Pour répondre à ta question on peut déjà dire que la gestion des risques des systèmes d'info permet d'assurer la gouvernance ainsi que la maîtrise et le contrôle interne des processus informatiques, en s’appuyant sur des référentiels reconnus (COBIT, ITIL, CMMI…).
à ce titre l'auditeur SI est appelé :
- Au titre de la Stratégie et Planification: établir le plan stratégique des systèmes d’information et des services associés.
- Diagnostic: compréhension des besoins de service et évaluation de la qualité des processus de gestion de vos systèmes d’information.
- Accompagnement: définition et implémentation de solutions pour la gestion des changements, des incidents et des problèmes.
- Mise en place d’indicateurs de suivi de la performance (Service Level Agreements, Tableaux de bord, Coûts…).
Aujourd'hui en plus les contraintes réglementaires sont de plus en plus fortes (Sarbanes-Oxley, Bâle II, Loi de Sécurité Financière, « Solvency II »), et la confidentialité, la fiabilité et l’intégrité des données gérées par les systèmes sont primordiales.
Appréhender les problématiques inhérentes aux contraintes réglementaires de plus en plus fortes (Sarbanes-Oxley, Bâle II, Loi de Sécurité Financière, « Solvency II »), et identifier les anomalies liées aux données ou aux processus et définir des points de contrôle et des plans d’actions adéquats suppose aussi de :
- Optimiser les contrôles automatisés
- Evaluer et optimiser l’efficacité opérationnelle des dispositifs de contrôle interne mis en œuvre au sein des applications, tout en réduisant le recours à des techniques de contrôle manuelles et inefficaces.
- Améliorer la sécurité et la séparation des tâches au sein des applications
- Evaluer et concevoir des profils utilisateurs pertinents pour une meilleure séparation des tâches, des processus d’administration de la sécurité et des paramètres de sécurité efficaces.
- Mettre en place des logiciels d’automatisation de la conformité
- Sélectionner, concevoir et mettre en œuvre des outils applicatifs puissants et les processus de gestion associés qui amélioreront les capacités en matière de contrôle interne et de conformité.
- Réaliser les évaluations de conformité et les audits
- Améliorer la qualité et l’efficacité des audits et des évaluations d’applications.
en audit SI il y a aussi une phase de pilotage par les risques, de l’étude d’opportunité du projet jusqu’à l’exploitation de la solution :
- Modèle de pilotage de projets informatiques recensant par phase les risques associés
- Méthode de gestion des risques facilitant l’anticipation des problématiques, la prise de décision et la définition de plans d’action
voilà ce sont qlq exemples de missions menées en audit Si ou TR (technolog risk) à titre d'ex que peuvent proposer certains cabinets spécialisés...
