Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

Contrôle interne et gouvernance - CTB1400 - PARTIE 1 > Chapitre 6 > Flashcards

Chapitre 6 Flashcards

Technologie

1
Q

Qu’est-ce que le référentiel COBIT?

A

Énonce les bonnes pratiques de gestion et de contrôle des TI
Pour soutenir adéquatement la
réalisation des objectifs d’affaires de
l’E

Approche globale intégrant 37 processus clés regroupés en 4 domaines

Conçu pour faciliter la façon dont les TI sont développés, améliorées, mises en œuvre et gérer

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Quels sont les objectifs du référentiel COBIT? (3)

A
  • Partage simplifié des informations (S’assurer que les infos sont fiables, valables, utilisé au bon moment opportun)
  • Intégration des stratégies informatiques et commerciales
  • Optimisation des coûts
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Est-ce que le référentiel COBIT peut être appliqué à tous types d’E?

A

Oui

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Est-ce qu’au Canada, il est obligatoire d’utiliser le référentiel COBIT?

A

Non

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Quels sont les 5 principes du COBIT?

A
  1. Satisfaire aux besoins des parties prenantes
  2. Couvrir l’E d’un bout à l’autre (donc en entier)
  3. Appliquer un référentiel intégré unique
  4. Faciliter une approche globale
  5. Distinguer la gouvernance de la gestion
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Que comporte la gouvernance des TI dans le modèle COBIT?

A

Évaluer
Diriger
et
Piloter

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Que comporte la gestion des TI dans le modèle COBIT?

A

Aligner, Planifier et Organiser

Développer, Acquérir et Implanter

Livrer, Servir et Assister

Piloter, Évaluer et Apprécier

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Qu’est-ce que ITIL? (IT Infrastructure Library)

A

Mêmes objectifs que le COBIT :
(- Partage simplifié des informations
- Intégration des stratégies informatiques et commerciales
- Optimisation des coûts)

Mais modèle développé pour soutenir la livraison des services TI selon les différents cycles de vie d’un service TI.

Intégration des TI aux opérations par 5 cycles (domaines) de gestion des services TI

Focus sur la gestion des TI
Les TI sont analysés distinctement
Il est complémentaire au COBIT

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Quels sont les 5 cycles (domaines) de gestion des services TI?

A
  1. Stratégie
  2. Conception
  3. Transition
  4. Exploitation
  5. Amélioration continue
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Qu’est-ce que ISO 27001& 27002?

A

Démarche de sécurisation du système d’information qui nécessite la réalisation des quatre étapes suivantes :
1) Définition du périmètre à protéger (liste des biens sensibles)
2) Identification de la nature des risques et des menaces
3) Identification des incidences sur le système d’information
4) Élaboration des mesures de protection à mettre en place.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Quels sont les 4 étapes d’ISO 27001 & 27002?

A
  1. Définition du périmètre à protéger (liste des biens sensibles)
  2. Identification de la nature des risques et des menaces
  3. Identification des incidences sur le système d’information
  4. Élaboration des mesures de protection à mettre en place.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Est-ce qu’ISO 27001 & 27002 est axé sur le processus TI?

A

Non, il est davantage axé sur la sécurité des données que sur le processus TI

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

ISO 27001 & 27002 contient 39 catégories de contrôle qui sont regroupées en 11 domaines. Nomme quelques-uns des 11 domaines.

A
  1. Politique de sécurité
  2. Organisation de la sécurité
  3. Classification et contrôle des biens
  4. Sécurité du personnel
  5. Sécurité physique
  6. Communication et exploitation
  7. Contrôle d’accès
  8. Acquisition, développement et maintenance des systèmes
  9. Gestion des incidents
  10. Management de la continuité de service
  11. Conformité
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Quels sont les avantages des TI pour le CI?

A
  • Accroître la rapidité, la disponibilité et l’exactitude des informations (calculs complexes, importants volumes d’opérations ou de données, analyse poussée)
  • Réduire le risque de contournement des contrôles et accroître la capacité de réaliser une séparation des tâches efficaces
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Quels sont les 3 types de logiciels/applications dans l’environnement informatique?

A
  1. Logiciels commerciaux peu complexes
  2. Logiciels commerciaux ou applications informatiques de moyenne envergure et modérément complexes
  3. Applications informatiques de grande envergure ou complexes (ex : Progiciel de gestion intégrée (PGI))
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

À quoi pourrait ressembler les 3 objectifs du cube COSO en matières de TI? (objectifs d’exploitation, objectifs de présentation de l’information et objectifs de conformité)

A

Objectifs d’exploitation :
- Continuité d’exploitation
- Fonctionnement efficient

Objectifs de présentation de l’information :
- Fiabilité, exactitude, validité, intégrité des données
- Information complète, disponible en temps opportun

Objectifs de conformité :
- Sécurité des données
- Respect de la loi (ex : taxes de ventes)

17
Q

Quelles sont les deux catégories de risques découlant du recours aux TI?

A

Applications PEU vulnérables
et
Applications vulnérables

18
Q

Qu’est-ce qu’une E qui n’est pas vulnérable?

A

C’est qu’elle ne possède AUCUN élément informatique

19
Q

Quelles sont les caractéristiques des applications PEU vulnérables lorsqu’on utilise les TI?

A
  • Applications autonomes
  • Volume de données (opérations) peu important
  • Fonctionnalités peu complexes
  • Opérations systématiquement étayées par les originaux papier

Plus c’est simple et moins c’est complexe –>Application PEU vulnérables (logiciel commercial)
Exemple : Suite Office, Acomba, logiciel que de base que l’on utilise

20
Q

Quelles sont les caractéristiques des applications vulnérables lorsqu’on utilise les TI?

A

Applications avec interfaces

Volume de données (opérations) important

Fonctionnalités complexes, telles que :
- déclenchement automatique d’opérations
- écritures automatisées basées sur un éventail de calculs complexes

Applications vulnérables : Exemple : Application faite sur mesure pour l’E, du PGI
Les systèmes se parlent et que c’est complexe = Vulnérable

21
Q

Définition des risques découlant du recours aux TI (NCA 315)

A

Risques associés à un appui inapproprié sur des applications informatiques qui ne traitent pas les données avec exactitude, qui traitent des données inexactes, ou les deux.

22
Q

Qu’est-ce que ça veut dire lorsque les applications informatiques ne traitent par les données avec exactitude?

A

Des bonnes données qui une fois rentrent dans le système ne sont pas bien traités

23
Q

Qu’est-ce que ça veut dire lorsque les applications informatiques traitent des données inexactes?

A

Mauvaises données qui une fois rentré sont bien traitées dans le système

24
Q

Donne des exemples de risques découlant du recours aux TI (NCA 315)

A
  • Accès non autorisés ou trop larges
  • Modifications non autorisées ou non réalisées
  • Interventions manuelles inappropriées
  • Perte de données ou incapacité d’accéder aux données
  • Protection informatique inadéquate (virus, piratage …)
  • Protection physique inadéquate (vol, incendie, sinistre électrique)
  • Absence de sauvegarde ou absence de plan de relance
  • Mots de passe permanents ou peu sécurisés
  • Matériel ou système d’exploitation désuet (absence de mises à jour et de correctifs)
  • Implantation ou modification inadéquate
  • Formation insuffisance ou inadéquate
  • Séparation des fonctions incompatibles (administrateur VS autres fonctions)
  • Documentation inadéquate ou inexistante
25
Q

Qu’est-ce que les contrôles généraux informatiques (CGI)?

A

Contrôles exercés sur l’ensemble des technologies de l’information de l’entité

Politiques et procédures conçues et mises en place dans le but de procurer l’assurance raisonnable que les systèmes informatiques fonctionnent de manière continue et appropriée

Impact l’ensemble du système pour s’assurer qu’il est bien protégé

26
Q

Donne des exemples de CGI (NCA 315)

A

Gestion de l’accès :
- Privilèges d’accès
- Accès direct aux données
- Configuration des systèmes

Gestion des changements :
- Applications, bases de données et logiciels de base
- Conversion des données

Gestion des opérations informatiques :
- Réseau
- Sauvegarde et récupération des données
- Planification des travaux

Sécurité des données :
- Antivirus, pare-feu, cryptage…

Formation des utilisateurs :
- Compétences, formation initiale et continue…

Documentation :
- Politiques et procédures documentées par écrit et diffusées aux employés concernés

Protection physique :
- Postes et lieux verrouillés, surveillance de l’usure, protection incendie…

27
Q

Qu’est-ce qu’une application informatique (NCA 315)? Aux niveaux des activités de contrôle - Contrôles des applications

A

Programme ou ensemble de programmes servant au déclenchement, au traitement, à l’enregistrement ou à la communication d’opérations ou d’informations

28
Q

Définition des contrôles des applications (adapté de ISA 315 et de NCA 315)? Aux niveaux des activités de contrôle - Contrôles des applications

A

Procédures utilisées pour initier, enregistrer, traiter et signaler des transactions ou d’autres données financières, et qui permettent de répondre directement aux risques liés à l’intégrité des informations (c’est-à-dire l’exhaustivité, l’exactitude et la validité des opérations et des autres informations)

29
Q

Quelles sont les activités de contrôles pour les applications?

A

Contrôles d’entrée
Contrôles de traitement
Contrôles de sortie

30
Q

Qu’est-ce que les contrôles d’entrée? Aux niveaux des activités de contrôle - Contrôles des applications

A

Contrôles d’édition, tels que :
- Contrôle de raisonnabilité
- Vérification de l’existence
- Vérification des caractères
- Vérification de la portée –> (Mettre un maximum)

31
Q

Qu’est-ce que les contrôles de traitement? Aux niveaux des activités de contrôle - Contrôles des applications

A

Contrôles d’exécution à exécution, tels que :
- Totaux de lots de saisie
- Appariement des données (triples rapprochements = Bon de commande + bon de livraison + facture)
- Calculs automatisés

32
Q

Qu’est-ce que les contrôles de sortie? Aux niveaux des activités de contrôle - Contrôles des applications

A

Vérification post-traitement, tels que :
- Rapprochement (manuel ou informatisé)
- Inspection visuelle
- Analyse des rapports d’exception –> Alarme qui apparaît pour dire que ça ne fonctionne pas

33
Q

L’incidence des technologies sur le CI, aux niveaux de l’élément de contrôle : 1. Environnement de contrôle. Que doit-on regarder?

A
  • Nature du système et des applications (commercial VS complexité)
  • Attention accordée aux TI par les dirigeants et les RG
  • TI relèvent de quel service? Est-ce qu’il y a une personne compétent pour s’occuper des TI?
  • CGI :
    Gestion d’accès
    Gestion des changements
    Gestion des opérations informatiques
    Autres CGI…
34
Q

L’incidence des technologies sur le CI, aux niveaux de l’élément de contrôle : 2. Évaluation des risques. Que doit-on regarder?

A
  • On établit des objectifs en lien avec l’exploitation, Information et la Conformité
  • Ensuite, on établit une liste des risques possibles aux TI (On ne s’arrête pas qu’aux risques généraux)
  • On fait la liste des risques plus poussés

Exemple :
Objectif d’exploitation : Continuité d’exploitation
Risques TI : Désastre naturel
Risques : Protection physique inadéquate, Absence de sauvegarde, Absence de plan de relance

35
Q

L’incidence des technologies sur le CI, aux niveaux de l’élément de contrôle : 3. Activités de contrôle. Que doit-on regarder?

A

Est-ce que les activités de contrôle des applications sont adéquates ?
- Contrôles d’entrée
- Contrôles de traitement
- Contrôles de sortie

N’oublions pas qu’une partie des risques est déjà traitée par les CGI (accès, sauvegarde et relance, formation, séparation des FI …).

36
Q

L’incidence des technologies sur le CI, aux niveaux de l’élément de contrôle : 4. Information et communication. Que doit-on regarder ?

A

Est-ce que les informations sont bien communiquées ?
Est-ce qu’il y a des formations pour les employés ?

37
Q

L’incidence des technologies sur le CI, aux niveaux de l’élément de contrôle : 5. Activités de suivi (pilotage). Que doit-on regarder ?

A

Est-ce qu’il y a des mises à jour?
Est-ce qu’il y a un suivi des échéances ?

Contrôle interne et gouvernance - CTB1400 - PARTIE 1 (6 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions