Objectifs
- Comprendre les principes de gouvernance des systèmes d’information et leurs enjeux pour les fonctions d’audit.
- Identifier les risques majeurs en matière de sécurité et de gestion du SI.
- Savoir auditer les dispositifs de gouvernance, de gestion des accès, de sauvegarde, de continuité et de pilotage SI.
- Connaître les référentiels clés (COBIT, ISO 27001, NIST, ITIL, EBIOS RM) et leur intégration dans les missions d’audit.
Animateur(s)
Teddy RAMA
- Conformité.
- Risk Management et règlementation Bâloise.
- Techniques d’audit et de contrôle interne bancaires.
- Techniques d'audit, Contrôle interne - Assurance.
- Nouvelles technologies, enjeu de données, risque cyber et résilience numérique.
- Gestion d’actifs.
Programme
1CONCEPT DES SYSTÈMES D’INFORMATION ET SES COMPOSANTS
Prendre en compte les stratégies de l’organisation et la particularité de la DSI.
Définir l’univers du SI (les applications, les infrastructures, les grands projets…).
La particularité des systèmes d’information dans le secteur des services financiers.
Evaluer les risques SI avec des thèmes d’audit.
Les risques informatiques majeures selon les différents référentiels internationaux (COBIT, NIST, EBIOS RM).
Définir un cycle d’audit IT.
2LES PRINCIPAUX CONTROLES GÉNÉRAUX DANS UNE MISSION D’AUDIT DES SYSTÈMES D’INFORMATION
Savoir utiliser les techniques d’analyse et de détection des risques dans une mission d’audit :
- Préparer le questionnaire du contrôle interne IT.
- Présenter les domaines d’ITIL et du COBIT comme exemple de référentiel (gestion incident, changement, capacité incluant la sauvegarde et conservation des données).
- Identifier les défaillances des contrôles généraux informatique et des contrôles applicatifs.
Élaborer des tests d’audit avec un échantillonnage.
3POSTURES D’AUDIT ET RESTITUTION AU COMEX
Pourquoi intégrer le volet SI dans toutes les missions d’audit ?
Cas réels de défaillances dans la gouvernance IT
Rôles croisant DSI, RSSI, risk manager, contrôleurs
Exemples de rapport d’audit SI : formulation de constats, plan d’Amélioration
4SYNTHÈSE ET CONCLUSION
Synthèse de la journée.
Évaluation de la formation.
Public et pré-requis
Participants
- Fonction Audit-inspection et Contrôle permanent
- Responsables des risques opérationnels / Correspondants risques opérationnels.
- Responsables informatiques.
Supports et moyens pédagogiques
- Documentation en PowerPoint.
- Alternance d’illustrations et d’exercices pratiques.
- QCU, Vrai/Faux, questions/réponses pour vérifier, réviser et confirmer les acquis.
- Synthèses.
