Assistance aux responsables d’audit interne et aux risk managers
Effigen vous aide à mieux intégrer la dimension clé des systèmes d’information dans l’activité de l’audit interne
Le niveau d’intégration de plus en plus important des systèmes d’information complexifie l’approche des auditeurs internes, qui doivent prendre en compte, de manière désormais quasiment systématique, les problématiques liées à l’informatique dans leur champ d’intervention.
Les enjeux sont en général les suivants :
- identifier les risques et la nature des missions d’audit interne à mener dans le domaine informatique,
- vérifier que les systèmes d’information contribuent efficacement au bon fonctionnement du dispositif de contrôle interne, à travers :
- l’existence de contrôles automatiques pertinents au sein des processus métiers,
- la gestion adéquate des processus informatiques (gestion de la sécurité logique et physique, développement et maintenance applicative, exploitation et sauvegarde, etc.),
- le respect de la conformité avec les réglementations (protection des informations personnelles, traçabilité alimentaire, etc.).
Une assistance globale à l’audit interne sur toutes les problématiques liées aux systèmes d’information
Pour répondre à ces enjeux, Effigen assiste les auditeurs internes notamment autour des thématiques suivantes :
- analyse de l’organisation de la fonction informatique et des risques liés aux systèmes d’information (cartographie des SI, tableaux de bords, schéma directeur, etc.),
- analyse des contrôles automatiques figurant dans les processus métiers (identification, tests, propositions éventuelles d’amélioration ou d’optimisation),
- analyse de la correcte séparation des fonctions et des tâches au niveau des systèmes d’information (applicatifs métiers ou financiers), visant à s’assurer que les utilisateurs, au sein d’une même application, ne sont pas autorisés à réaliser des tâches incompatibles,
- vérification du correct fonctionnement des contrôles généraux informatiques,
- audit de sécurité (revue des droits d’accès, revue des paramétrages de sécurité d’infrastructures réseaux et systèmes, identification des menaces et vulnérabilités, etc.),
- examen des contrats et de la conformité aux législations relatives aux systèmes d’information,
- évaluation du niveau de contrôle interne appliqué sur les prestations externalisées (démarche norme ISAE 3402).