ITGC - ACs - Support de Formation

 

www.pwc.com

Les Contrôles Généraux Informatiques Information Technology General Controls (ITGC)

 

 Présentation des ITGC   Définition 1.Les ITGC sont des contrôles qui garantissent que le systme d!information d!une organisation fonctionne comme "ré#u "ar son management. $.Les ITGC assurent que les données traitées "ar le systme d!information de l!organisation sont % &.Intgres ' &.is"oniles ' et &.*écurisées. +.Les ITGC com"ortent , domaines- qui sont % •

Le dé#elo""ement informatique (Program Development) ' Development) '

•

La gestion des changements (Program Change) ' Change) '

•

L!ex"loitation informatique (Computer Operations) ' Operations) '

•

L!accs aux données et aux a""lications (Access to program and data).  data).  PwC

2

 

 Présentation des ITGC   Exemple rocess

 /ssertions financire

0isque de la transaction

*ous rocessus

In"ut % rix

Chiffre d!affaire

Contrôle de

xhausti#ité

incorrect

Cut&off 

In"ut % 2uantité Incorrect

Li#raison

xactitude

Calcul incorrect

3acturation

xistence

Com"te com"tale Incorrect

Commande

commande rix correct

Contrôle de 3acturation rix correct

ncaissement  /4ustement et  /4ustement clôture de "eriode

PwC

Les acti#ité de contrôle

0isque de l!utilisation de l!IT

IT General Controls

 /ccs non autorisé 5 l!a""lication 6au#aise conce"tion des ra""orts  /ccs direct aux ases de données erte de données

rogram e#elo"ment

rogram Change

Com"uter 7"erations

 /ccess to "rogram and data

3

 

 Program Development  Development  ro4ect Initiation /nalysis and esign *egregation of duties

Construction

Obectif!  "#assurerr $ue les s%st&mes  "#assure s%st&mes sont correctement correctement  Développés'' paramétrés et implémentés  Développés implémentés afin d#atteindre les

ocumentati on and training

PwC

obectifs du management en mati&re de contrle applicatif.

rogram

ata

Im"lementation

Con#ersion

Testing and 2uality  /ssurance

4

 

 Program Development  Development   Proect nitiation' nitiation' Anal%sis and Design ro4ect Initiation /nalysis and esign *egregation of duties

Construction

Objectifs: *!assurer que les "hases de "lanification et moilisation de ressources sont asse8 efficaces "our atteindre les o4ectifs du manageme management nt en matire de contrôle a""licatif. xaminer les "oints sui#ants% • /utorisation de lancement lancement des tra#aux "ar les s"onsors du "ro4et ' •Com"osition de l!équi"e "ro4et '

ocumenta tion and training

Testing and 2uality  /ssurance

•Identification des 9 a""lications o:ners ; et des 9 data o:ners ; ' •<

rogram Im"lementa tion PwC

ata Con#ersion 5

 

 Program Development  Development  Construction ro4ect Initiation /nalysis and esign *egregation of duties

Construction

Objectifs: *!assurer que les "rogrammes dé#elo""és dé#elo"" és en interne (in&house de#elo"ment) de#elo"m ent) sont écrits de la manire 5 s!aligner a#ec les o4ectifs du management. xaminer les "oints sui#ants % •=tilisation d!un standard interne de dé#elo""ement logiciel '

ocumenta tion and training

Testing and 2uality  /ssurance

•6ise en "lace d!un systme de Contrôle des #ersions (>ersionning)' •*é"aration entre les a""lications et les données ' •<

rogram Im"lementa tion PwC

ata Con#ersion 6

 

 Program Development  Development  *esting and +ualit% Assurance ro4ect Initiation /nalysis and esign *egregation of duties

Construction

Objectifs: *!assurer que les tra#aux de tests ont été correctement "lanifiés- "ré"arés et exécutés "ar les ressources adéquates afin de s!assurer que le nou#eau n ou#eau systme fonctionne comme "ré#u durant la "hase d!analyse. xaminer les "oints sui#ants %

ocumenta tion and training

Testing and 2uality  /ssurance

•*!assurer que l!étendu du "lan de test s!aligne a#ec les attentes des utilisateurs finaux ' •*!assurer que le nou#eau "rogramme n!a "as sui de modification a"rs la "hase de test ' •<

rogram Im"lementa tion PwC

ata Con#ersion 7

 

 Program Development  Development   Data Conversion ro4ect Initiation /nalysis and esign *egregation of duties

Construction

Objectifs: *!assurer que les données ont été correctement correctem ent migrées de"uis l!ancien systme #ers le nou#eau systme afin de "réser#er l!intégrité des données. xaminer les "oints sui#ants % •*!assurer que les données ont été correctement correctem ent 9 mappées mappées ;  ; de l!ancien systme #ers le nou#eau systme '

ocumenta tion and training

Testing and 2uality  /ssurance

•*!assurer que les données ont été migrées d!une manire exhausti#e et intgre ' •<

rogram Im"lementa tion PwC

ata Con#ersion 8

 

 Program Development  Development   Program mplementation mplementation Objectifs:

ro4ect Initiation /nalysis and esign *egregation of duties

*!assurer que le nou#eau systme a été correctement im"lémenté dans l!en#ironnement de "roduction. Construction

xaminer les "oints sui#ants % •Les tra#aux de tests ont été con#enalement con#enaleme nt exécuté ' •Le "lan de retour 5 la normal est documenté a#ant la mise en ex"loitation '

ocumenta tion and training

Testing and 2uality  /ssurance

rogram Im"lementa tion PwC

•L!a""roa L!a""roation tion du usiness o:ner est matérialisé "ar une autorisation de mise en "roduction ' •La #ersion de l!a""lication l!a""lication in installée stallée corres"ond 5 celle qui a été testée '

ata Con#ersion 9

 

 Program Development  Development   Documentation and *raining *raining Objectifs:

ro4ect Initiation /nalysis and esign *egregation of duties

Construction

*!assurer que la documentation technique et que le guide d!utilisation du nou#eau "rogramme est dis"onile aux utilisateurs de l!a""lication. xaminer les "oints sui#ants % •is"oniilité de la documentation technique et du guide d!utilisation.

ocumenta tion and training

Testing and 2uality  /ssurance

rogram Im"lementa tion PwC

ata Con#ersion 10

 

 Program Development  Development   "egregation of duties duties Objectifs:

ro4ect Initiation /nalysis and esign *egregation of duties

*!assurer de la sé"aration des t?ches incom"atiles durant tous le "rocessus de dé#elo""ement. Construction

•*!assurer que les t?ches incom"atile i ncom"atiless du domaine , Program  Development - ont été clairement identifié '

ocumenta tion and training

Testing and 2uality  /ssurance

rogram Im"lementa tion PwC

xaminer les "oints sui#ants %

•* !assurer de la sé"aration entre les en#ironnements de dé#elo""ementdé#elo""ement- de test et de "roduction.

ata Con#ersion 11

 

 Program Change *"ecificationauthori8ation and trac@ing of change requests

*egregation of duties

Construction Objectifs:

 "#assurerr $ue les changements  "#assure changements apportés apportés aux s%st&mes et  l#infrastructure l#infrastructure sont autorisés' construits' testés' et et implémentés afin d#atteindre les obectifs du management en mati&re de contrle applicatif.

Testing and 2uality  /ssurance

ocumentatio n and training

rogram Im"lementation PwC

12

 

 Program change   "pecification' "pecification' authori/ation authori/ation and trac0in trac0ing g of change re$uests re$uests Objectifs:

*"ecificationauthori8ation and trac@ing of change requests

*!assurer que les demandes de changements (Change 1e$uest) sont enregistrées- autorisées et "riorisées. xaminer les "oints sui#ants %

*egregation duties of

Construction

•*!assurer que toutes les demandes de changements changeme nts ont été enregistrées dans un systme automatique ou manuel ' •*!assurer que toutes les demandes de changements changeme nts sont les résultantes.

ocumentati on and training

Testing and 2uality  /ssurance (2) les autres étapes sont identi$ues  celle du domaine , Program Devlopment rogram Im"lementation

PwC

13

 

Computer Operations

Aatch scheduling and "rocessing

0eal&time "rocessing

Com"uter 7"eration Aac@u" and rolem 6anagement

isaster 0eco#ery

Objectifs: *!assurer que les systèmes en production sont entrain de fonctionner de manire 5 atteindre les o4ectifs du management- et que tous tous les  les "rolmes sont identifiés- enregistrés et résolus afin de garantir l!intégrité de l!information financire.

PwC

14

 

Computer Operations Aatch scheduling and "rocessing  "rocessing  Objectifs%% Objectifs

Aatch scheduling and "rocessing

0eal&time "rocessing

Com"uter 7"eration

*!assurer que les tra#aux atch sont correctement correctem ent "lanifiés et exécuté afin d!atteindre les o4ectifs du management. Tester les "oints sui#ants % •

Aac@u" and rolem 6anagement

isaster 0eco#ery

*!assurer que tout changement au ni#eau de des tra#aux Aatch a été initié et autorisé '

•

*!assurer deetlades documentation "rocédures "olitiques ' des •

PwC

 *!assurer que seuls les utilisateurs concernés ont accs aux outils de traitement Aatch '

15

 

Computer Operations 0eal Time rocessing  rocessing  Objectifs%% Objectifs

Aatch scheduling and "rocessing

0eal&time "rocessing

Com"uter 7"eration Aac@u" and rolem 6anagement

isaster 0eco#ery

*!assurer que les données transférées  #ia les , 1eal *ime Processing applications-sont applicationssont exactes et exhausti#es. xaminer les "oints sui#ants % •Comment le management s!assure que tout changeme changement nt a""orté aux interface a interface  a été autorisé "ar un res"onsale ' •Comment s!assurer que les "rolmes et les incidents dus au fonctionnement de l!interface sont ca"turés et traités' •Comment s!assurer que seules les

PwC

"ersonnes hailitées ont le droit de modifier les les , 1eal *ime  Processing application applicationss- .  . 16

 

Computer Operations Aac@u" and rolem 6anagement Objectifs:

Aatch scheduling and "rocessing

0eal&time "rocessing

Com"uter 7"eration Aac@u" and rolem 6anagement

isaster 0eco#ery

*!assurer que les données sont dis"oniles en cas de "anne ou incident informatique et que tous "rolmes d!ex"loitations sont identifié- catégorisés- "riorisés et résolus 5 tem"s. xaminer les "oints sui#ants% •Comment s!assurer que toutes les données critiques ont été au ni#eau

du "lan de sau#egarde ' •Comment s!assurer que les su""orts de stoc@age sont "lacés dans un em"lacement em"lace ment sécurisé et dis"onile ' •Comment s!assurer que les incidents

et les "rolmes informatiques sont identifiés et résolus 5 tem"s. PwC

17

 

Computer Operations isaster 0eco#ery  Objectifs:

Aatch scheduling and "rocessing

0eal&time "rocessing

Com"uter 7"eration Aac@u" and rolem 6anagement

isaster 0eco#ery

*!assurer que l!organisation a mis en "lace un "lan de continuité d!acti#ité qui "ermet de re"rendre l!acti#ité de l!entre"rise en cas de désastre ou de "rolme informatique gra#e. xaminer les "oints sui#ants % •*!assurer que le "érimtre externe et l!enceinte interne de l!entre"rise sont sécurisés "ar les dis"ositifs de

sécurité adéquats (détecteur de feueau- humidité- fumée- tem"érature