Votre système d’information est il bien optimal ?
Le principal objectif de nos interventions est d’évaluer l’adéquation des contrôles au sein du département informatique (tous cycles d’audit confondus) afin de s’appuyer sur ces contrôles dans le cadre de notre démarche d’audit avec une approche exhaustive incluant :
- la séparation des tâches au sein de l’organisation informatique ;
- les opérations de maintenance autour d’un ensemble applicatif ;
- les opérations d’exploitation autour d’un environnement informatique ;
- la gestion de la sécurité informatique ;
- la gestion des sauvegardes et le plan de continuité d’exploitation de la société.
Les thèmes abordés répondent à des objectifs de contrôle interne qui permettent de couvrir les principaux risques liés à l’utilisation des ERP :
Infrastructure technique
- Revue de la sécurité mise en place au niveau de l’infrastructure technique ;
- Sécurité logique du système d’exploitation, de la base de données et du réseau ;
- Sécurité physique des installations ;
- Sauvegardes et plan de secours ;
- Protection des ressources : revue diagnostic des choix technologiques, tests d’intrusion, évaluation ou assistance à la mise en œuvre d’une architecture et d’une politique de sécurité ;
- E-business : gamme large et complète de services en matière de sécurité et de cryptographie permettant notamment de tester la robustesse des « Firewalls » et de protéger efficacement la transmission des paiements et des données sensibles à travers l’internet ;
- Télécommunications et Réseaux :
- Auprès des opérateurs télécoms : diagnostic et plan d’amélioration des systèmes et processus de gestion des flux de revenus et d’encaissement
- Auprès des entreprises : diagnostic et optimisation de l’infrastructure télécom.
Sécurité applicative
- Revue des principes et des procédures en matière de sécurité applicative ;
- Identification et protection des transactions critiques de l’ERP ;
- Création et adéquation des profils utilisateurs aux principes de séparation des tâches ;
- Suivi continu des accès ;
- Procédures de maintenance et d’évolution.
Contrôles des processus fonctionnels
- Revue de l’adéquation des contrôles aux risques identifiés dans les processus fonctionnels ;
- Prise en compte des contrôles automatiques paramétrés dans l’ERP ;
- Mise en place des contrôles programmés par développement spécifique ;
- Prise en compte de contrôles manuels à partir des états de contrôle disponibles dans l’ERP ou développés de façon ad hoc.