastructure TI exploitée par le groupe GTD de Desjardins. Mouvement Desjardins CGTI Impartis 3416 IBM & Bell (Réalisé par l’Audit externe – PwC & Deloitte) CGTI non impartis Audit des processus et services TI (Réalisé par l’Audit Interne du Mouvement Desjardins) 19
  • 20. APPLICATIONS INFORMATIQUES (SUITE) Approche d’audit des CGTI préconisée pour 2013 et 2014 Avantages  Réduction du nombre de rapports d’audit TI  Optimisation des interactions avec les différents secteurs TI de Desjardins  Simplification de la prise en charge des recommandations.  Amélioration de la reddition auprès des audités et de la CVI. 20
  • 22. APPLICATIONS INFORMATIQUES (SUITE) Approche d’audit des CGTI préconisée pour 2013 et 2014 Fréquence des activités : couverture en 2 phases des 12 mois de l’année. Phase 1 • Couverture des 5 premiers mois de l’année: janvier - mai Phase 2 • Couverture des mois de juin – décembre 22
  • 23. APPLICATIONS INFORMATIQUES (SUITE)  Contrôles applicatifs : Contrôles spécifiques à chaque application. Leur objectif est de veiller à l’exhaustivité et à l’exactitude des données enregistrées ainsi qu’à la validité de chaque entrée enregistrée après traitement par le programme. Types de contrôles applicatifs:  Les contrôles des données en entrée (ex. vraisemblance de la donnée saisie)  Les contrôles sur le traitement (ex. considération des plafonds de crédit des clients dans le traitement des bons de commande)  Les contrôles des données en sortie (ex. comparaison des résultats escomptés aux résultats en sortie)  Les contrôles d’intégrité (ex. droits d’accès aux fichiers maîtres)  La piste de contrôle de gestion (ex. pistes d’audit) Lors des audits TI, les contrôles applicatifs sont audités à haut niveau. Note: La fiabilité des contrôles applicatifs repose sur la fiabilité des contrôles généraux. 23
  • 24. APPLICATIONS INFORMATIQUES (SUITE) Extrait du GTAG #8 de l’IIA portant sur l’Audit des contrôles applicatifs: «Chaque auditeur interne doit connaître les risques et les contrôles liés à l’informatique et être à même de déterminer si les contrôles applicatifs mis en œuvre sont conçus et fonctionnent correctement pour gérer les risques financiers, opérationnels et liés au respect de la réglementation. » 24
  • 25. MANDATS EN MODE SUIVIS DE PROJETS  Lors de l’exercice de planification annuelle de nos mandats, les projets TI d’envergure sont identifiés et priorisés.  La DPAITI peut aussi collaborer avec les 3 autres DP de la VPAIMD au suivi de projets « Affaires » dotés d’un volet TI significatif. 25
  • 26. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Qu’est-ce qu’un projet et la gestion de projet ?  Un projet consiste essentiellement à la mise en commun, pendant une période de temps prédéterminée, des ressources humaines, financières, technologiques et matérielles en vue de réaliser un objectif commun, de répondre à des besoins d’affaires spécifiques et de réaliser des bénéfices escomptés.  La gestion de projet, quant à elle, est l’ensemble des mécanismes de coordination, planification, réalisation, suivi et reddition de compte requis pour permettre l’atteinte de la finalité du projet. 26
  • 27. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Principales méthodologies :  PMBOK 4e et 5e édition du Project Management Institute (PMI)  Norme ISO 21 500 (automne 2012)  Prince 2 (Projects in Controlled Environments)  IPMA (International Project Management Association)  CMMI du Software Engineering Institute (SEI) 27
  • 28. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) PMBOK 5e édition : (publié en décembre 2012)  Comprend 10 domaines de connaissance : • • • • • • • • • • Intégration (Intégration – 6 processus) Portée (Scope – 6 processus) Temps-échéancier (Time – 7 processus) Coût (Cost – 4 processus) Qualité (Quality – 3 processus) Ressources humaines (Human ressources – 4 processus) Communications (Communications – 3 processus) Risque (Risk – 6 processus) Contrats externes (Procurement – 4 processus) Intéressés (Stakeholder – 4 processus) 28
  • 29. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) PMBOK 5e édition : (publié en décembre 2012)  Comprend 15 groupe de processus et 47 processus au total : • • • • • Initiation -conception (Initiating – 2 processus) Planification (Planning – 24 processus) Exécution (Executing – 8 processus) Suivi et contrôle (Monitoring and controlling – 11 processus) Finalisation (Closing – 2 processus) 29
  • 30. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Facteurs clés du succès :  Définition claire de l’objectif et de la portée du projet, de la cible commune à atteindre  Soutien de la direction et structure de gouvernance efficace  Compréhension des rôles et responsabilités des divers intervenants  Bonne analyse des risques au départ et suivi constant de leur évolution  Ressources humaines compétentes aptes à assumer leurs responsabilités (surtout pour le chargé de projet)  Ressources financières, matérielles et technologiques adéquates  Budget établi avec prudence et réalisme et suivi avec rigueur  Maîtrise de la complexité du projet par le chargé de projet et son équipe 30
  • 31. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Facteurs clés du succès (suite) :          Gestion documentaire complète et bien structurée Implication des représentants des secteurs d’affaires du début à la fin Stratégie d’essais adéquate par rapport au projet et à ses enjeux Prise en compte des enjeux en sécurité de l’information (OWASP) Gestion des demandes de changement et des points en suspend Communication efficace entre les ressources humaines impliquées Suivi de gestion rigoureux basé sur des indicateurs de gestion pertinents Reddition de comptes régulière, fiable et transparente Réalisation d’un bilan de projet à des fins d’amélioration continue 31
  • 32. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Principales lacunes observées :  Analyse de risques incomplète et/ou mal suivie en cours de projet  Dépassement des coûts (budget mal évalué au départ et/ou mauvaise gestion durant le projet)  Non respect de l’échéancier prévu pour les livraisons et le projet  Qualité des livrables inadéquate et gestion du projet déficiente  Non atteinte de l’ensemble des besoins d’affaires et bénéfices escomptés identifiés au départ  Suivi de gestion non suffisamment rigoureux  Mauvaise gouvernance et reddition de compte incomplète ou inadéquate  Manque de compétences du chargé de projet et de son équipe 32
  • 33. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Approches possibles : mode conseil vs audit  Deux possibilités d’intervention pour l’auditeur interne par rapport à la gestion du projet et à son suivi : Mode Conseil : (approche comportant divers enjeux) • • • • Jouer un rôle aviseur auprès des intervenants du projet au niveau des livrables et de l’identification des contrôles applicatifs Attention à l’indépendance : qui ne dit rien consent Confusion quant au rôle de l’auditeur interne en mode conseil : les gens ont tendance à demander une forme d’approbation de l’auditeur interne notamment à l’égard des livrables produits Difficulté en matière de reddition de compte à la haute direction et au comité d’audit; les responsables du projet recherchent davantage un rapport conseil avec des pistes d’amélioration proposées 33
  • 34. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Mode Audit : (approche comportant divers enjeux) • • • • • Rôle de l’auditeur interne plus clair pour tous les intervenants dans le projet, la haute direction et le comité d’audit L’indépendance de l’auditeur interne est préservée Redditions de comptes trimestrielles sur les enjeux et les préoccupations soulevées par l’auditeur interne et leur prise en charge ou non par les responsables du projet Pas de formulation de recommandations: on établit plutôt d’un rapport d’étape à l’autre un suivi évolutif et comparatif des enjeux et de nos préoccupations et on réagit via nos constatations s’il y a un désaccord avec l’équipe de projet quant à la prise en charge de certains risques Production d’un dernier rapport d’étape à la fin du projet qui résume nos interventions dans le suivi du projet (bilan) 34
  • 35. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE • Lors de la phase de planification de chaque mandat, un questionnaire doit être complété par les auditeurs internes dans le but d’évaluer l’environnement de contrôle informatique • Ce questionnaire est un outil fort utile, spécialement pour les auditeurs internes qui ne possèdent pas de connaissances étendues en TI et il assure une plus grande uniformité et efficience dans la réalisation de nos divers mandats • Le contenu de ce questionnaire est présenté de façon sommaire dans les prochaines pages 35
  • 36. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE Éléments à prendre en considération lors de l’évaluation :     Applications utilisées par l'équipe pour réaliser ce processus et niveau de dépendance au système. Type de données manipulées par ces applications (ex. : données financières alimentant les états financiers, données personnelles des membres ou clients, informations de gestion). Criticité de ces données et des applications elles-mêmes. Volume des opérations effectuées avec les applications : • Nombre de transactions/opérations, • Montant des transactions, • Nombre et type d’utilisateurs : membres, clients, employés, fournisseurs, etc. 36
  • 37. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE (SUITE)    • • •  Niveau de satisfaction global par rapport à ces applications. Niveau de satisfaction par rapport aux besoins d’affaires. Fiabilité des applications : Incidents majeurs récents, Pannes par le passé, Anomalies : pertes de données, fermeture intempestive, etc. Performance de ces applications (temps de réponse acceptable ou pas).  Impact sur les activités d’une interruption des applications (majeur, moyen, faible; en termes financiers, commerciaux, réglementaires ou autres).  Niveaux de service établis avec les équipes TI. 37
  • 38. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE (SUITE)  Relève nécessaire.  Âge de ces applications.  Changements importants survenus sur ces applications au cours des dernières années.  Responsable du développement et de la maintenance de ces applications (TI, secteur d'affaires, fournisseur externe).  Importance du budget alloué à la maintenance de ces applications.  Accompagnement disponible sur le plan de la sécurité informatique.  Incidents de sécurité liés à ces applications. 38
  • 39. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE (SUITE)  Gestion des accès à ces applications : • Gérée par le secteur audité ou les TI, • Processus administratif formel, • Profils types correspondant aux différents postes dans votre équipe ou clonage des accès d’un employé déjà en poste, • Révision des accès à une fréquence déterminée.  Contrôles opérationnels permettant de compenser d’éventuelles faiblesses des applications.  Préoccupations concernant ces applications. 39
  • 40. CONTENU SOMMAIRE DE LA PRÉSENTATION Partie 2:  Schéma sur les 3 lignes de défenses  Responsabilités: • des gestionnaires (1re ligne) • des fonctions de contrôle (2e ligne) • de l’audit interne (3e ligne)  Complémentarité des interventions des diverses parties  Conclusion de la présentation et période de discussion 40
  • 41. LES 3 LIGNES DE DÉFENSE Adapted from ECIIA/FERMA Guidance on the 8th EU Company Law Directive, article 41 41
  • 42. 1RE LIGNE DE DÉFENSE : LA GESTION • Les gestionnaires TI sont le premiers responsables de la conception, mise en place et application efficace des contrôles liés à la réalisation des activités dont ils sont imputables (niveaux stratégique, tactique et opérationnel) • Ces contrôles doivent être documentés afin d’assurer une continuité de leur application en cas de modification à la structure organisationnelle ou de changement au niveau des ressources en place 42
  • 43. 2E LIGNE DE DÉFENSE : FONCTIONS DE CONTRÔLE • Les fonctions de contrôles sont là pour assister les gestionnaires en ce qui a trait à la conception, mise en place et application efficace des contrôles requis en lien avec les activités dont ils sont imputables. • Au sein du Mouvement Desjardins, ces fonctions se retrouvent essentiellement en Gouvernance financière TI et au sein de la Direction principale Risques et Conformité de GTD. Leurs activités sont également assujetties aux interventions menées par l’Audit interne. 43
  • 44. 3E LIGNE DE DÉFENSE : AUDIT INTERNE • L’audit interne, à titre de fonction de surveillance indépendante, agit comme troisième ligne de défense au sein de l’organisation. • Par les interventions qu’elle réalise sur la base de son analyse de risques, la DPAI TI s’assure que la gestion ainsi que les fonctions de contrôle assument adéquatement leurs responsabilités respectives en matière de gestion des risques et des contrôles. • Elle fait rapport au CV quant aux résultats de ses travaux. 44
  • 45. COMPLÉMENTARITÉ ET COORDINATION DES INTERVENTIONS ENTRE LES PARTIES Afin d’assurer une plus grande efficience dans la réalisation de leurs travaux respectifs et d’éviter une duplication d’efforts et une trop grande sollicitation des gestionnaires des secteurs TI, des mécanismes de coordination sont nécessaires entre les 3 lignes de défenses. Cela se concrétise notamment via l’existence d’un comité de coordination, d’échanges sur les plans annuels et de rencontres au début de chacun des mandats. Un tel comité existe chez Desjardins et il est animé par un gestionnaire de la direction principale Risques et Conformité (DPRC) de GTD. Ce comité se réunit aux 2 semaines et regroupe des représentants de l’Audit Interne, de l’Audit externe, de la Gouvernance financière TI et de la Gestion des risques. 45
  • 46. RÔLE, RESPONSABILITÉS ET ACTIVITÉS DE LA DPRC • LA DPRC, en plus d’assurer l’animation du comité mentionné à la page précédente, assume en tant que fonction de contrôle de 2e ligne un rôle et des responsabilités de coordination clés au sein de GTD. • Elle s’assure notamment que l’ensemble des activités de contrôle et d’audit (2e et 3e lignes) sont réalisées de façon efficace et efficiente. Elle vise aussi à accompagner et supporter les gestionnaires de 1re ligne, qui sont les premiers répondants imputables en matière de gestion des risques et des contrôles TI. • Les pages suivantes présentent un peu plus en détail les principales activités de la DPRC en matière de conformité et de gestion des risques et des contrôles TI. 46
  • 48. UNIVERS DE LA CONFORMITÉ DE GTD Univers de conformité TI Bâle II RCE-RCP RO-RM Vérificateurs externes - États financiers - Monétique PCI-VISA-INTERACMastercard Exigences Gouvernance financière 52-109 Audit interne Conformité réglementaire GTD Parties prenantes VPDF VPAIMD VPGIRRO VPCM Lignes d’affaires VPSAESP Vérif. Externe 48
  • 50. EXIGENCES DE LA CONFORMITÉ Les secteurs des TI sont sujets annuellement à plusieurs exigences qui se traduisent dans différentes activités Vérification OCRCVM Vérification des processus TI dans le cadre de la vérification des états financiers Autoévaluations Bâle II Exigences Travaux de la gouvernance financière (52-109) Autoévaluations VISA, INTERAC MasterCard, et PCI Mandats de vérification interne 50
  • 51. L’APPROCHE GESTION DES RISQUES TI 51
  • 52. LE CADRE DE GESTION DES RISQUES TECHNOLOGIQUES • Permet d’établir les bases et les composantes de la démarche de gestion, soit la : • gouvernance; • l’évaluation du risque, et; • la réponse au risque. • S’intègre dans la démarche globale du Mouvement (le risque technologique étant considéré comme une sous-catégorie du risque opérationnel) • Aligné avec les politiques existantes au Mouvement (les politiques sont listées en annexe) • Basé sur le modèle Risk-IT de l’ISACA et tient compte des exigences de l’AMF en matière de gestion des risques technologiques 52
  • 53. QUATRE COMPOSANTES DU CADRE DE GRT • État des expositions et opportunités de risques TI • Évaluation de l’efficacité des contrôles pour atténuer les risques • Plan de traitement ou stratégie d’atténuation • Plans d’action • Rôles et responsabilités en GRT • Vigie sur les principes directeurs du Bureau de Chef de la gestion des risques • Processus de gouvernance • Univers des risques technologiques • Vigie et surveillance sur les risques technologiques • Analyse des risques technologiques • Registre de risques inhérents (TI) • État des expositions et opportunités de risques TI • Évaluation de l’efficacité des contrôles pour atténuer les risques • Plan de traitement ou stratégie d’atténuation • Plans d’action 53
  • 54. LES RISQUES TECHNOLOGIQUES SONT CONSIDÉRÉS COMME UN SOUS-ENSEMBLE DES RISQUES OPÉRATIONNELS Catégories de risques Mouvement Catégories de risques opérationnels Catégories de risques technologiques Le risque technologique est considéré comme un sousensemble du risque opérationnel. 54
  • 55. L’UNIVERS DES RISQUES TECHNOLOGIQUES L’Univers des risques technologiques est un pilier du volet de gouvernance des risques technologiques. Il vise à :  Circonscrire la portée des activités de gestion des risques technologiques;  Faciliter l’identification initiale des risques inhérents importants et pertinents pour l’organisation;  Soutenir la consolidation des risques ainsi que la reddition de compte.  L’univers des risques technologiques a fait l’objet d’une revue par les vérificateurs externes (PWC) et par l’audit interne 55
  • 56. CONTRÔLES ET MULTI CONFORMITÉ 56
  • 57. CADRE DE CONTRÔLES TI : DÉMARCHE D’ÉLABORATION  Les référentiels Cobit 5 et ISO 27002 ont été utilisés afin de classer sous un dénominateur commun l’ensemble des exigences :  52-109, PCI, Visa, Interac, Mastercard, Bâle II et les contrôles propres à des tiers  CobIT 5 : référentiel en gouvernance des TI, présente les bonnes pratiques de gestion des TI  ISO 27002 : norme des meilleures pratiques des domaines de sécurité de l’information, tels :       La gestion des accès La gestion des incidents Le plan de continuité La sécurité physique et environnementale La gestion de l‘exploitation et des télécommunications L’acquisition, développement et maintenance des systèmes d’information 57
  • 58. APPROCHE DU CADRE DE CONTRÔLES MULTI-CONFORMITÉ Avant Chevauchement L’approche traditionnelle qui traite les « exceptions » engendre de nombreux programmes de conformité distincts qui font en sorte que la gestion des exigences selon plusieurs règlementation n’est pas uniforme ni efficace 1500 contrôles Après Harmonisation Une intégration permettant de réduire les coûts, la complexité et la charge de travail liés aux efforts de conformité est nécessaire; de grandes économies de coûts peuvent être réalisées lorsque le chevauchement est évité et qu’une définition commune des exigences est appliquée 286 contrôles Desjardins! 58
  • 59. ÉLÉMENTS DU CADRE DE CONTRÔLES TI Cadre de contrôles TI Desjardins Pratiques de contrôle Cadre de référence Cadre de référence Cadre de référence Cadre de référence Pratiques de contrôle Contrôle Objectifs de contrôle Pratiques de contrôle Pratiques de contrôle Contrôle Contrôle Pratiques de contrôle Pratiques de contrôle Pratiques de contrôle Pratiques de contrôle 59
  • 61. OBJECTIF DU PROGRAMME DE CONFORMITÉ Coordonner et optimiser les travaux des auditeurs / évaluateurs Chevauchement 1 Contrôle (ex. : gestion des changements) GF Test Audit interne Audit externe Test QSA PCI Test Test Audit Monétique Test DPRC Bâle Test Potentiel de 6 tests pour un contrôle ! Harmonisation 1 Contrôle (ex. : gestion des changements) Unité x Test Réutilisation des travaux par les autres évaluateurs / auditeurs GF Audit interne Audit externe QSA PCI Audit Monétique DPRC Bâle 61
  • 62. PLAN DE MISE EN ŒUVRE DU PROGRAMME DE CONFORMITÉ 62
  • 63. NOTRE RECETTE Vision multi conformité 500 gr de Vision «multi conformité» 250 gr de Cadre de références sélectionné (p.ex. CobIT ) 500 gr «Mapper» les exigences au cadre de contrôle sélectionné 200 gr de Lien entre le cadre de contrôle et les risques technologiques 500 gr de Implantation d’un outil de gestion de risque et conformité Une pincée de « Gros bon sens» 63
  • 64. CONCLUSION DE LA PRÉSENTATION ET ÉCHANGE En résumé, l’optimisation des interventions d’audit des contrôles TI passe principalement par :     Une bonne connaissance de l’organisation, de sa réalité d’affaires et de son appétit pour le risque. Une bonne évaluation des risques majeurs et des contrôles clés conçus et appliqués par les gestionnaires. Une capacité de l’audit interne à effectuer annuellement, de façon efficace et efficiente, ses mandats jugés prioritaires (adéquation des ressources). Une coordination et une réalisation efficace et efficiente des interventions et activités menées par les différentes lignes de défense, compte tenu de leurs responsabilités respectives . 64
  • 65. CONCLUSION DE LA PRÉSENTATION ET ÉCHANGE Merci ! Période de questions et d’échanges 65