Contrles gnraux

des technologies de linformation

CHAPI TRE
9
Mise en contexte
Un portrait des rapports aux responsables de la
gouvernance et la direction est dress pour une
troisime anne conscutive au chapitre 9 du prsent
Tome.
Le taux dapplication des recommandations en ce qui a
trait la gestion des technologies de linformation (TI) est
demeur faible (53 55 %) au cours des trois dernires
annes.
Ce chapitre prsente les principaux lments ressortant
des travaux daudit des contrles gnraux des
technologies de linformation (CGTI) raliss au VGQ
dans le contexte de nos mandats daudit financier.
2 Chap. 9, paragr. 1-3
Importance des CGTI dans le processus
de prparation des tats financiers
Les CGTI reprsentent un des fondements du contrle
interne de lentit et interviennent tout au long du
processus de production des tats financiers.
La fiabilit du fonctionnement des CGTI garantit le niveau
de confiance acceptable accorde lensemble des
contrles lis aux applications informatiques, notamment
celles de nature financire.
Les CGTI comprennent un ensemble de politiques et de
procdures encadrant la scurit de linformation et les
processus relatifs la gestion des TI.
3 Chap. 9, paragr. 4, 6
CGTI et scurit de linformation
Lors de laudit des CGTI, nous portons une attention
particulire aux contrles assurant lintgrit des donnes
financires.
La scurit de linformation svalue selon trois objectifs
Disponibilit : garantir que les systmes sont accessibles
au moment voulu et fonctionnent sans faille durant les
priodes dutilisation prvues
Intgrit : prvenir que les donnes ne soient pas altres
ou dtruites de faon fortuite ou volontaire
Confidentialit : assurer que seules les personnes
autorises peuvent accder en mode lecture des fins de
consultation aux informations qui leur sont destines
Chap. 9, paragr. 7-9 4
Approche daudit des CGTI
adopte au VGQ
NOTRE APPROCHE
Conforme aux Normes daudit gnralement reconnues,
incluant les NCA et sappuie sur des rfrentiels
Vigie avec les grands cabinets dexperts-comptables
Base sur une mthodologie couvrant cinq sujets
La politique et les procdures de scurit
La gestion du dveloppement et de la maintenance des systmes
La gestion des droits et des profils daccs
La gestion des paramtres de scurit
La gestion des oprations
5 Chap. 9, paragr. 10, 11
Approche daudit des CGTI
adopte au VGQ (suite)
Les contrles lis la gestion du dveloppement et de la
maintenance des systmes, celle des droits et des
profils daccs ainsi qu celle des paramtres de scurit
ont un impact majeur sur lintgrit des donnes
financires.
Toute dficience significative de lun des contrles cls
relatifs ces CGTI
empche souvent lutilisation dune stratgie daudit des
tats financiers base sur les contrles informatiques
entrane une recommandation dans un rapport aux
responsables de la gouvernance et la direction
6 Chap. 9, paragr. 12
Approche daudit des CGTI
adopte au VGQ (suite)
EXEMPLES DE PROCESSUS ADQUATS
Pour la gestion du dveloppement et de la maintenance
des systmes
Essais des modifications aux programmes effectus dans un
environnement distinct de celui de la production
Autorisation du responsable des utilisateurs avant la mise en
production des programmes
Pour la gestion des droits et des profils daccs
Autorisation formelle du gestionnaire avant loctroi des droits
daccs lors de larrive dun nouvel employ
Retrait en temps opportun des droits daccs lors du dpart
dun employ
7 Chap. 9, paragr. 18, 27
Approche daudit des CGTI
adopte au VGQ (suite)
Exemples de risques lis une dficience significative
Gestion du dveloppement et de la maintenance des systmes
Risque que des modifications non autorises soient apportes aux
programmes ou aux donnes financires
Risque que des modifications ncessaires ne soient pas ralises
ou ne soient pas effectues adquatement
Gestion des accs
Risque daccs non autoris aux donnes financires pouvant
conduire
leur destruction
des modifications inappropries, dont lenregistrement doprations
non autorises ou inexistantes
8 Chap. 9, paragr. 17, 25
Importance de lapplication des
recommandations touchant les CGTI
La plupart des 120 recommandations formules et suivies en
2011-2012 concernent les sujets qui risquent le plus de
compromettre lintgrit des donnes financires des entits
audites, soit
la gestion du dveloppement et de la maintenance des systmes
(29 soit 24 %)
la gestion des droits et des profils daccs (61 soit 51 %)
la gestion des paramtres de scurit (18 soit 15 %)
Les entits tardent appliquer nos recommandations
Seulement 49 des 89 recommandations formules lors des annes
antrieures ont t appliques (55 %)
22 des 40 recommandations ayant un progrs insatisfaisant
remonte des annes antrieures 2009 (55 %)
9 Chap. 9, paragr. 38-40
Centre de services partags du Qubec
(CSPQ)
Situation du CSPQ
Une large part de nos recommandations lies la gestion des
TI concernent le CSPQ, comme le dmontre le tableau suivant.
10 Chap. 9, paragr. 41, tableau 3
Centre de services partags du Qubec
(suite)
Plan daction prconis par le CSPQ
Le CSPQ a entrepris des actions concrtes pour remdier
cette situation
Registre de suivi des actions prises pour donner suite nos
recommandations produit en janvier 2013
Mise jour trimestrielle du registre qui sera dpos au
comit de direction et au comit de vrification
Selon les chanciers prvus au registre
72 % de nos recommandations devraient tre appliques
dici le 31 dcembre 2013.
11 Chap. 9, paragr. 41, 46, 47