Quelles stratégies d’implémentation révolutionnent l’audit financier en Tunisie ?

Technologies de l'Information et de la Communication
Pour citer ce mémoire et accéder à toutes ses pages
L'évolution des technologies de l'information et de la communication : Impact sur l'audit financier
🏫 Université de la Manouba - Institut Supérieur de Comptabilité et d'Administration des Entreprises (I.S.C.A.E) - Commission d'Expertise Comptable
📅 Mémoire de fin de cycle en vue de l'obtention du diplôme de diplôme d'expertise comptable - 2000/2001
🎓 Auteur·trice·s
Mohamed Lassâad
Mohamed Lassâad

Les stratégies d’implémentation de l’audit révèlent que 70 % des entreprises tunisiennes peinent à intégrer efficacement les technologies de l’information. Cette recherche met en lumière les défis et les solutions nécessaires pour transformer l’audit financier face aux risques technologiques émergents.

  1. Documenter, évaluer et tester les procédures détaillées de gestion de la sécurité de l’information :

Après avoir effectuer une description générale des procédures détaillées de gestion de la sécurité de l’information, l’auditeur doit documenter et évaluer les contrôles mis en place et ce en considérant, à titre indicatif, les éléments suivants :

    1. Administration de la sécurité logique des accès utilisateurs au système d’exploitation :

L’accès des utilisateurs au système d’exploitation et aux programmes doit être contrôlé. L’auditeur doit considérer, par exemple, les indicateurs suivants :

  • Les utilisateurs et les administrateurs ont-ils un identifiant spécifique (ID) ?
  • Quelle procédure permet de contrôler la création d’un nouvel identifiant ?
  • Existe-t-il des procédures assurant une mise à jour rapide des autorisations d’accès en cas de changement, d’affectation ou de départ du personnel ?
  • Quelles mesures permettent de prévenir les accès non autorisés suite à l’utilisation d’identifiants par défaut (par exemple, identifiants créés automatiquement lors de la mise en place du système d’exploitation) ?
  • Quelles mesures permettent d’identifier les identifiants inactifs et de minimiser le risque d’accès non autorisés liés à l’utilisation de ces identifiants ?
  • Quels sont les contrôles périodiques effectués afin de garantir l’adéquation du profil d’accès des utilisateurs avec leurs fonctions ?
  • La saisie des mots de passe est-elle obligatoire pour l’ensemble des identifiants ?
  • Quelle est la longueur minimale des mots de passe ? Et quelles mesures permettent de prévenir l’utilisation de mots de passe faciles à deviner ?
  • Quelle est la périodicité de renouvellement des mots de passe ?
  • Quel est le niveau de protection du fichier contenant les identifiants et les mots de passe ?
  • Quelles sont les mesures permettant d’empêcher l’accès aux commandes des systèmes par les utilisateurs ?
  • La structure de détermination des groupes d’identifiants est-elle appropriée et l’affectation d’un utilisateur à un groupe est-elle pertinente ?
  • Quel est le processus de connexion ?
  • Quels sont les messages d’avertissement lancés au moment de la connexion, afin de prévenir tout accès non autorisé dans l’environnement ?
  • Quelles sont les procédures permettant d’éviter l’usurpation des mots de passe par essais successifs ou à la suite d’une erreur ?
  • Y a-t-il des procédures d’identification de terminal permettant d’authentifier les postes sur lesquels sont effectuées les connexions ?
  • Le nombre de connexions simultanées par utilisateur est-il limité à un ?
  • Existe-t-il des restrictions d’accès des utilisateurs en termes de nombre de connexions par jour, ou de jours par semaine, ou d’horaires ?
  • Y a-t-il une procédure de déconnexion automatique ou de mise en veille des écrans inactifs après une période de non-utilisation ?
    1. Administration de la sécurité logique des données :

L’accès aux données doit être contrôlé de manière adéquate. L’auditeur doit considérer, par exemple, les indicateurs suivants :

  • Comment les fichiers systèmes/répertoires sont-ils protégés contre des modifications non autorisées ?
  • Les droits d’accès accordés par défaut sur les nouveaux fichiers sont-ils pertinents ?
  • Les droits en création/modification sur les répertoires sont-ils justifiés ?
  • Comment les droits d’accès des utilisateurs sur les fichiers sont-ils contrôlés ?
    1. Administration de la sécurité au niveau applicatif :

Les moyens informatiques et les procédures en place doivent permettre de restreindre les accès aux différentes fonctions applicatives (par exemple : approbation des règlements fournisseurs) afin d’assurer une séparation des tâches adéquates et d’empêcher les accès non autorisés. Dans ce cadre, l’auditeur doit considérer, par exemple, les indicateurs suivants :

  • Comment les accès utilisateurs sont-ils limités au sein des applications ?
  • La gestion des mots de passe au sein des applications est-elle efficace ?
  • Quelle est la qualité des « pistes d’audit » issues des systèmes ?
  • Comment le paramétrage de nouveaux utilisateurs est-il contrôlé ?
  • Existe-t-il des procédures assurant une mise à jour rapide des autorisations d’accès en cas de changement d’affectation ou de départ de personnel ?
  • Quels contrôles réguliers permettent de garantir l’adéquation des profils d’accès des employés avec leurs fonctions ?
    1. Administration des systèmes et des profils privilégiés :

L’utilisation de ressources sensibles, telles que les mots de passe système, les utilitaires puissants et les outils de gestion du système, doit être contrôlée de façon appropriée. A cet effet, l’auditeur doit considérer, par exemple, les indicateurs suivants :

  • Le nombre de personnes ayant des profils d’administrateurs système est-il approprié ?
  • Comment l’activité des administrateurs système est-elle contrôlée ?
  • Quelle est la fréquence de renouvellement des mots de passe pour les administrateurs système ?
  • Le nombre de profils privilégiés est-il approprié ?
  • Comment l’usage des profils privilégiés est-il contrôlé ?
    1. Sécurité physique :

L’accès physique aux installations informatiques et aux données doit être contrôlé de manière appropriée. A cet effet, l’auditeur doit, à titre indicatif, considérer les indicateurs suivants :

Stratégies d'implémentation pour l'audit financier en 2024

  • Comment l’accès au site/bâtiment comportant les installations informatiques est-il restreint ?
  • Comment l’accès à la salle informatique est-il contrôlé ?
  • Comment les supports informatiques (cassettes, cartouches, etc.) sont-ils protégés ?
  • Comment les documents confidentiels sont-ils classés et protégés ?
  • Comment la documentation relative aux systèmes est-elle protégée ?
  • Comment la mise au rebut des équipements informatiques et des supports de données est-elle sécurisée (destruction, reformatage des supports physiques) ?
    1. Contrôle des accès réseaux informatiques / accès distants :

Les accès distants aux systèmes informatiques, via des connexions par réseau informatique ou téléphonique, doivent être restreints de façon appropriée. A ce niveau, l’auditeur doit considérer, par exemple, les indicateurs suivants :

  • Comment les connexions avec des sites distants sont-elles authentifiées ?
  • Si le réseau est étendu, est-il divisé entre plusieurs domaines distincts ? Si oui, quels sont les contrôles permettant de s’assurer que les utilisateurs n’accèdent qu’aux domaines relevant de leurs fonctions ?
  • Comment les transferts de données par les réseaux sont-ils protégés ?
  • Le nombre d’utilisateurs ayant un accès distant est-il approprié ?
  • Comment ces utilisateurs sont-ils authentifiés ?
  • La disponibilité des connexions distantes au réseau est-elle limitée à certaines périodes de la journée /semaine ?
  • Quels sont les contrôles mis en place sur la télémaintenance ?
    1. Contrôle des connexions avec des réseaux externes (par exemple : Internet, EDI, etc.) :

Les connexions avec des réseaux externes doivent être convenablement protégées. Des contrôles doivent être mis en place afin de prévenir le risque d’une faille dans la sécurité du système. A titre indicatif, les indicateurs suivants devraient être considérés par l’auditeur :

  • Des conditions de sécurité adéquates ont-elles été définies dans les contrats signés avec des tiers concernant les transferts de données via des réseaux externes ?
  • Quel est le niveau de sécurité de la messagerie électronique ?
  • Comment le point d’entrée entre l’environnement informatique de la société et le réseau Internet est-il contrôlé ?
  • Comment les connexions externes utilisées pour des liaisons EDI sont-elles protégées ?
  • La société utilise-t-elle l’encryptage ou toute autre procédure de sécurité équivalente pour assurer l’intégrité des transactions réalisées à travers Internet et pour protéger les transmissions de l’authentification de l’utilisateur et des informations de vérification ?
  • Des tests périodiques de pénétration sont-ils réalisés ? (Ces tests utilisent les mêmes méthodes de pénétration que celles des pirates informatiques).

Questions Fréquemment Posées

Comment l’auditeur évalue-t-il la sécurité des accès utilisateurs au système d’exploitation ?

L’auditeur doit considérer des indicateurs tels que l’existence d’identifiants spécifiques pour les utilisateurs et administrateurs, les procédures de contrôle de création d’identifiants, et les mesures pour prévenir les accès non autorisés.

Quelles mesures sont prises pour contrôler l’accès aux données dans un audit financier ?

L’auditeur doit évaluer comment les fichiers systèmes/répertoires sont protégés contre des modifications non autorisées et comment les droits d’accès des utilisateurs sur les fichiers sont contrôlés.

Pourquoi est-il important de restreindre les accès aux fonctions applicatives dans l’audit financier ?

Il est crucial d’assurer une séparation des tâches adéquates et d’empêcher les accès non autorisés, ce qui peut être évalué par l’auditeur en examinant comment les accès utilisateurs sont limités au sein des applications.

Rechercher
Télécharger ce mémoire en ligne PDF (gratuit)
Lire aussi :
  1. Comment définir une stratégie d'audit informatique efficace en 2024 ?
  2. Comment l'analyse comparative transforme-t-elle les contrôles informatiques en…
  3. Comment le cadre théorique redéfinit-il l'audit financier en Tunisie ?
  4. Quelles sont les meilleures pratiques d'audit financier en 2024 ?
  5. Quelles compétences clés pour l'auditeur financier en 2024 ?
  6. Comment les contrôles d'application révolutionnent l'audit financier ?

Si le bouton de téléchargement ne répond pas, vous pouvez télécharger ce mémoire en PDF à partir cette formule ici.

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Scroll to Top