Éléments importants - TI Flashcards
Quels sont les éléments le plus susceptibles d’être questionnés à l’EFC en matières de TI? (6)
- Implantation d’un système d’information (*CONVERSION DES DONNÉES)
- Mise à jour du système
- Sécurité physique et logique
- TI intégré au processus d’affaire (Contrôles déficient, absent ou manuel)
- Protection des renseignement personnels (PRP - données confidentielles)
- Sauvegardes et plan de reprise sur sinistre
Quels sont les risques lors d’une conversion de données en TI? (5)
- Perte de transactions (Exhaustivité)
- Transaction en double (Existence et réalité)
- Fichier maître mal constitués (Exactitude)
- Logique incorrecte (Exactitude)
- Mauvaise imputation (Classement/Rattachement)
Comment répondre au risque lié à la fiabilité du système?
Recommandation: Soutien informatique
Comment répondre au risque lié à des modifications non autorisées?
Recommandation: Validation périodique par une personne indépendante OU journal des accès et suivi des modifications.
Comment répondre au risque lié à des transactions fictives?
Recommandation: Numérotation automatisée
Comment répondre au risque lié à la sécurité d’accès?
Rec.: Mot de passe adéquats
Comment répondre au risque lié à la protection des renseignements personnels?
Rec.:
- Chiffrement des envois et des fichiers conservés.
- Serveurs séparés
Comment répondre au risque lié à la perte de données?
Rec.: Sauvegardes
Comment répondre au risque lié à la sécurité (Accès à distance, réseau sans fil)?
Rec.: Pare-feu, détecteur d’intrusion
Comment répondre au risque lié aux informations des cartes de crédit des clients?
Rec.: Normes PCI, chiffrement
Comment répondre au risque lié à l’intégrité des données?
Rec.: Antivirus à jours
Comment répondre au risque lié à la dépendance au TI (ex: système d’information sans papier)?
Rec.:
- Plan de relève sur sinistre
- Stratégie d’audit: TAAO
Comment répondre au risque lié à un système d’information qui ne répond pas aux besoins, qui fait des erreurs dans les calculs et qui ne produit pas une information adéquate?
Rec.:
- Nouveau système d’information
- Intégration au G/L, interfaces…
Quel cadre ou modèle de processus peut-on se référer pour les contrôle TI?
COBIT
ISO 270002
Quels sont les avantages d’un contrôle TI?
- Amélioration de la gouvernance
- Génération d’une information de qualité donc meilleure prise de décision.
- Diminution du risque d’intrusion et de pertes de temps, réputation ou de données.
Quels sont les indices d’un système d’information de qualité?
- Produit des informations en temps réel
- Gère de grande quantité de données
- Suit l’échéanciers de modélisation en temps réel d’un planificateur
- Répond aux exigences de sécurité et d’accessibilité des données
- Produit une information financière er de gestion de grande qualité par des contrôles intégrés de PRÉVENTION et de DÉTECTION.
Qu’Est-ce que la cote DIC en TI?
Cote recherchée par une système d’information:
Disponibilité
Intégrité
Confidentialité
Quoi considérer lors de la participation à un processus de planification et d’analyse des systèmes TI?
- Analyse de faisabilité
- Analyse coûts-avantages
- Critères de sélections: Respect des fonction demandées, coûts, temps et RH disponibles, échéanciers, fournisseurs (réputation, solidité financière et qualité du service, gestion de la sécurité, etc)
- Option de financement
- Réingénierie des processus
En audit, quel rapport est utile quant aux contrôle mis en place dans une entreprise qui offre des service de sous-traitance ?
Rapport NCMC 3416 - Rapport sur les contrôle d’une société de service.
Qu’Est-ce qui peut mener à une réingénierie des processus?
- Optimisation de la chaîne de production
- Réorganisation administrative
- Fusion, acquisition d’entreprise
- Nouvelles fonctionnalités (Service web, etc)
Comment peut-on s’assurer de respecter la protection des renseignement personnels dans un système d’information en TI? (5)
- Déterminer si des dispositions législative doivent être prise en compte.
- Élaborer une politique efficace en matière de confidentialité
- Séparation adéquate des tâches
- Bons contrôles sur les données et les programmes
- Prévention des modifications non autorisées
- Accord de non-divulgation avec les employés et fournisseurs
Qu’Est-ce qu’un progiciel de gestion intégré?
Échange de donnée électronique (Transaction):
- Suite finacière (G/L, Comptes fournisseurs, Compte client
- Suite logistique: Stocks, facturation, production et approv.
- Gestion des immobilisations
- Paiement électroniques: Paie, EDI
Comment répondre au risque lié à l’incohérence entre les données de différents emplacements?
Rec.: Rapport d’exception au détenteur de données ou rapport de comparaison automatique
En audit, que peut-on utiliser pour vérifier et valider le fonctionnement des contrôles informatiques?
- Logiciel général d’audit (TAAO - Ex: IDEA)
- Test de cheminement
- Utilisation des TAAO pour accélérer le travail d’audit et pour vérifier une population complète. (Diminution des coûts)
Quelle conclusion est recherchée lors de la vérification des contrôle informatique par l’auditeur?
- Intégrité de l’information
- Sécurité des données
- Fonctionnement efficaces des contrôles d’application.
Quels sont les 2 types de TAAO ?
- Axées sur les systèmes: tester les programmes
- Axées sur les données: Logiciel LAG pour tester les données . Permet de sélectionner, rechercher, récapituler et traiter les données à partir des système d’information du client. (Test de corroboration)