La nécessité de l’audit informatique apparaît avec la prise de conscience du caractère stratégique des systèmes pour l’entreprise (fonctions opérationnelles, financières, analytiques…). L’audit informatique répond également à des exigences normatives en matière de contrôle interne (Sarbanes-Oxley, Loi de Sécurité Financière….).

L’audit informatique intéresse donc en premier lieu la Direction Générale de l’entreprise afin de s’assurer que les projets et les systèmes supportent bien toutes les dimensions de ces enjeux clés. L’audit informatique intéresse également la Direction des Systèmes d’Information, parce que cette direction est en premier chef concernée par les constats, les risques et les recommandations formulés par les auditeurs, mais surtout parce que les conclusions d’audit doivent constituer un levier de progrès continu.

Les principaux points d’attention des auditeurs informatiques se portent généralement d’abord sur la sécurité logique (accès, mots de passe, protection réseau…), puis sur les problématiques de sauvegarde (back-up, restore, disaster recovery plan et business continuity plan), viennent ensuite les questions de méthodologie projet et les contrôles métiers automatisées dans les systèmes.

Si les accès intéressent en premier les auditeurs, c’est à la fois parce que

- les enjeux et la perception de ces risques sont clairs pour les acteurs métiers et IT,

- l’approche d’audit est maîtrisée,

- les expertises techniques sont les plus développées sur ces points.

Pour répondre aux exigences des auditeurs, et notamment en matière d’accès, la mise en place de procédures documentées constitue la meilleure façon de répondre aux questions.

La fréquence des changements d’organisation et des mouvements humains dans l’entreprise rendent difficile voire quasi impossible une gestion efficace de ses procédures sans recourir à des outils de gestion. La mise en place de tels outils constitue donc un moyen efficace pour fiabiliser ses procédures et fournir une documentation consistante aux auditeurs qui en sont friands.

Par exemple, la mise en place d’un outil de gestion des incidents permet de tracer les actions correctives, de suivre les délais de résolution, de piloter les ressources et mesurer l’efficacité des prestataires.

Autre exemple, l’utilisation d’outil de gestion des accès doit permettre de vérifier les procédures de gestion des comptes utilisateurs, de contrôler la cohérence de la liste des utilisateurs avec les personnes travaillant pour l’entreprise, de s’assurer de la correcte déclinaison des droits d’accès dans le système en fonction des responsabilités dans l’entreprise.

En conclusion, l’audit informatique doit constituer un moyen de faire progresser l’entreprise. Il s’agit d’une approche au service du management qui doit pour être mise en œuvre pour améliorer les méthodes de la direction informatique et de ses clients.

Censio peut vous aider à préparer vos audits, sur l’ensemble des aspects de l’audit informatique. Expert SAP, Censio vous propose également Smart qui peut aussi bien être utilisé comme système de gestion des accès SAP ERP que comme un outil d’audit pour vos missions d’audit interne.

Pour plus d’informations, n’hésitez pas à nous contacter et à consulter notre page web dédié à SMART. ]]> http://blog.censio.fr/2009/11/laudit-informatique-pourquoi-pour-qui-comment-rpondre-aux-exigences-des-auditeurs/feed/ 1 http://blog.censio.fr/2008/09/sap-grc-kezako/ http://blog.censio.fr/2008/09/sap-grc-kezako/#comments Fri, 19 Sep 2008 16:52:53 +0000 aguignat http://blog.censio.fr/?p=75 SAP Governance Risk and Compliance, dit SAP GRC, est la solution proposée par SAP pour permettre aux entreprises de maîtriser leurs risques et de construire une croissance durable, c’est-à-dire se donner l’assurance que l’occurrence d’une erreur ou d’une fraude ne remettra pas en cause de manière significative le développement de l’entreprise à long terme. Les scandales comme Enron en son temps, ou celui de la Société Générale plus récemment, sont les illustrations les plus évidentes de l’impact potentiel de ce type de risques.

SAP GRC va donc aider le management de l’entreprise à:

- identifier, évaluer et gérer les risques (financiers, opérationnels, légaux…),

- mettre en place un cadre et des outils de contrôle unifiés, collaboratifs et partagés dans l’ensemble de l’organisation et des systèmes d’information, et aussi automatisés et préventifs que possible,

- renforcer la production d’une information fiable et transparente.

Les domaines concernés sont vastes: le contrôle interne, l’environnement, la santé et la sécurité, les échanges internationaux et la confidentialité des données.

La suite GRC a donc été constituée de plusieurs modules :

- Risk Management, pour mesurer l’ensemble des risques associés à une opportunité métier (financier, légal, opérationnel)

- Access Control, pour identifier et maîtriser les risques de fraude et réduire les coûts de maintenance associés à la gestion des droits d’accès et à la séparation des tâches

- Process Control, pour s’assurer que les contrôles clés dans les processus métiers sont correctement définis et réalisés efficacement tout au long de l’exercice

- Global Trade Services, pour s’assurer du respect des règles douanières et optimiser le recours aux accords commerciaux

- Environment Health and Safety, pour aligner les processus métiers avec les normes environnementales, de santé et de sécurité

- Data Privacy, pour respecter les normes internationales en matière de transfert de données, pour respecter la propriété intellectuelle et la préservation de la confidentialité des informations stratégiques de l’entreprise.

Cette solution s’inscrit dans le périmètre de l’offre Office of the CFO, aux côtés de l’Enterprise Performance Management (BPC, Strategy Manager, Finance et Activity Analysis) et de la Business Intelligence Platform (BW et l’ensemble des outils de restitution).

SAP GRC cherche à intégrer parfaitement les systèmes SAP traditionnels (Business Suite, BW) avec les autres environnements (Oracle, IBM, Microsoft…): le but est bien de mettre en place un outil unique pour couvrir de manière centralisée l’ensemble des environnements applicatifs de votre entreprise et de se doter ainsi d’une approche et d’une maîtrise globale des risques.

SAP a également mis en place des packages sectoriels, notamment pour les aspects liés à l’environnement, la santé et la sécurité dans les secteurs High Tech, Automobile, ou Chimie.

A ce stade, tous les modules de cette suite n’en sont pas au même niveau de maturité : Process Control est encore en phase de ramp up (fin prévue en octobre 2008) tandis qu’Access Control semble aujourd’hui le module le plus attendu pour réduire les coûts d’administration des droits d’accès des systèmes et maîtriser les problématiques de séparation des tâches. Nous reviendrons plus en détail sur Access Control.

N'hésitez pas à nous contacter pour tout complément d'information sur SAP GRC.