5 et 6. Contrôle généraux informatiques Flashcards
Quels sont les contrôles généraux ?
Contrôles ayant une incidence générale sur les divers cycles comptables
- Personnel habilité
- Contrôle budgétaire et suivi de la performance
- Rapprochement périodiques
- Séparation des fonctions
- Contrôles d’accès
- Supervision
Qu’est-ce qu’un contrôle général informatique ?
Procédures de contrôle global sur l’exploitation d’un système informatique procurant l’assurance raisonnable que les objectifs du contrôle interne sont atteint
- contrôles d’organisation et de gestion
- contrôles portant sur :
- la mise au point
- la documentation
- la maintenance du système et des programmes,
- les logiciels
- la saisie des données
- contrôles d’accès aux données et aux programmes
Qui sont les intervenants des contrôles généraux informatiques ? (2 points)
- Gouvernance
- Haute direction
- Conseil d’administration
- Notions de propriétaire des systèmes et des données :la haute direction est propriétaire des données)
- Les utilisateurs
- Le service TI
- Soutien aux utilisateurs
- Administration des base de données
- Développement et modification
- Surveillance
Quels sont les 6 contrôles généraux informatiques ?
- Séparation des fonctions TI
- Développement des systèmes
- Modification des systèmes
- Contrôle d’accès
- Continuité des affaires et relève corporative
- Impartition (externalisation)
Qu’est-ce que la séparation des fonctions ?
Prévenir la fraude en confiant à des personnes différentes les tâches à accomplir de telle sorte qu’aucun employé ou groupe d’employés ne soit en mesure de commettre une fraude et de la dissimuler dans l’exercice de ses fonctions
Intervenants : diagrame
Séparation des fonctions imcompatibles : officier de sécurité et assurance qualité
La fonction surveillance
- Indépendante et positionnement hiérarchique aéquat
L’officier de sécurité
- Surveillance
- Politiques et normes de sécurité
- Règles d’accès (saine pratique)
L’assurance qualité
- Respect des normes internes
Séparation des fonctions incompatibles : indépendance entre la fonction développement et exploitation
- Forces et faiblesses du systèmes
- Connaissance de la séquence des traitements
- Accès aux données réelles
Séparation des fonctions incompatibles : indépendance à l’intérieur de la fonction exploitation
- Ne doit pas avoir de connaissance en programmation
- Risques :
- Manipulation des données
- Falsification des rapports de sorties
- Traitement non autorisés
Séparation des fonctions incompatibles : indépendance de la fonction soutien des fonctions exploitation et développement
- Gestion des codes d’accès
- Protocole de communication
Séparation des fonctions incompatibles : indépendance de la fonction de gestion de la base de données
- Connaissance de la structure de la base de données
- Connaissance du contenu de la base de données
- Surveillance des activités de l’administrateur de la base de données
Séparation des fonctions incompatibles : vue d’ensemble
Quels sont les risques quant au développement des systèmes ? (6 points)
- Dérogations aux IFRS/NCECF
- Erreurs de programmation
- Contrôles programmés mal conçus/erreurs permanentes
- Conversion de données inadéquate
- Formation incomplète des utilisateurs
- Mise en exploitation d’instructions frauduleuses
Quels sont les 5 étapes du développement de systèmes ?
- Planification
- Conception logique
- Réalisation technique
- Essais
- Mise en place
Quels sont les facteurs clés de succès ? (4 points)
- Méthodologie de développement
- Formulaire conforme à la méthodologie
- Processus formel d’approbation
- Document fonctionnel détaillant les règles d’affaires et identifiant l’ensemble des contrôles programmés
Développement des systèmes : planification
- Besoins
- Analyse des priorités
- Approbation
Développement des systèmes : conception logique
- Règles d’affaires adéquates
- Vérification des contrôles internes
- Approbation
Développement des systèmes : réalisation technique
- Bibliothèque de développement
- Essais unitaires
- Essais intérgrés
- Surveillance
Développement des systèmes : essais (4 points)
- Bibliothèque des essais
- Planification et suivi des résultats
- Essais d’acceptation
- Contrôles programmés (données fictives invalides)
- Traitements (données valides réelles ou fictives)
- Approbation
Développement des systèmes : mise en place
- Bibliothèque d’exploitation
- Approbation finale et formelle
- Conversion des données
- Formation et documentation
- Traitement en parallèle
Processus de développement : une vue d’ensemble
Quels sont les 2 motifs à la modification de systèmes ? (2 points)
- Nouveaux besoins
- Performance
Quels sont les 4 risques à la modification des systèmes ?
- Modification non autorisée
- Modifications de mauvaise qualité
- Implantation affectant l’intégrité des données
- Malversations lors de l’accès aux données
*Même méthodologie à la modification qu’au développement
Quels sont les 2 types de modification de systèmes ?
- Dans le cours normal des affaires
- En situation d’urgence
Quelles sont les démarches à la modification dans le cours normal des affaires ?
- Planification
- Méthodologie
- Formulaires
- Documentation
- Contrôle de l’historique
- Étude d’impacts
- Approbation
Illustration du processus de développement
Quels sont les risques quant à la modification de systèmes en situation d’urgence ?
- Retrait des activités de contrôle afin de remettre en service les processus d’affaires avec un délai minimal
- Utilisation d’accès à la bibliothèque d’exploitation par le personnel de développement
- Modification non autorisées
- Pertes de données
Quels sont les contrôles clés quant à la modification de système en situation d’urgence ?
- Politiques et procédures formelles
- Contrôles a postériori
- Essais
- Documentation
- Autorisation
*Les modifications en cas d’urgence ne doivent pas devenir la norme courante dans l’entreprise en matière de modification des systèmes
Illustration des modifications en cas d’urgence
Contrôles d’accès : quels sont les deux types de sécurité ?
- Sécurité logique
- Sécurité physique
Quels sont des aspects de la sécurité logique ? (4 points)
- Mise en application de la séparation des fonctions incompatibles
- Gestion des codes d’utilisateurs
- Personnes autorisée - identification
- Gestion des mots de passe
- Authenticité de l’utilisateur
- Utilisation d’une table d’accès
Quels sont les contrôles clés quant à la sécurité logique ? (4 points)
Logiciels : protéger l’accès logique aux applications, systèmes de base ainsi qu’aux utilitaires
Fichiers : l’accès logique aux fichiers contenant les données opérationnelles, les registres de sécuirté ainsi que les journaux machines (systèmes)
Bibliothèque : protéger l’accès logique aux diverses bibliothèques (développement, essais et exploitation) afin de permettre la réalisation de la séparation des fonctions incompatibles
Documents spéciaux : protéger l’accès logique aux documents qui permettent d’indentifier les utilisateurs ainsi que les documents précisant les détails de la table d’accès
Quels sont mécanismes de la sécurité logique quant à l’accès à distance ?
- Protocole de communication
- Tentatives infructueuse d’assès - désactivitation
- Connexion inactive - débranchement automatique
- Code d’utilisateur et mot de passe
- Nature confidentielle
- Changement périodique - dictionnaire d’interdits
- Encryptions
Qu’est-ce qu’il faut tenir compte par rapport au mouvement de personnel quant à la sécurité logique ? (4 points)
- Nouvel employé
- Formulaire autorisé
- Attribution par le groupe de soutient
- Distribution confidentielle
- Mot passe initiale robuste et utilisation unique
- Départ d’employé
- Désactivation du code
- Promotion d’employé
- Revue des accès par la propriétaire du système
Qu’est-ce qui soulève de la sécurité physique ? (6 points)
Protéger l’accès physique aux installations informatiques de l’entreprise
- Ordinateur central
- Serveurs
- Équipements de télécommunication
- Rapports et formulaires
- Documents fonctionnels
Continuité des affaires et relève corporative (3 points)
- Assurer la continuité des affaires lors de la matérialisation d’un événement :
- Pannes et problèmes de nature technique
- Sinistres
- Malversations et malveillance
Qu’est-ce qu’un plan de continuité ?
Plan visant à assurer le rétablissement en temps opportun ou la disponibilité continue des fonctions et services opérationnels de l’entreprise dans l’éventualité où les ressources habituelles, comme les bureaux, les terminaux, les micro-ordinateurs et les réseaux, cesseraient d’être disponibles
Qu’est-ce que la relève corporative (plan antisinistre) ?
Ensemble de dispositions arrêtées en vue d’assurer la reprise des activités informatiques dans le cas où l’exploitation normale serait interrompue à la suite d’un sinistre
Qu’est-ce qui compose la planification de la relève corporative ?
Planification :
- Délais, fonctions visées et envergure
- Sites de relève
- Ressources humaines et matérielles
- Entreposage et disponiblité des données
- Déclanchement
Quelles sont les conditions gagnantes de la relève corporative ? (5 points)
- Ententes de service
- Copies de documents critiques
- Essais
- Essai papier
- Essai physique
- Entretien du plan
- Formation
Quels sont les pours et contres de l’impartition ?
Pour
- Utiilsation ponctuelle d’expert
- Coûts de développement partagés
- Concentration sur le « core business »
Contre
- Enlignement des calendriers de production
- Confidentialité des données
- Propriété du code source
- Fiabilité des contrôles généraux
- Continuité d’exploitation
- Problème d’audit
Quels sont les éléments clés de l’impartition ?
- Sélection du fournisseur de service
- Rédaction de l’entente de service
- Processus de gestion des différents
- Évaluation de la performance du fournisseur de service (gestion de l’entente de service)
Contrôles généraux : conclusion
- Lien avec l’évaluation de l’environnement de contrôle
- Impact sur les contrôles spécifiques
