D.12 Politique sur la conduite des audits internes sur les technologies de l’information

A. Réalisation d'audits informatiques

  1. Il incombe à l’Équipe de la revue des pratiques et de l’audit interne (RPAI) de déterminer si la gouvernance du secteur des technologies de l’information (TI) appuie les stratégies et les objectifs du Bureau

  2. Les contrôles informatiques fournissent une assurance à l’égard de la fiabilité de l’information et des services d’information et contribuent à atténuer les risques à l’utilisation de technologies par l’organisation. Ces contrôles peuvent comprendre des politiques générales; l’installation physique des contrôles avec des instructions codées; des mesures de protection de l’accès physique au moyen de la capacité de remonter à la source des actions et des opérations pour déterminer les personnes concernées; et des fonctions de révision automatique et d’analyse du caractère raisonnable pour de grands jeux de données.

  3. Les contrôles informatiques peuvent aussi aider les organisations à atteindre des objectifs généraux plus vastes, comme la conformité aux règlements, la maîtrise des dépenses ou la collecte de renseignements sur le marché grâce à des contrôles automatisés intégrés aux systèmes, à des vérifications des autorisations et à la production de rapports d’anomalies.

  4. Par conséquent, par audit informatique s’entend tout audit qui porte en tout ou en partie sur l’examen ou l’évaluation des contrôles informatiques qui appuient des systèmes automatisés de traitement de l’information, des processus manuels connexes et des interfaces qui les unissent.

  5. Il est attendu des auditeurs informatiques qu’ils fournissent une assurance à l’égard des systèmes de contrôle interne qui reposent sur des TI.

  6. L’audit informatique, dans le cadre du processus global d’audit interne, est l’un des éléments qui favorisent la bonne gouvernance de l’organisation. C’est donc dire que les audits internes peuvent par exemple porter sur la gouvernance des TI, la gestion des risques liés à la cybersécurité, la gestion des fournisseurs externes, le plan de reprise des activités d’un centre de données, la sécurité des systèmes d’exploitation et des applications, la gestion du réseau sans fil et la gestion des projets.

B. Recours aux technologies de l’information pour réaliser des audits

  1. Pour exercer une diligence raisonnable dans le cadre de sa mission, l’Équipe de la RPAI doit évaluer la possibilité de recourir à un audit fondé sur les TI ou à d’autres techniques d’analyse des données.

  2. Les directeurs de la RPAI qui réalisent des audits informatiques ou qui ont recours à des TI doivent posséder des informations suffisantes sur les principaux risques et contrôles relatifs aux systèmes d’information, et des techniques d’audit informatisées susceptibles d’être mises en œuvre dans le cadre des travaux qui leur sont confiés. Toutefois, tous les auditeurs internes ne sont pas censés posséder l’expertise d’un auditeur dont la responsabilité première est l’audit informatique.

Mise à jour :
2018-03-22