Approche générale

Un audit informatique, audit des systèmes d'information, se fait selon un schéma en 4 phases :

Définition précise du plan de travail, récolte d'information, recherche et schématisation des processus métiers et/ou informatiques à apprécier, définition des rôles et responsabilités, analyse des forces - faiblesses.

Analyse des processus importants, définition des risques, évaluation préliminaire des risques, de l'efficacité des contrôles.

Tests des contrôles.

Tests de matérialité.

Un audit informatique, audit des systèmes d'information ne concerne pas nécessairement la sécurité. En effet, il peut servir à évaluer des aspects stratégiques ou de qualité des systèmes d'information. Par exemple, répondre à la question suivante : Est-ce que les systèmes d'information de l'entreprise répondent efficacement aux besoins des services métiers ? La démarche est très similaire, en choisissant et évaluant les processus informatiques proposés par le CobiT qui répondent le mieux à la demande et aux objectifs du client.

Mission

Evaluer les risques des systèmes d'information nécessaires au fonctionnement des applications. Par exemple : Sécurité physique, sécurité logique, sécurité des réseaux, plan de secours.

Livrable

Rapport contenant les faiblesses relevées, leur niveau de risque et les mesures correctives proposées.

Mission

Assister l'audit interne à apprécier le projet en cours de réalisation dans les phases suivantes:

Initialisation - Analyse,Conception - Réalisation,
Tests - Installation,
ainsi que le processus de Gestion de projet.

Les interventions de l'audit interne durant le projet peuvent concerner:

Méthodes et standards,
Gestion de projet,
Suivi des budgets et des délais,
Livrables,
Initialisation - Analyse,
Conception - Réalisation,
Tests - Installation,
Migration des données,
Revue post-installation.
Approche

Appréciation des processus et/ou enquêtes à l'aide de questionnaires.

Livrables

Mesures proposées de réduction et de contrôle des risques importants relevés; tableaux de bord et autres documents de contrôle pour la Direction.

Mission

Apprécier une application informatique en production, par exemple une application de gestion des salaires, une application financière, etc. Très souvent plusieurs domaines font partie d'un audit d'une application, en particulier:

 

les données opérationnelles, les données de base,
les paramètres,
les interfaces entre l'application et d'autres applications,
la gestion des droits d'accès à l'application.
Bien entendu, tout audit d'une application doit également apprécier la sécurité de l'infrastructure informatique nécessaire au fonctionnement de l'application (cf. ci-dessus).

Livrable

Rapport contenant les faiblesses relevées, leur niveau de risque et les mesures correctives proposées.

Go to top