CHAPI TRE 9 Mise en contexte Un portrait des rapports aux responsables de la gouvernance et la direction est dress pour une troisime anne conscutive au chapitre 9 du prsent Tome. Le taux dapplication des recommandations en ce qui a trait la gestion des technologies de linformation (TI) est demeur faible (53 55 %) au cours des trois dernires annes. Ce chapitre prsente les principaux lments ressortant des travaux daudit des contrles gnraux des technologies de linformation (CGTI) raliss au VGQ dans le contexte de nos mandats daudit financier. 2 Chap. 9, paragr. 1-3 Importance des CGTI dans le processus de prparation des tats financiers Les CGTI reprsentent un des fondements du contrle interne de lentit et interviennent tout au long du processus de production des tats financiers. La fiabilit du fonctionnement des CGTI garantit le niveau de confiance acceptable accorde lensemble des contrles lis aux applications informatiques, notamment celles de nature financire. Les CGTI comprennent un ensemble de politiques et de procdures encadrant la scurit de linformation et les processus relatifs la gestion des TI. 3 Chap. 9, paragr. 4, 6 CGTI et scurit de linformation Lors de laudit des CGTI, nous portons une attention particulire aux contrles assurant lintgrit des donnes financires. La scurit de linformation svalue selon trois objectifs Disponibilit : garantir que les systmes sont accessibles au moment voulu et fonctionnent sans faille durant les priodes dutilisation prvues Intgrit : prvenir que les donnes ne soient pas altres ou dtruites de faon fortuite ou volontaire Confidentialit : assurer que seules les personnes autorises peuvent accder en mode lecture des fins de consultation aux informations qui leur sont destines Chap. 9, paragr. 7-9 4 Approche daudit des CGTI adopte au VGQ NOTRE APPROCHE Conforme aux Normes daudit gnralement reconnues, incluant les NCA et sappuie sur des rfrentiels Vigie avec les grands cabinets dexperts-comptables Base sur une mthodologie couvrant cinq sujets La politique et les procdures de scurit La gestion du dveloppement et de la maintenance des systmes La gestion des droits et des profils daccs La gestion des paramtres de scurit La gestion des oprations 5 Chap. 9, paragr. 10, 11 Approche daudit des CGTI adopte au VGQ (suite) Les contrles lis la gestion du dveloppement et de la maintenance des systmes, celle des droits et des profils daccs ainsi qu celle des paramtres de scurit ont un impact majeur sur lintgrit des donnes financires. Toute dficience significative de lun des contrles cls relatifs ces CGTI empche souvent lutilisation dune stratgie daudit des tats financiers base sur les contrles informatiques entrane une recommandation dans un rapport aux responsables de la gouvernance et la direction 6 Chap. 9, paragr. 12 Approche daudit des CGTI adopte au VGQ (suite) EXEMPLES DE PROCESSUS ADQUATS Pour la gestion du dveloppement et de la maintenance des systmes Essais des modifications aux programmes effectus dans un environnement distinct de celui de la production Autorisation du responsable des utilisateurs avant la mise en production des programmes Pour la gestion des droits et des profils daccs Autorisation formelle du gestionnaire avant loctroi des droits daccs lors de larrive dun nouvel employ Retrait en temps opportun des droits daccs lors du dpart dun employ 7 Chap. 9, paragr. 18, 27 Approche daudit des CGTI adopte au VGQ (suite) Exemples de risques lis une dficience significative Gestion du dveloppement et de la maintenance des systmes Risque que des modifications non autorises soient apportes aux programmes ou aux donnes financires Risque que des modifications ncessaires ne soient pas ralises ou ne soient pas effectues adquatement Gestion des accs Risque daccs non autoris aux donnes financires pouvant conduire leur destruction des modifications inappropries, dont lenregistrement doprations non autorises ou inexistantes 8 Chap. 9, paragr. 17, 25 Importance de lapplication des recommandations touchant les CGTI La plupart des 120 recommandations formules et suivies en 2011-2012 concernent les sujets qui risquent le plus de compromettre lintgrit des donnes financires des entits audites, soit la gestion du dveloppement et de la maintenance des systmes (29 soit 24 %) la gestion des droits et des profils daccs (61 soit 51 %) la gestion des paramtres de scurit (18 soit 15 %) Les entits tardent appliquer nos recommandations Seulement 49 des 89 recommandations formules lors des annes antrieures ont t appliques (55 %) 22 des 40 recommandations ayant un progrs insatisfaisant remonte des annes antrieures 2009 (55 %) 9 Chap. 9, paragr. 38-40 Centre de services partags du Qubec (CSPQ) Situation du CSPQ Une large part de nos recommandations lies la gestion des TI concernent le CSPQ, comme le dmontre le tableau suivant. 10 Chap. 9, paragr. 41, tableau 3 Centre de services partags du Qubec (suite) Plan daction prconis par le CSPQ Le CSPQ a entrepris des actions concrtes pour remdier cette situation Registre de suivi des actions prises pour donner suite nos recommandations produit en janvier 2013 Mise jour trimestrielle du registre qui sera dpos au comit de direction et au comit de vrification Selon les chanciers prvus au registre 72 % de nos recommandations devraient tre appliques dici le 31 dcembre 2013. 11 Chap. 9, paragr. 41, 46, 47