LaDissertation.com - Dissertations, fiches de lectures, exemples du BAC
Recherche

Controle interne

Guide pratique : Controle interne. Recherche parmi 300 000+ dissertations

Par   •  28 Novembre 2015  •  Guide pratique  •  2 733 Mots (11 Pages)  •  1 469 Vues

Page 1 sur 11

[pic 1]

           DÉPARTEMENT DES SCIENCES COMPTABLES

Travail de session été 2012

Présenté par :

Groupe : K11

                

Présenté à

Dans le cadre du cours sco4525

Contrôle Interne

Le 28 Mai  2012

A l’attention de Mme Robitaille, responsable de la gestion de la compagnie ROBOMATIQUE Inc.

Le présent rapport contient une synthèse des conclusions tirées suite à mon analyse des différents aspects reliés aux contrôles généraux des technologies de l’information appliqués au sein de votre entreprise. Les contrôles généraux analysés, par ordre de présentation, sont les suivants :

  1. Gestion des incidents informatique;
  2. Protection des fichiers;
  3. Sécurité des accès logiques aux systèmes d’application;
  4. Sécurité physique des équipements informatique.

L’approche retenue dans la rédaction de notre rapport d’opinion consiste, pour chaque catégorie de contrôle général, à présenter tout d’abord sous forme de texte, les principaux points forts relevés avant de dresser dans la cadre d’un tableau une synthèse des faiblesses  et de nos propositions d’amélioration.

Nous terminerons enfin, par émettre une opinion sur la fiabilité des contrôles généraux analysés.

  1. Gestion des incendies informatiques

Les grandes forces relevées dans le domaine de la gestion des incendies informatiques ont trait essentiellement à :

  • La sécurité générale de l’édifice doté d’un système d’alarme relié à une centrale externe;
  • La disposition d’un système contre les incendies qui respecte les normes en la matière;
  • Les équipements informatiques sont logés à l’étage du département des finances à l’abri des risques d’inondation (risque potentiel s’ils étaient logés au sous-sol) et d’accès plus au moins facile de personnes mal intentionnées extérieures de l’entreprise.

Noter que l’autre aspect relié à l’accès autorisé aux locaux via cartes magnétiques accordées en fonction des responsabilités, bien qu’il semble constituer un point fort, il est vidé de son efficacité pour la protection physique des équipements informatique et ce étant donné que ces derniers sont logés au même département des finances sans une séparation physique sécuritaire renforcée.

Élément de Contrôle

Description de la faiblesse

Impacts et conséquences

Recommandation

Emplacement des  équipements nécessaires à la connexion des postes de travail et à la  prise de copie de sauvegarde

-Emplacement accessible au  personnel non autorisé, notamment le personnel du département des finances

-Aucune sécurité physique quant à l’accès aux ressources informatiques (séparation seulement par des panneaux acoustiques)

Risque potentiel de manipuler,  d’endommager et de vandaliser les ressources informatiques  

Aménagement d’un local réservé aux équipements informatiques verrouillé, à accès limité aux personnes autorisées.

Système  de camera

, rondes des gardiens de sécurité

Aucun système de caméra de surveillance n’est mis en place, insuffisance dans la fréquence des rondes des gardiens de sécurité

Accroitre le risque de vandalisme, de vol et de toute autre pratique affectant l’intégrité, la disponibilité et la confidentialité des données

Installation d’un système de surveillance via caméras, augmentation de la fréquence des rondes (rondes quotidienne)

Carte magnétique à zone autorisée ainsi que leur configuration

La carte magnétique donne accès au personnel de la comptabilité aux équipements informatiques vu que ces derniers sont logés au même département sans une séparation  physique sécuritaire

Possibilité de manipuler,  d’endommager et  de vandaliser les ressources informatiques

-Absence de responsabilisation problème d’imputabilité en cas d’incidents  

L’utilisation de la carte magnétique doit obligatoirement être jumelée à la séparation physique du local abritant les équipements informatiques tout en le considérant comme une zone autorisée à part.

-Responsabilisation d’une personne identifier, privilégié l’utilisation de documents signé et  validé pour tout demande de configuration

  1. Protection des fichiers

Concernant le volet de la protection des fichiers, les principales forces qu’on peut constater sont les suivantes :

  1. Les copies de sauvegardes réalisées automatiquement portent sur l’ensemble des données de l’entreprise;
  2. L’entreprise dispose d’un logiciel de gestion des sauvegardes et restaurations extrêmement fiable. Elle a donc investi dans un matériel adapté qui répond à ses besoins surtout qu’elle est d’une  phase de pleine croissance;
  3. L’entreprise dispose d’une procédure claire sur l’interdiction d’installation de logiciels non autorisé dans les postes de travail. Procédure communiquée à tout le personnel via intranet;
  4. L’entreprise a prévu une sanction et ce à travers un commentaire inséré dans l’évaluation de l’employé qui ne respecte pas la procédure visée au point n°3 ci-dessus.

On peut considérer le fait que ROBOMATIQUE. N’a jamais eu de panne informatique majeure du serveur comme étant un signal, quoique ambigu et ce en l’absence d’autres informations détaillées, que le personnel de cette dernière respecte au moins les grands aspects de contrôle général reliés à la sécurité des fichiers déjà en place.

Élément de Contrôle

Description de la faiblesse

Impacts et conséquences

Recommandation

Procédure à suivre en cas de panne

Aucune procédure n’est formalisée

Risque d’arrêt de l’activité en cas d’absence du personnel expérimenté habitué à intervenir sur les pannes informatiques

-Établissement et communication d’une procédure claire et détaillée à suivre en cas de panne

-Formation du personnel informatique sur les procédures en question avec des essais périodiques (simulations)

Norme d’identification des fichiers

Norme non révisée ou mise à jour depuis 5 ans

Risque que les normes déjà établies ne répondent  de façon satisfaisante aux besoins actuels et futurs de l’entreprise en matière d’identification de ses fichiers  

Réunions à engager avec toutes les parties concernées afin d’étudier s’il y a lieu de procéder à la préparation d’une norme révisée

Fréquence des prises des copies de secours et la tenue de registre de copies de sauvegarde, entreposage de copies de sauvegarde

Copies de sauvegarde très espacées dans le temps : intervalle d’un mois, registre inexistant, leur classement non sécurisé ainsi que son accessibilités à des personnes non autorises

Risque de perte de données en cas d’une panne ou d’un incident informatique, vol, incendies

Nous suggérons idéalement une prise quotidienne de copie de sauvegarde, et création de registre de suivi des copies de sauvegarde, entreposage en interne

Installation de Logiciels personnels

-Aucune limitation d’ordre informatique n’est prévu au moment de l’installation des logiciels personnels;

-Suivi de l’application de la procédure interdisant l’installation de logiciels personnels est très espacé dans le temps (annuellement)

- inefficacité des actions entreprises contre le personnel ayant installé des logiciels personnels dans son poste de travail

- diminution de l’espace de la mémoire vive du poste de travail

- risque d’infection par des virus des ressources informationnelles de l’entreprise

  • Prévoir une limitation d’ordre informatique au moment de l’installation de logiciels personnels

SINON

  • Le suivi de l’application de la procédure doit être effectué dans un espace-temps rapproché (mensuellement)
  • En cas de logiciel personnel trouvé, le service informatique doit procéder immédiatement à son désinstallation et la mention d’évaluation de la hiérarchie doit être consignée dans le dossier de la personne concerné sans attendre de récidive.

Mise à jour de l’antivirus

Fréquence de mise à jour de l’antivirus est très longue    (un an)

Risque important d’attaque de virus, ou introduction dans les bases de données avec toutes les conséquences possibles (panne de système, perte de données, lenteur dans le démarrage des programmes…)

Les mises à jour des antivirus doivent avoir lieu automatiquement

Capacité de chargement des disques du serveur principal

-Capacité de stockage des données du serveur principal insuffisante (sous hypothèse d’atteinte fréquente du taux de chargement de 99%)

- le niveau de chargement de 99% retenu pour engager les actions d’épuration est inadéquat  

-Risque de blocage et de perturbation de l’activité;

-Risque de non sauvegarde des données.

-Engager les actions d’épuration des disques du serveur à partir d’un niveau de chargement (beaucoup plus inférieur que 99%) permettant de garantir une marge de manœuvre sécuritaire contre les risques de perturbation de l’activité et de sauvegarde des données.

-Étudier la possibilité d’agrandir l’espace de chargement surtout en cas d’atteinte fréquente du seuil de 99%.

...

Télécharger au format  txt (20.4 Kb)   pdf (301.5 Kb)   docx (26.8 Kb)  
Voir 10 pages de plus »
Uniquement disponible sur LaDissertation.com