Your SlideShare is downloading. ×
Optimisation de l’audit des contrôles TI
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Optimisation de l’audit des contrôles TI

2,182

Published on

Published in: Technology
0 Comments
5 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,182
On Slideshare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
0
Comments
0
Likes
5
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. OPTIMISATION DE L’AUDIT DES CONTRÔLES TI CARL LALIBERTÉ CPA,CA, CIA, CISA, CISSP DIRECTEUR PRINCIPAL AUDIT INTERNE, TI VICE-PRÉSIDENCE AUDIT INTERNE, MOUVEMENT DESJARDINS 22 JANVIER 2014 http://www.isaca-quebec.ca 1
  • 2. DES QUESTIONS CLÉS À SE POSER Quel niveau de contrôle peut être considéré comme suffisant pour notre organisation ? La réponse sous forme d’une autre question : Quel est le niveau de risque résiduel jugé acceptable par les administrateurs, la direction et les gestionnaires de notre organisation ? 2
  • 3. DES ÉLÉMENTS IMPORTANTS À CONSIDÉRER À DES FINS D’OPTIMISATION DE L’AUDIT • Appétit pour le risque des administrateurs, de la direction et des gestionnaires • Connaissance des risques majeurs de l’organisation • Réalité d’affaires et situation budgétaire de l’organisation • Diversité des processus et activités d’affaires et TI • Situation économique et budgétaire de l’organisation • Connaissance des informations sensibles et applications critiques 3
  • 4. DES ÉLÉMENTS IMPORTANTS À CONSIDÉRER À DES FINS D’OPTIMISATION DE L’AUDIT (SUITE) • Documentation de la conception, mise en place et application efficace des contrôles par les gestionnaires • Connaissance des risques associés aux projets de développement majeurs en cours ou à venir • Complexité technologique de l’organisation • Vigie à l’égard des tendances et besoins émergents en TI • Analyse judicieuse des risques TI et sélection des mandats prioritaires à réaliser par l’audit interne TI • Adéquation des ressources pour réaliser les mandats 4
  • 5. CONTENU SOMMAIRE DE LA PRÉSENTATION Partie 1 :  Groupe Technologies Desjardins (statistiques et vidéos)  Ressources affectées à la planification et réalisation des mandats en audit interne TI  Univers d’audit des TI (domaines et processus couverts)  Analyse de risques et planification annuelle des mandats  Applications informatiques (CGTI et contrôles applicatifs)  Mandats réalisés en mode suivi de projets 5
  • 6. GROUPE TECHNOLOGIES DESJARDINS (GTD) Informations générales et statistiques sur GTD : • L’entité légale qu’est GTD a été créée en 2010 et a commencé ses opérations le 1er janvier 2011. • GTD offre, en collaboration avec des impartiteurs majeurs, des services en TI aux autres entités du Mouvement (Fédération, DSF, DGAG, CCD, VMD, etc.). • GTD doit gérer des activités informatiques très diversifiées et des plates-formes multi-générationnelles, au niveau de l’infrastructure, des applications et des données. 6
  • 7. GROUPE TECHNOLOGIES DESJARDINS (GTD) Informations générales et statistiques (suite) : • • • • • • • Budget annuel de 900 M$ 2 400 employés, plus de 1 600 applications 52 000 postes de travail et plus de 6 500 serveurs 2 600 guichets automatiques, 66 000 TPV 387 millions de transactions aux GA par année 43 000 téléphones et 5 000 km de fibre optique 375 000 jp d’efforts de développement par année, 450 M$ • Présentation d’un court vidéo sur GTD 7
  • 8. ÉVOLUTION DU CONTEXTE DES TI ET DE GTD 2009 – 2012 «Jeter les bases»  Priorités • • • Optimisation de l’exploitation Rehaussement de la sécurité TI Création de Groupe Technologies Desjardins (GTD)  Nature des projets • Spécifiques aux secteurs d’affaires et fonctions de soutien Mouvement 2013 – 2016 «Maximiser la valeur»  Priorités • • Modernisation des infrastructures technologiques Évolution du développement et de la maintenance applicative  Nature des projets • • Spécifiques aux secteurs d’affaires et fonctions de soutien Mouvement Transversaux à l’échelle du Mouvement 8
  • 9. RESSOURCES AFFECTÉES À LA PLANIFICATION ET RÉALISATION DES MANDATS EN AI TI La DPAITI compte au total 10 ressources professionnelles disposant : • de formations et titres professionnels diversifiés • d’une connaissance étendue de GTD et du Mouvement • de compétences variées et complémentaires en TI • de connaissances avancées en audit interne • de procédures conformes aux normes professionnelles • d’outils informatisés utilisés à des fins multiples 9
  • 10. UNIVERS D’AUDIT DES TI Notre univers d’audit des TI se compose essentiellement de : • 46 macro-processus composés de sous processus et d’activités et répartis dans 5 grands domaines • Plus de 1 600 applications supportant un grand nombre de besoins d’affaires différents • Une multitude de projets de développement informatique aux niveaux TI et Affaires représentant plus de 450 M$ sur base annuelle 10
  • 11. UNIVERS D’AUDIT DES TI Nous avons divisé les activités TI en 46 macro-processus répartis dans 5 domaines : Gouvernance :        Planification stratégique TI Gestion des risques Gestion des projets Gestion des investissements et de la valeur des TI Mesure de la performance et maturité des processus Gestion de la conformité et des contrôles TI Gestion des ressources humaines 11
  • 12. UNIVERS D’AUDIT DES TI (SUITE) Architecture :     Architecture d’infrastructure Architecture des données Architecture des solutions d’affaires Architecture d’entreprise et orientations technologiques Acquisition, développement et support des systèmes :        Identification des besoins et estimations ressources Développement des solutions d’affaires Acquisition et gestion des solutions d’affaires Acquisition et gestion des systèmes impartis Tests et certification des systèmes Gestion de changements Gestion des librairies et codes sources 12
  • 13. UNIVERS D’AUDIT DES TI (SUITE) Exploitation et Infrastructure :            Gestion des mise en production et déploiement des solutions d’affaires Exploitation et développement des serveurs Exploitation et développement des réseaux (incluant VoIP) Gestion des systèmes d’exploitation Gestion des postes de travail et des périphériques Gestion des applications bureautiques Exploitation des bases de données Exploitation des unités de stockage Gestion des incidents et des problèmes Gestion des centres d’assistance technologique Gestion de la performance et de la capacité des systèmes 13
  • 14. UNIVERS D’AUDIT DES TI (SUITE) Exploitation et Infrastructure (suite) :      Gestion des niveaux de services Processus de sauvegarde et archivage des données Gestion de l’impartition et des partenariats d’affaires Gestion des configurations Gestion des licences Sécurité et Contrôles TI :      Encadrement de la sécurité de l’information Gestion des identités et des accès logiques aux données et applications Gestion des accès logiques aux environnements (Windows, UNIX…) Sécurité des réseaux (inclus le réseau VoIP) Gestion des vulnérabilités et correctifs de sécurité 14
  • 15. UNIVERS D’AUDIT DES TI (SUITE) Sécurité et Contrôles TI (suite) :        Gestion des incidents de sécurité Sécurité physique de l’infrastructure TI Sécurité des applications E-commerce Gestion des clés cryptographiques Sécurité des bases de données Plan de relèves des technologiques de l’Information Surveillance et évaluation des contrôles TI 15
  • 16. ANALYSE DE RISQUES ET PLANIFICATION ANNUELLE Stratégie adoptée :  Lors de l’exercice de planification annuelle, les risques inhérents et résiduels de chaque processus sont évalués selon des critères qualitatifs et quantitatifs (top down, bottom-up).  Les résultats de cette analyse permettent d’identifier les processus dont les sous-processus ou activités plus à risque (élevés ou modérés-élevés) seront audités dans le cadre de nos mandats en fonction de notre capacité de réalisation.  Il importe de procéder à une évaluation objective des risques inhérents et résiduels et de bien documenter la démarche de sélection de nos mandats prioritaires. 16
  • 17. APPLICATIONS INFORMATIQUES Contexte  Plus de 1 600 applications informatiques au Mouvement Desjardins  Les propriétaires de ces applications sont généralement dans les secteurs d’affaires Applications auditées  Applications identifiées pour les besoins relatifs à Bâle  Applications identifiées pour les besoins de la vérification et de l’inspection en mode centralisé (réseau des caisses)  Applications identifiées par les 3 autres DP de la VPAIMD 17
  • 18. APPLICATIONS INFORMATIQUES (SUITE) Approche :  Contrôles généraux TI : Contrôles communs à un ensemble d’applications. Ils ont pour objectif de veiller au développement et à la mise en œuvre appropriés des applications, à l’intégrité des fichiers de programmes et de données ainsi que des opérations informatiques. Exemples :       Sauvegardes Gestion des changements Accès logiques aux infrastructures et aux données Sécurité physique des centres de traitement Opérations informatiques Gestion des vulnérabilités Pour l’année 2013, plusieurs CGTI sont couverts via une approche transversale 18
  • 19. APPLICATIONS INFORMATIQUES (SUITE) Approche d’audit des CGTI préconisée pour 2013 et 2014 Objectifs Audit des CGTI  Couvrir les besoins d’audit des services et processus TI gérés par le groupe GTD de Desjardins à travers un mandat unique.  Offrir par le biais d’un rapport unique, une opinion indépendante et objective sur l’état des contrôles généraux TI (CGTI) appliqués à l’infrastructure TI exploitée par le groupe GTD de Desjardins. Mouvement Desjardins CGTI Impartis 3416 IBM & Bell (Réalisé par l’Audit externe – PwC & Deloitte) CGTI non impartis Audit des processus et services TI (Réalisé par l’Audit Interne du Mouvement Desjardins) 19
  • 20. APPLICATIONS INFORMATIQUES (SUITE) Approche d’audit des CGTI préconisée pour 2013 et 2014 Avantages  Réduction du nombre de rapports d’audit TI  Optimisation des interactions avec les différents secteurs TI de Desjardins  Simplification de la prise en charge des recommandations.  Amélioration de la reddition auprès des audités et de la CVI. 20
  • 21. APPLICATIONS INFORMATIQUES (SUITE) 21
  • 22. APPLICATIONS INFORMATIQUES (SUITE) Approche d’audit des CGTI préconisée pour 2013 et 2014 Fréquence des activités : couverture en 2 phases des 12 mois de l’année. Phase 1 • Couverture des 5 premiers mois de l’année: janvier - mai Phase 2 • Couverture des mois de juin – décembre 22
  • 23. APPLICATIONS INFORMATIQUES (SUITE)  Contrôles applicatifs : Contrôles spécifiques à chaque application. Leur objectif est de veiller à l’exhaustivité et à l’exactitude des données enregistrées ainsi qu’à la validité de chaque entrée enregistrée après traitement par le programme. Types de contrôles applicatifs:  Les contrôles des données en entrée (ex. vraisemblance de la donnée saisie)  Les contrôles sur le traitement (ex. considération des plafonds de crédit des clients dans le traitement des bons de commande)  Les contrôles des données en sortie (ex. comparaison des résultats escomptés aux résultats en sortie)  Les contrôles d’intégrité (ex. droits d’accès aux fichiers maîtres)  La piste de contrôle de gestion (ex. pistes d’audit) Lors des audits TI, les contrôles applicatifs sont audités à haut niveau. Note: La fiabilité des contrôles applicatifs repose sur la fiabilité des contrôles généraux. 23
  • 24. APPLICATIONS INFORMATIQUES (SUITE) Extrait du GTAG #8 de l’IIA portant sur l’Audit des contrôles applicatifs: «Chaque auditeur interne doit connaître les risques et les contrôles liés à l’informatique et être à même de déterminer si les contrôles applicatifs mis en œuvre sont conçus et fonctionnent correctement pour gérer les risques financiers, opérationnels et liés au respect de la réglementation. » 24
  • 25. MANDATS EN MODE SUIVIS DE PROJETS  Lors de l’exercice de planification annuelle de nos mandats, les projets TI d’envergure sont identifiés et priorisés.  La DPAITI peut aussi collaborer avec les 3 autres DP de la VPAIMD au suivi de projets « Affaires » dotés d’un volet TI significatif. 25
  • 26. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Qu’est-ce qu’un projet et la gestion de projet ?  Un projet consiste essentiellement à la mise en commun, pendant une période de temps prédéterminée, des ressources humaines, financières, technologiques et matérielles en vue de réaliser un objectif commun, de répondre à des besoins d’affaires spécifiques et de réaliser des bénéfices escomptés.  La gestion de projet, quant à elle, est l’ensemble des mécanismes de coordination, planification, réalisation, suivi et reddition de compte requis pour permettre l’atteinte de la finalité du projet. 26
  • 27. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Principales méthodologies :  PMBOK 4e et 5e édition du Project Management Institute (PMI)  Norme ISO 21 500 (automne 2012)  Prince 2 (Projects in Controlled Environments)  IPMA (International Project Management Association)  CMMI du Software Engineering Institute (SEI) 27
  • 28. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) PMBOK 5e édition : (publié en décembre 2012)  Comprend 10 domaines de connaissance : • • • • • • • • • • Intégration (Intégration – 6 processus) Portée (Scope – 6 processus) Temps-échéancier (Time – 7 processus) Coût (Cost – 4 processus) Qualité (Quality – 3 processus) Ressources humaines (Human ressources – 4 processus) Communications (Communications – 3 processus) Risque (Risk – 6 processus) Contrats externes (Procurement – 4 processus) Intéressés (Stakeholder – 4 processus) 28
  • 29. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) PMBOK 5e édition : (publié en décembre 2012)  Comprend 15 groupe de processus et 47 processus au total : • • • • • Initiation -conception (Initiating – 2 processus) Planification (Planning – 24 processus) Exécution (Executing – 8 processus) Suivi et contrôle (Monitoring and controlling – 11 processus) Finalisation (Closing – 2 processus) 29
  • 30. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Facteurs clés du succès :  Définition claire de l’objectif et de la portée du projet, de la cible commune à atteindre  Soutien de la direction et structure de gouvernance efficace  Compréhension des rôles et responsabilités des divers intervenants  Bonne analyse des risques au départ et suivi constant de leur évolution  Ressources humaines compétentes aptes à assumer leurs responsabilités (surtout pour le chargé de projet)  Ressources financières, matérielles et technologiques adéquates  Budget établi avec prudence et réalisme et suivi avec rigueur  Maîtrise de la complexité du projet par le chargé de projet et son équipe 30
  • 31. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Facteurs clés du succès (suite) :          Gestion documentaire complète et bien structurée Implication des représentants des secteurs d’affaires du début à la fin Stratégie d’essais adéquate par rapport au projet et à ses enjeux Prise en compte des enjeux en sécurité de l’information (OWASP) Gestion des demandes de changement et des points en suspend Communication efficace entre les ressources humaines impliquées Suivi de gestion rigoureux basé sur des indicateurs de gestion pertinents Reddition de comptes régulière, fiable et transparente Réalisation d’un bilan de projet à des fins d’amélioration continue 31
  • 32. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Principales lacunes observées :  Analyse de risques incomplète et/ou mal suivie en cours de projet  Dépassement des coûts (budget mal évalué au départ et/ou mauvaise gestion durant le projet)  Non respect de l’échéancier prévu pour les livraisons et le projet  Qualité des livrables inadéquate et gestion du projet déficiente  Non atteinte de l’ensemble des besoins d’affaires et bénéfices escomptés identifiés au départ  Suivi de gestion non suffisamment rigoureux  Mauvaise gouvernance et reddition de compte incomplète ou inadéquate  Manque de compétences du chargé de projet et de son équipe 32
  • 33. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Approches possibles : mode conseil vs audit  Deux possibilités d’intervention pour l’auditeur interne par rapport à la gestion du projet et à son suivi : Mode Conseil : (approche comportant divers enjeux) • • • • Jouer un rôle aviseur auprès des intervenants du projet au niveau des livrables et de l’identification des contrôles applicatifs Attention à l’indépendance : qui ne dit rien consent Confusion quant au rôle de l’auditeur interne en mode conseil : les gens ont tendance à demander une forme d’approbation de l’auditeur interne notamment à l’égard des livrables produits Difficulté en matière de reddition de compte à la haute direction et au comité d’audit; les responsables du projet recherchent davantage un rapport conseil avec des pistes d’amélioration proposées 33
  • 34. MANDATS EN MODE SUIVIS DE PROJETS (SUITE) Mode Audit : (approche comportant divers enjeux) • • • • • Rôle de l’auditeur interne plus clair pour tous les intervenants dans le projet, la haute direction et le comité d’audit L’indépendance de l’auditeur interne est préservée Redditions de comptes trimestrielles sur les enjeux et les préoccupations soulevées par l’auditeur interne et leur prise en charge ou non par les responsables du projet Pas de formulation de recommandations: on établit plutôt d’un rapport d’étape à l’autre un suivi évolutif et comparatif des enjeux et de nos préoccupations et on réagit via nos constatations s’il y a un désaccord avec l’équipe de projet quant à la prise en charge de certains risques Production d’un dernier rapport d’étape à la fin du projet qui résume nos interventions dans le suivi du projet (bilan) 34
  • 35. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE • Lors de la phase de planification de chaque mandat, un questionnaire doit être complété par les auditeurs internes dans le but d’évaluer l’environnement de contrôle informatique • Ce questionnaire est un outil fort utile, spécialement pour les auditeurs internes qui ne possèdent pas de connaissances étendues en TI et il assure une plus grande uniformité et efficience dans la réalisation de nos divers mandats • Le contenu de ce questionnaire est présenté de façon sommaire dans les prochaines pages 35
  • 36. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE Éléments à prendre en considération lors de l’évaluation :     Applications utilisées par l'équipe pour réaliser ce processus et niveau de dépendance au système. Type de données manipulées par ces applications (ex. : données financières alimentant les états financiers, données personnelles des membres ou clients, informations de gestion). Criticité de ces données et des applications elles-mêmes. Volume des opérations effectuées avec les applications : • Nombre de transactions/opérations, • Montant des transactions, • Nombre et type d’utilisateurs : membres, clients, employés, fournisseurs, etc. 36
  • 37. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE (SUITE)    • • •  Niveau de satisfaction global par rapport à ces applications. Niveau de satisfaction par rapport aux besoins d’affaires. Fiabilité des applications : Incidents majeurs récents, Pannes par le passé, Anomalies : pertes de données, fermeture intempestive, etc. Performance de ces applications (temps de réponse acceptable ou pas).  Impact sur les activités d’une interruption des applications (majeur, moyen, faible; en termes financiers, commerciaux, réglementaires ou autres).  Niveaux de service établis avec les équipes TI. 37
  • 38. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE (SUITE)  Relève nécessaire.  Âge de ces applications.  Changements importants survenus sur ces applications au cours des dernières années.  Responsable du développement et de la maintenance de ces applications (TI, secteur d'affaires, fournisseur externe).  Importance du budget alloué à la maintenance de ces applications.  Accompagnement disponible sur le plan de la sécurité informatique.  Incidents de sécurité liés à ces applications. 38
  • 39. APPRÉCIATION DE L’ENVIRONNEMENT DE CONTRÔLE INFORMATIQUE (SUITE)  Gestion des accès à ces applications : • Gérée par le secteur audité ou les TI, • Processus administratif formel, • Profils types correspondant aux différents postes dans votre équipe ou clonage des accès d’un employé déjà en poste, • Révision des accès à une fréquence déterminée.  Contrôles opérationnels permettant de compenser d’éventuelles faiblesses des applications.  Préoccupations concernant ces applications. 39
  • 40. CONTENU SOMMAIRE DE LA PRÉSENTATION Partie 2:  Schéma sur les 3 lignes de défenses  Responsabilités: • des gestionnaires (1re ligne) • des fonctions de contrôle (2e ligne) • de l’audit interne (3e ligne)  Complémentarité des interventions des diverses parties  Conclusion de la présentation et période de discussion 40
  • 41. LES 3 LIGNES DE DÉFENSE Adapted from ECIIA/FERMA Guidance on the 8th EU Company Law Directive, article 41 41
  • 42. 1RE LIGNE DE DÉFENSE : LA GESTION • Les gestionnaires TI sont le premiers responsables de la conception, mise en place et application efficace des contrôles liés à la réalisation des activités dont ils sont imputables (niveaux stratégique, tactique et opérationnel) • Ces contrôles doivent être documentés afin d’assurer une continuité de leur application en cas de modification à la structure organisationnelle ou de changement au niveau des ressources en place 42
  • 43. 2E LIGNE DE DÉFENSE : FONCTIONS DE CONTRÔLE • Les fonctions de contrôles sont là pour assister les gestionnaires en ce qui a trait à la conception, mise en place et application efficace des contrôles requis en lien avec les activités dont ils sont imputables. • Au sein du Mouvement Desjardins, ces fonctions se retrouvent essentiellement en Gouvernance financière TI et au sein de la Direction principale Risques et Conformité de GTD. Leurs activités sont également assujetties aux interventions menées par l’Audit interne. 43
  • 44. 3E LIGNE DE DÉFENSE : AUDIT INTERNE • L’audit interne, à titre de fonction de surveillance indépendante, agit comme troisième ligne de défense au sein de l’organisation. • Par les interventions qu’elle réalise sur la base de son analyse de risques, la DPAI TI s’assure que la gestion ainsi que les fonctions de contrôle assument adéquatement leurs responsabilités respectives en matière de gestion des risques et des contrôles. • Elle fait rapport au CV quant aux résultats de ses travaux. 44
  • 45. COMPLÉMENTARITÉ ET COORDINATION DES INTERVENTIONS ENTRE LES PARTIES Afin d’assurer une plus grande efficience dans la réalisation de leurs travaux respectifs et d’éviter une duplication d’efforts et une trop grande sollicitation des gestionnaires des secteurs TI, des mécanismes de coordination sont nécessaires entre les 3 lignes de défenses. Cela se concrétise notamment via l’existence d’un comité de coordination, d’échanges sur les plans annuels et de rencontres au début de chacun des mandats. Un tel comité existe chez Desjardins et il est animé par un gestionnaire de la direction principale Risques et Conformité (DPRC) de GTD. Ce comité se réunit aux 2 semaines et regroupe des représentants de l’Audit Interne, de l’Audit externe, de la Gouvernance financière TI et de la Gestion des risques. 45
  • 46. RÔLE, RESPONSABILITÉS ET ACTIVITÉS DE LA DPRC • LA DPRC, en plus d’assurer l’animation du comité mentionné à la page précédente, assume en tant que fonction de contrôle de 2e ligne un rôle et des responsabilités de coordination clés au sein de GTD. • Elle s’assure notamment que l’ensemble des activités de contrôle et d’audit (2e et 3e lignes) sont réalisées de façon efficace et efficiente. Elle vise aussi à accompagner et supporter les gestionnaires de 1re ligne, qui sont les premiers répondants imputables en matière de gestion des risques et des contrôles TI. • Les pages suivantes présentent un peu plus en détail les principales activités de la DPRC en matière de conformité et de gestion des risques et des contrôles TI. 46
  • 47. LA CONFORMITÉ TI 47
  • 48. UNIVERS DE LA CONFORMITÉ DE GTD Univers de conformité TI Bâle II RCE-RCP RO-RM Vérificateurs externes - États financiers - Monétique PCI-VISA-INTERACMastercard Exigences Gouvernance financière 52-109 Audit interne Conformité réglementaire GTD Parties prenantes VPDF VPAIMD VPGIRRO VPCM Lignes d’affaires VPSAESP Vérif. Externe 48
  • 49. PROGRAMME DE CONFORMITÉ 49
  • 50. EXIGENCES DE LA CONFORMITÉ Les secteurs des TI sont sujets annuellement à plusieurs exigences qui se traduisent dans différentes activités Vérification OCRCVM Vérification des processus TI dans le cadre de la vérification des états financiers Autoévaluations Bâle II Exigences Travaux de la gouvernance financière (52-109) Autoévaluations VISA, INTERAC MasterCard, et PCI Mandats de vérification interne 50
  • 51. L’APPROCHE GESTION DES RISQUES TI 51
  • 52. LE CADRE DE GESTION DES RISQUES TECHNOLOGIQUES • Permet d’établir les bases et les composantes de la démarche de gestion, soit la : • gouvernance; • l’évaluation du risque, et; • la réponse au risque. • S’intègre dans la démarche globale du Mouvement (le risque technologique étant considéré comme une sous-catégorie du risque opérationnel) • Aligné avec les politiques existantes au Mouvement (les politiques sont listées en annexe) • Basé sur le modèle Risk-IT de l’ISACA et tient compte des exigences de l’AMF en matière de gestion des risques technologiques 52
  • 53. QUATRE COMPOSANTES DU CADRE DE GRT • État des expositions et opportunités de risques TI • Évaluation de l’efficacité des contrôles pour atténuer les risques • Plan de traitement ou stratégie d’atténuation • Plans d’action • Rôles et responsabilités en GRT • Vigie sur les principes directeurs du Bureau de Chef de la gestion des risques • Processus de gouvernance • Univers des risques technologiques • Vigie et surveillance sur les risques technologiques • Analyse des risques technologiques • Registre de risques inhérents (TI) • État des expositions et opportunités de risques TI • Évaluation de l’efficacité des contrôles pour atténuer les risques • Plan de traitement ou stratégie d’atténuation • Plans d’action 53
  • 54. LES RISQUES TECHNOLOGIQUES SONT CONSIDÉRÉS COMME UN SOUS-ENSEMBLE DES RISQUES OPÉRATIONNELS Catégories de risques Mouvement Catégories de risques opérationnels Catégories de risques technologiques Le risque technologique est considéré comme un sousensemble du risque opérationnel. 54
  • 55. L’UNIVERS DES RISQUES TECHNOLOGIQUES L’Univers des risques technologiques est un pilier du volet de gouvernance des risques technologiques. Il vise à :  Circonscrire la portée des activités de gestion des risques technologiques;  Faciliter l’identification initiale des risques inhérents importants et pertinents pour l’organisation;  Soutenir la consolidation des risques ainsi que la reddition de compte.  L’univers des risques technologiques a fait l’objet d’une revue par les vérificateurs externes (PWC) et par l’audit interne 55
  • 56. CONTRÔLES ET MULTI CONFORMITÉ 56
  • 57. CADRE DE CONTRÔLES TI : DÉMARCHE D’ÉLABORATION  Les référentiels Cobit 5 et ISO 27002 ont été utilisés afin de classer sous un dénominateur commun l’ensemble des exigences :  52-109, PCI, Visa, Interac, Mastercard, Bâle II et les contrôles propres à des tiers  CobIT 5 : référentiel en gouvernance des TI, présente les bonnes pratiques de gestion des TI  ISO 27002 : norme des meilleures pratiques des domaines de sécurité de l’information, tels :       La gestion des accès La gestion des incidents Le plan de continuité La sécurité physique et environnementale La gestion de l‘exploitation et des télécommunications L’acquisition, développement et maintenance des systèmes d’information 57
  • 58. APPROCHE DU CADRE DE CONTRÔLES MULTI-CONFORMITÉ Avant Chevauchement L’approche traditionnelle qui traite les « exceptions » engendre de nombreux programmes de conformité distincts qui font en sorte que la gestion des exigences selon plusieurs règlementation n’est pas uniforme ni efficace 1500 contrôles Après Harmonisation Une intégration permettant de réduire les coûts, la complexité et la charge de travail liés aux efforts de conformité est nécessaire; de grandes économies de coûts peuvent être réalisées lorsque le chevauchement est évité et qu’une définition commune des exigences est appliquée 286 contrôles Desjardins! 58
  • 59. ÉLÉMENTS DU CADRE DE CONTRÔLES TI Cadre de contrôles TI Desjardins Pratiques de contrôle Cadre de référence Cadre de référence Cadre de référence Cadre de référence Pratiques de contrôle Contrôle Objectifs de contrôle Pratiques de contrôle Pratiques de contrôle Contrôle Contrôle Pratiques de contrôle Pratiques de contrôle Pratiques de contrôle Pratiques de contrôle 59
  • 60. DES RÉSULTATS CONCRETS 60
  • 61. OBJECTIF DU PROGRAMME DE CONFORMITÉ Coordonner et optimiser les travaux des auditeurs / évaluateurs Chevauchement 1 Contrôle (ex. : gestion des changements) GF Test Audit interne Audit externe Test QSA PCI Test Test Audit Monétique Test DPRC Bâle Test Potentiel de 6 tests pour un contrôle ! Harmonisation 1 Contrôle (ex. : gestion des changements) Unité x Test Réutilisation des travaux par les autres évaluateurs / auditeurs GF Audit interne Audit externe QSA PCI Audit Monétique DPRC Bâle 61
  • 62. PLAN DE MISE EN ŒUVRE DU PROGRAMME DE CONFORMITÉ 62
  • 63. NOTRE RECETTE Vision multi conformité 500 gr de Vision «multi conformité» 250 gr de Cadre de références sélectionné (p.ex. CobIT ) 500 gr «Mapper» les exigences au cadre de contrôle sélectionné 200 gr de Lien entre le cadre de contrôle et les risques technologiques 500 gr de Implantation d’un outil de gestion de risque et conformité Une pincée de « Gros bon sens» 63
  • 64. CONCLUSION DE LA PRÉSENTATION ET ÉCHANGE En résumé, l’optimisation des interventions d’audit des contrôles TI passe principalement par :     Une bonne connaissance de l’organisation, de sa réalité d’affaires et de son appétit pour le risque. Une bonne évaluation des risques majeurs et des contrôles clés conçus et appliqués par les gestionnaires. Une capacité de l’audit interne à effectuer annuellement, de façon efficace et efficiente, ses mandats jugés prioritaires (adéquation des ressources). Une coordination et une réalisation efficace et efficiente des interventions et activités menées par les différentes lignes de défense, compte tenu de leurs responsabilités respectives . 64
  • 65. CONCLUSION DE LA PRÉSENTATION ET ÉCHANGE Merci ! Période de questions et d’échanges 65

×