15 Mai 2020

L’importance de l’audit IT pour évaluer et sécuriser son système d’information

Dans un environnement de plus en plus digital, la MAÎTRISE des risques liés au système d’information constitue un enjeu majeur et stratégique pour toutes les organisations.

Qu’est-ce que l’audit IT/audit des Systèmes d’Information ?

L’audit IT a pour objectif d’identifier et d’évaluer les risques (opérationnels, financiers, de réputation etc…) associés aux activités informatiques d’une entreprise ou d’une administration. Selon une enquête de Riverbed Technology de 2018, 90 % des dirigeants sont inquiets quant à la disponibilité et la traçabilité des données issues de leurs systèmes d’information.

Pourquoi réaliser un audit IT ? Quel lien avec la certification des comptes ?

Toutes les données comptables et financières utilisées dans le cadre de la certification des comptes sont saisies, calculées et extraites à partir du Système d’Information. C’est pourquoi il est indispensable de s’assurer de son efficacité, par la validation de sa bonne gestion et des applicatifs métiers.

L’approche d’audit IT intégrée à l’approche d’audit général consiste à prendre connaissance et à évaluer les dispositifs et les procédures mis en œuvre pour contrôler la capacité des principaux systèmes d’information à produire des informations comptables et financières fiables.

Le but de l’auditeur IT est de s’assurer de l’exhaustivité et de la qualité des données qui transitent dans le SI et qui sont exploitées par les équipes d’auditeurs financiers.

Quels en sont les bénéfices ?

  • Avoir un regard externe sur la gestion des processus IT du SI.
  • Obtenir un diagnostic des principales forces et faiblesses du système d’information et sa capacité à produire de l’information comptable et financière.
  • Se rassurer sur la fiabilité de son système d’information.
  • Respecter la réglementation en vigueur encadrant la gestion des données et des systèmes d’information.
  • Aider à la prise de décision sur les orientations et les priorités à traiter.

En quoi consiste un audit IT ?

L’audit du système d’information consiste à vérifier qu’il existe des contrôles efficaces et performants de maîtrise de l’activité informatique principalement sous les aspects suivants :

  • Organisation de la fonction informatique
  • Travaux d’exploitations
  • Applications informatiques opérationnelles
  • Sécurité informatique

Les auditeurs IT ORCOM appliquent une approche méthodologique en 5 étapes.

1- Prise de connaissance de l’environnement informatique et des dispositifs de contrôle internes

L’objectif est de mieux comprendre l’enchaînement des processus, leurs relations avec le système d’information, et de relever les risques significatifs comme par exemple les interfaces non contrôlées, les applications « obsolètes » ou les logiciels sans maintenance adaptée aux besoins de disponibilité de l’entreprise.

2- Réalisation d’une revue des contrôles généraux informatiques

Cette mission est menée sur les applicatifs inclus dans le périmètre et évalue tous les « points d’entrées » pouvant affecter les états financiers sur différents thèmes : gestion des accès, gestion des changements et gestion de l’exploitation. Des failles dans la gestion des accès aux applications peuvent autoriser sans contrôle la consultation, modification ou suppression de données sensibles.

3- Réalisation d’une revue des contrôles applicatifs

A cette étape, les auditeurs IT explorent et évaluent les interfaces identifiées dans le périmètre, et mesurent les contrôles mis en place afin de s’assurer de l’exhaustivité et de la qualité des données transférées.

4- Détection, analyse et conclusion sur les anomalies et leur niveau de risque

5- Production d’un rapport détaillé de nos constats et recommandations.

En conclusion, si l’audit IT répond aux attentes du commissaire aux comptes dans sa recherche accrue d’efficacité et de pertinence, il est un outil d’aide à la décision essentiel pour le dirigeant dans sa stratégie digitale.

 

Pour en savoir plus sur notre offre Audit IT > Contactez notre associé responsable du pôle IT :

Retour