Audit, - PowerPoint PPT Presentation

About This Presentation
Title:

Audit,

Description:

des syst mes d informations Audit & tude SI - Analyse SI Organisation et conception SI L entreprise, c est Un ensemble de produits et services mis sur le ... – PowerPoint PPT presentation

Number of Views:48
Avg rating:3.0/5.0
Slides: 33
Provided by: NASA79
Category:

less

Transcript and Presenter's Notes

Title: Audit,


1
Audit, étude analysedes systèmes dinformations
  • Audit étude SI - Analyse SI
  • Organisation et conception SI

2
Lentreprise, cest
  • Un ensemble de produits et services mis sur le
    marché pour réaliser, à la base un ensemble de
    profits pour les actionnaires et investisseurs

3
Lentreprise, cest
Il faut, pour cela, un ensemble de chaînes de
valeur
  • Étude de marché
  • Marketing
  • Achats
  • Production
  • Logistique
  • Ventes
  • Suivi client
  • Management
  • Qualité
  • Finances
  • RH

4
Lentreprise, cest
  • Mais aussi un ensemble de systèmes dont
    principalement
  • Système de production
  • Système dinformation
  • Système de communication
  • Etc.

5
Lentreprise, cest
  • Une nécessité permanente dévoluer et de
    sadapter
  • Au marché,
  • Aux nouvelles techniques de productique et
    production par exemple,
  • Aux nouvelles méthodes et normes,
  • Aux changements de législation et
    denvironnement,
  • Aux évolutions de la société (problématique de
    léthique par exemple) et des mentalités,
  • Aux nouvelles technologies (et pas seulement en
    informatique),
  • A lévolution des autres entreprises (partenaires
    comme concurrents, clients comme fournisseurs),
  • A la situation conjoncturelle,
  • Etc.

6
Système et entreprises
  • Qui dit systèmes et outils, qui dit financier et
    RH, qui dit évolution, dit aussi
  • RISQUES
  • Risques financiers
  • Risques techniques
  • Risques humains
  • Risques et catastrophes naturels
  • Risques informatifs Risques informatiques

7
Environnement actuel
  • Linformatique est un outil qui subit de
    profondes mutations et génère une problématique
    particulière dans lentreprise
  • Évolution permanente ? dégradation,
  • Usage en back-office ? front-office ?
    stratégiqueoutil vital de pilotage dentreprise
  • Fragilité générale ? outil à risque
  • En 1996, les pertes (directes ou indirectes)
    liées à linformatique étaient estimées à plus de
    3 Md en France en 2000, on a estimé quelles
    avaient pratiquement triplé
  • La démocratisation de linformatique puis de
    lInternet ont ouvert une brèche médiatique sur
    le monde de lInformatique et de ses risques

8
Les mêmes en 2001 et 2002
Seules 40 des entreprises déclarent avoir subi
des sinistres Les 60 restants pêchent
souvent par ignorance (absence de détection des
incidents).
9
Risques et contrôle de risques
  • Le risque informatique s'applique à 3 domaines
  • risque direct dû à l'informatique (pannes, vols,
    pertes, erreurs, etc. )
  • risque induit (perte d'image de marque, perte de
    qualité, perte de clientèle, perte financière,
    perte de stock, etc. )
  • risque généré (utilisation de l'informatique pour
    détourner, voler, escroquer, rançonner, etc.)
  • Il est nécessaire de le contrôler au même titre
    que toutes les autres activités

10
Usage de connexion externe
  • Évolution en 2001 et 2002 des comportements des
    entreprises et des outils en terme de connexion
    externe.
  • Les plus fortes hausses depuis 1999
  • Accès au Web
  • Messagerie généralisée

11
Moyens de sécurité
12
Plans et procédures de secours
13
Réalité et perception
87,3 des sinistres 69 des "croyances"
9,7 des sinistres 77 des croyances
14
Face à ces constats
15
Réactions et actions
  • Action sécuritaire
  • Sensibiliser, former, informer
  • Mettre en œuvre des outils et procédures
  • Action techniques et logistiques
  • Assurer une démarche complète détude
  • Assurer une démarche complète de recettes
  • Assurer une démarche complète de suivi
  • Assurer une démarche complète maîtrise dœuvre
  • Action danalyse et de suivi
  • Audit initial, audit régulier (interne / externe)
  • Indicateurs et tableau de bord
  • Organiser
  • Schéma directeur Plan informatique
  • CdC Appel doffre Assurance
  • Équipe et personnel

16
Nécessité
17
Étape 1 Auditer
18
Rôle premier de l'Audit
  • L'audit a pour fonction principale le contrôle
    du SYSTEME étudiéqu'il s'agisse de son
    fonctionnement ou de ses outils de fonctionnement
  • Par là, il a pour but de réduire
  • les écarts et risques
  • ou au moins de les signaler
  • et de proposer des solutions ...

19
Notion d'Audit
  • Nom Masculin UN AUDIT
  • Mission / Procédure consistant à
  • s'assurer du caractère COMPLET, SINCERE et
    REGULIER des Comptes d'une Entreprise
  • s'en porter GARANT auprès des divers partenaires
    intéressés de l'entreprise
  • porter (de manière plus générale) un JUGEMENT sur
    la qualité de sa gestion
  • Synonyme Procédure de Révision
  • Par extension, la personne réalisant cette
    mission (Synonyme Auditeur)
  • En anglais AUDIT and AUDITOR

20
Historique de l'Audit
  • Historiquement, l'AUDIT est d'abord financière
  • A l'époque romaine, les questeurs en étaient
    chargés. Puis Charlemagne en a généralisé l'usage
    par les missi dominici
  • A la fin du XIX siècle, elle fut rationalisée en
    France avec la création de l'OECCA (Ordre des
    Experts Comptables et Comptables Agréés ) puis
    de la CNCC (Compagnie Nationale des Commissaires
    aux Comptes )
  • La fonction a été officiellement créée en 1941
    aux USA avec l'IIA (Institute of Internationals
    Auditors ), en prolongement de la Secury Act de
    1935, obligeant à la ratification des comptes par
    un Expert Comptable
  • En France, il faut attendre 1965 pour voir la
    création de son équivalent l'IFACI rattachée à
    l'IIA (Institut Française des Auditeurs et
    Contrôleurs Internes )

21
Intérêts initiaux de l'Audit
  • CONTRÔLE et VALIDATION du système de Gestion
  • Procédures et méthodes
  • Données
  • CONTRÔLE et VALIDATION des moyens
  • Matériels, réseaux, logiciels
  • Personnels
  • CONTRÔLE et VALIDATION des financements
  • Coûts d'investissements et d'exploitation
  • Rentabilité et budgets
  • CONTRÔLE et VALIDATION des évolutions
  • Plan informatique et Schéma directeur
  • Gestion et suivi des projets

22
Intérêt réel des audits
  • Laudit est devenu au fil du temps
  • Audit defficacité
  • Audit defficience
  • Audit de management et de stratégie
  • Les apports ont évolué et sont devenus
  • Conseil (au lieu dévaluation)
  • Valeur ajoutée
  • Assurance (contractualisation)
  • Qualité (Q.S.E. avec le Système de Management
    Environnemental (SME), basé sur les normes ISO
    14000)
  • Sécurité Informatique (dont norme ISO 17799)

23
L'audit Informatique
  • Analyse exhaustive du fonctionnement d'un centre
    de traitement et de son environnement
  • Débouche sur un diagnostic précisant
  • l'adéquation des ressources matérielles et
    humaines aux besoins de l'entreprise
  • l'adéquation des résultats obtenus en regard des
    moyens engagés
  • l'adéquation des moyens en regard de la
    législation
  • Les méthodes d'Audit Informatiques sont définies
    par l'IFACI comme les autres techniques d'Audit
  • En Anglais COMPUTING CENTER AUDIT

24
Audit de sécurité
  • Lun des points clefs de laudit informatique
    reste laudit des réseaux et de la sécurité
    informatique.
  • Pour ce faire, des méthodes, législations et
    normes, (utilisables dans dautres domaines que
    laudit de sécurité info) ont été créés et mises
    en place
  • Méthodes
  • Marion
  • Mélisa MV3
  • Méhari
  • Ebios 1.0.2
  • COBIT
  • CRAMM v4
  • etc.

25
Points clefs dISO 17799
  • Aspects organisationnels
  • Politique de sécurité organisation
  • Veille
  • Mesures daudit
  • Procédures
  • Recensement des actifs conformité à la
    législation sécurité du personnel
  • Politique dembauche
  • Clauses de confidentialité, etc.
  • Continuité dactivité
  • Aspects logiques
  • Contrôle daccès
  • Gestion des droits et mots de passe
  • Etc.
  • Développement et maintenance des systèmes
    communication et management opérationnel
  • Gestion des sauvegardes, des journaux, des
    erreurs
  • Protection contre les codes  malicieux 
  • Séparation des responsabilités
  • Aspects physiques
  • Sécurité physique et environnementale
  • Périmètre de sécurité
  • Contrôle daccès physique
  • Isolement des zones de livraisons et daccès
    clients
  • Alimentation électrique
  • Obligation de rangement (bureau principalement)
  • Etc.

26
Informatique législation en Europe
  • Exemple de lInternet en Europe avec la LEN (loi
    sur léconomie numérique de Juin 2000) qui est
    transposée en France depuis juin 2004
  • Les lois de l'Internet en Europe
  • Espagne loi sur la société de l'information et
    les services de commerce électronique
  • Finlande loi sur la fourniture de services de
    la société de l'information
  • Autriche loi fédérale sur le commerce
    électronique
  • Danemark loi sur les services de la société de
    l'information
  • Luxembourg loi sur le commerce électronique
    avec modification des Code civil, Code du
    commerce, Code de procédure civil et Code pénal
  • Italie idem
  • Allemagne loi sur l'utilisation des
    télé-services, loi sur la protection des données
    personnelles, loi sur la signature électronique,
    rassemblées au sein dune loi fédérale sur les
    services d'information et de communication
  • France LCEN (loi pour la confiance dans
    léconomie numérique)

27
Système dinformations
  • Rappels systèmes Système automatisé, Système
    informatique, Système dInformation, Notion
    dinformatique et dinformation

28
Principe d'Activité Informatique
POLITIQUE GENERALE
29
Complexité des SI
RESEAUX INTERNES
Sécurité Sûreté
Réseaux filaires ou non (WiFi, Bluetooth, VoIP,
etc.)
30
Pluralité dusage des données
Front Office
Back Office
31
Validité dun S.I.
  • un SI est potentiellement valide si au minimum,
    les informations quil  contient  sont dans un
    cadre DICP
  • DISPONIBLES, cest à dire accessibles lorsque
    lon en a besoin
  • INTEGRES, cest à dire que la totalité des
    informations reste présente sans perte,
    modification, altération, ajout dinformations ou
    valeurs dinformations non prévues
  • CONFIDENTIELLES, cest à dire si seules les
    personnes disposant des droits adéquates peuvent
    consulter, modifier, ajouter, supprimer, diffuser
    des informations, ET si ces droits sont eux-mêmes
    placés dans un cadre DICP
  • PERENES, cest à dire si les 3 paramètres
    précédents sont valables dans le temps

32
Implication pour un S.I.
  • Indicateurs,
  • Système dalertes,
  • Suivi des évolutions,
  • Maintenance,
  • Tests,
  • Scénarios,
  • Etc.

UN TABLEAU DE BORD(tableau de pilotage)dU S.I.
En bref
33
Le Système d'Information
  • RIGUEUR des indicateurs
  • Définition claire
  • Précision
  • Circulation et délais
  • Méthodologie de saisie, calcul et agrégation
  • FIABILITE des indicateurs
  • durant Transmissions et Utilisation (non
    influence des acteurs ou de l'utilisation)
  • dans le temps
  • indépendant de l'erreur humaine (ou
    corrigeable / corrigé )

S.I
  • UNICITE des indicateurs
  • Conception unique
  • Mode de saisie et remonté fiable
  • Comparaison possible quelque soit le lieu
    de gestion et l'utilisateur (métrique de réf.)
  • COHERENCE des indic...
  • pas de redondance
  • couverture de la totalité du SI
  • Vision globale et  détaillable  (vue
    d'ensemble -gt tableau de bord puis détail
    d'un poste à la demande)
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "Audit, " is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!