Les fonctions de gestion des risques, d’audit interne, de contrôle interne, les directions générales et les différents organes de gouvernance de l’entreprise sont de plus en plus confrontés aux enjeux et aux risques liés aux systèmes d’informations.
- Identifier et quantifier l’exposition aux risques IT internes ou externes
- Déployer un plan de maîtrise des risques IT adéquat
- Assurer une gouvernance efficiente autour des systèmes d’information
- Déployer un dispositif de contrôle interne robuste en s’appuyant sur une approche par les processus
- Évaluer la conception et l’efficacité du contrôle interne de façon permanente et périodique
Quels sont les enjeux liés aux risques IT ?
Définir une gouvernance IT, identifier et évaluer les risques IT
- Une gouvernance des systèmes d’information a-t-elle été mise en place au regard des bonnes pratiques ?
- Une cartographie des risques SI a-t-elle été élaborée, et le cas échéant, est-elle actualisée ou challengée ?
Mettre en place et auditer le dispositif de contrôle permettant de couvrir les risques IT
- Le plan de maîtrise des risques est-il adapté pour couvrir les risques IT endogènes et exogènes ? Prend-il en compte les risques liés aux tiers / prestataires ?
- Le dispositif de contrôle interne intègre t-il des contrôles automatiques intégrés aux applications ?
- Comment la séparation des tâches des ERP / applications peut-elle être revue de façon efficace ?
Adapter les pratiques d’audit et de contrôle aux transformations technologiques (agilité projet, Cloud, RPA, Blockchain…)
- L'évaluation du niveau de sécurité du système d’information a-t-elle évolué ces dernières années pour intégrer les changements technologiques ou l’automatisation des processus ?
- Les équipes de contrôle maîtrisent-elles les problématiques techniques, juridiques ou cyber nécessaires pour revoir des systèmes d’information de plus en plus complexes et ouverts ?
Prendre en considération les impacts des évolutions réglementaires sur les risques IT
- Les sujets de conformité sont-ils correctement adressés (ex. RGPD, attestation Swift, nouvelle réglementation DORA…) ?
- Disposez-vous d’attestations ISAE3402 / SOC2 sur vos activités ou pour la maîtrise de vos tiers ?
PwC vous accompagne dans la maîtrise de vos risques IT
Une équipe d’auditeurs informatiques experts, dédiée à la gestion des risques IT, disposant de certifications (CISA, CIA, CRISC, ITIL, ISO 27001, ISO 22301, etc.) vous accompagne pour résoudre les problématiques liés aux processus, à la gouvernance informatique et à la continuité de vos systèmes d’information.
- Mise en place de cartographie des risques IT
- Evaluation de la résilience des systèmes d’information
- Renforcement et évaluation de dispositifs de contrôle interne IT
- Sécurisation et optimisation des contrôles ERP (Séparation des tâches, contrôles automatiques…)
- Elaboration d’attestation d'évaluation des tiers (ISAE3402, SOC2) et audit de prestataires informatiques
- Plan d’audit IT, co-sourcing ou outsourcing de missions d’audit IT
Suivez-nous !
