E.6 Étendue et objectifs des audits des systèmes d’information

  1. L’Équipe de la revue des pratiques et de l’audit interne (RPAI) peut auditer des installations et des applications informatiques de traitement de données. Ces audits ont pour but d’évaluer la qualité des contrôles et des mesures de protection des actifs du Bureau du vérificateur général du Canada (le Bureau), l’utilisation efficace des ressources de traitement des données et le respect des politiques de la direction, ainsi que d’encourager la conception et la mise en place de contrôles adéquats sur les applications et les environnements informatiques dans lesquels elles sont utilisées.

  2. Les objectifs généraux de ces audits internes sont les suivants :

    1. évaluer le caractère adéquat des activités, des politiques, des procédures et des contrôles concernant le traitement des données;

    2. promouvoir l’efficience et l’efficacité du fonctionnement des contrôles à un coût raisonnable par rapport aux risques en cause;

    3. déterminer la mesure dans laquelle les actifs de traitement des données du Bureau sont comptabilisés et protégés de toute forme de perte;

    4. présenter à la direction des recommandations quant aux améliorations possibles du fonctionnement (bénéfices, coûts, utilisation des actifs) dégagées pendant ces audits;

    5. promouvoir la définition des concepts de reddition de comptes et d’auto-révision pour la gestion des systèmes d’information dans l’ensemble du Bureau.

  3. Ces types d’audit sont expliqués de façon détaillée ci-dessous.

    Audit des systèmes d’applications

    1. L’audit des systèmes d’applications a pour but d’évaluer les contrôles et la documentation des applications informatiques existantes. Ce type d’audit peut s’étendre à l’évaluation des procédures de contrôle, à l’intégrité des données, à la formation des utilisateurs, à la séparation des tâches, à la conservation des dossiers, à la capacité de récupération, aux contrôles de l’accès, à la documentation des systèmes ou à la documentation destinée aux utilisateurs. Les principales responsabilités visées par ces audits sont la gestion logicielle, l’accès aux données et leur récupération, les pratiques de contrôle et de concordance des fichiers, ainsi que la dotation et la formation.

    2. L’audit des systèmes d’applications vise à identifier les risques touchant l’intégrité des données et la capacité de les récupérer, les logiciels élaborés pour traiter les données, le traitement efficient et rapide des données ou la découverte en temps opportun de données incomplètes ou inexactes.

    3. Les recommandations d’un audit des systèmes d’applications peuvent porter sur l’ajout nécessaire d’une procédure de contrôle des fichiers, le resserrement des pratiques de sauvegarde, l’extension des restrictions d’accès aux données ou l’ajout d’instructions à l’intention de l’utilisateur.

    Audit du développement d’un système

    1. L’audit du développement d’un système sert à évaluer les contrôles administratifs visant l’autorisation, l’élaboration et la mise en œuvre de nouvelles applications informatiques, et à examiner la conception des contrôles ou des pistes d’audit informatiques se rapportant au système proposé.

    2. Ce genre d’audit peut comprendre une évaluation des contrôles administratifs du projet (résultats d’études de faisabilité, dotation, établissement de budgets, attribution des responsabilités, plans de projet, rapports d’étape, etc.) ou une évaluation de la qualité des produits livrables de chaque phase de développement et de mise en œuvre du système (évaluation de la conception des contrôles et des pistes d’audit, planification et résultats des essais du système, formation des utilisateurs, documentation du système et des programmes, etc.). Les principales responsabilités visées par ces audits sont les projets de développement et d’installation de nouveaux systèmes et la gestion des modifications apportées aux applications.

    3. L’objectif d’un audit du développement d’un système est de détecter dès le départ les problèmes susceptibles de nuire à la mise en œuvre d’un système informatique, qui est contrôlé, documenté et qui peut être utilisé par un ensemble d’utilisateurs bien formés, dans le délai fixé et les limites du budget prévu.

    4. Les recommandations découlant d’un audit du développement d’un système peuvent comprendre des ajouts aux plans de projet, des améliorations des contrôles de rapprochement et de concordance des fichiers, ou la nécessité de consigner les plans des essais et les résultats attendus.

    Audits d’autres environnements informatiques ministériels ou personnels

    1. Le terme « autres environnements informatiques » désigne les endroits (loin du centre informatique traditionnel) où l’ordinateur a pour fonction de conserver et de traiter des données pour une personne, un groupe ou un secteur. L’importance et le niveau de contrôle de ces environnements varient en fonction du type de données, de l’incidence sur les activités, du but et de l’utilisation des données, etc. Voici des exemples d’environnements pouvant faire partie de cette catégorie des « autres environnements informatiques » : informatique scientifique ou d’ingénierie, informatique personnelle, collecte de données d’atelier ou de données sur la qualité, collecte de données d’essais en laboratoire, applications sectorielles, réseaux locaux, réseaux étendus, etc.

    2. Ce genre d’audit peut s’étendre à la plupart des aspects qui seraient examinés dans le cadre de l’audit d’un centre de données (p. ex. les contrôles administratifs liés à l’environnement de traitement, le personnel affecté à l’exécution, la gestion du matériel et des logiciels, la protection des ressources, la capacité de récupération, les contrôles de l’accès et le contrôle du réseau).

    3. L’audit d’un « autre » environnement informatique vise à identifier les risques liés au matériel, aux logiciels ou aux données et de proposer des façons de réduire ces risques de manière efficiente.

    4. Les recommandations peuvent porter sur l’amélioration des pratiques de sauvegarde des données, la séparation des tâches, la documentation des procédures de traitement, l’établissement de contrôles sur les modifications des programmes, le déplacement d’une application vers un environnement informatique soumis à des contrôles plus rigoureux ou le respect de la licence d’utilisation d’un logiciel.

Mise à jour :
2018-03-14