View
51
Download
0
Category
Preview:
Citation preview
BRAINWAVE GRCIntelligence et Analytique des IdentitésPrésentation ISACA Montréal – 13 avril 2017Comment les technologies rendent possibles l’audit et le contrôle en continu ?Eric In
2
Audit en continu combinaison d'évaluations continues des risques et des contrôles qui s'appuient sur les systèmes d’information. L'audit en continu doit permettre à l'auditeur interne de communiquer ses constats sur l'objet considéré bien plus rapidement que dans le cadre de l'approche rétrospective traditionnelle.
Contrôle en continu processus exécuté par le management, qui lui permet de vérifier en permanence si les dispositifs de contrôle interne fonctionnent efficacement (MPA 2320-4 : Assurance continue).
GTAG3, Institute of Internal Auditor
Qu’est-ce que l’audit et le contrôle en continu ?
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
Adaptation aux évolutions rapides de l’entreprise :Plus d’interaction avec des partenaires, fournisseurs extérieurs
Évolutions des systèmes, consolidation, infonuagique
Plus de partage de données
Évolution du travail : employés, consultants
Réduction de l’impact des risques
Efficacité (Automatisation)
3
Pourquoi mettre en place l’audit et le contrôle en continu?
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
Proactif vs Réactif
Apporter plus de valeur ajoutée aux lignes d’affaires
Et vous ?
Cloisonnement des données
Volumes à gérer
Complexité des contrôles
Identifier les bonnes solutions
Support financier et opérationnel des TI et lignes d’affaires
Quels sont les freins?
4
Freins à la mise en place de l’audit et contrôle en continu – Apports des technologies
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
Puissance de traitement
Progrès de l’analytique
Fiabilité et traçabilité
Productivité (automatisation)
Disponibilité
Les apports des technologies
5
Ce qui va suivre est basé sur des cas réels vécus chez des clients Les situations ont été anonymisées
Quelle démarche adopter ?
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
Etape 1 Etape 2 Etape 3 Etape 4 Etape 5
Contrôle exhaustif sur le périmètre
existant
Ajouter de nouveaux
contrôles et étendre le périmètre
Implémenter des contrôles plus
complexes
Contrôles de processus d’affaires
Analyse comportementale
6
Audit interne – Préparation Je prends un échantillon
j’ai des résultats
je corrige
Audit externe – Grand jour nouvel échantillon
mauvaise surprise !
Contrôle approfondi (SoX), cueillette d’info et questions auprès de TI, audit interne…
Motivation 1
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
1
Réduire les surprises !
7
1Calendrier
Audit démarré en février, résultat en août, correction en septembre
Entre temps, pas de visibilité
L’organisation et les risques évoluent rapidement
Réorganisation / Acquisition / Vente
Nouveaux systèmes, partenaires
Nouveaux risques, nouveaux contrôles réglementaires
Motivation 2
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
Être plus proactif
8
1 Je gère des données sensibles pour mes clients
Secteur très compétitif et sensible
Nouveau client > nouvelles applications > nouveaux contrôles
Le coût d’intégration d’un nouveau contrôle explose !
Cela ne peut plus durer, je ne veux pas être vu comme un frein permanent !
Motivation 3
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
Faciliter les affaires
9
Étape 1 : Contrôle exhaustif sur le périmètre existant
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
Définir une fréquence d’audit
Automatiser le processus de collecte
Reprendre les extractions
Échantillon -> Contrôle exhaustif
1 2 3 1. Contrôle exhaustif sur le périmètre existant4 5
11
Fini les surprises : j’ai contrôlé tout le monde
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
1 2 3 1. Contrôle exhaustif sur le périmètre existant4 5
12
J’ai les réponses aux questions de mon auditeur
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
1 2 3 1. Contrôle exhaustif sur le périmètre existant4 5
13
Cartographie complète des accès aux applicatifs
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
Utilisateurs &
entités
Applications & permissions
1 2 3 1. Contrôle exhaustif sur le périmètre existant4 5
14
Étape 2 : Ajouter de nouveaux contrôles et étendre le périmètre
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
L’automatisation avec une solution adéquate permet d’ajouter de nouveaux contrôles à moindre effort
Construction de matrice de règles et de contrôle en mode agile
1 2 3 2. Ajouter de nouveaux contrôles et étendre le périmètre4 5
Ajouter de nouveaux contrôles
15© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
1 2 3 2. Ajouter de nouveaux contrôles et étendre le périmètre4 5
16
Cartographie des accès aux données
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
Utilisateurs &
entités
Répertoires partagés & types d’accès
1 2 3 2. Ajouter de nouveaux contrôles et étendre le périmètre4 5
17
Étape 3 : Implémenter des contrôles plus complexes
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
Contrôle complexe : FRAUDE
SoD + plusieurs opérations enchaînées dans plusieurs applications
Basé sur scénario de fraude
Objet : Un trader en congés ne doit pas accéder au plateau de trading
Données : application gestion des congés, contrôles d'accès badges, applications de trading
Résultat : Liste des suspects envoyée au responsable du contrôle pour investigation
1500 contrôles
450 applications
2 fois / semaine
1 2 3 3. Implémenter des contrôles plus complexes4 5
18
Les droits résiduels dans la vraie vie, une situation qui doit rester temporaire
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
1 2 3 3. Implémenter des contrôles plus complexes4 5
Contrôle complexe : MOBILITÉ INTERNE
Client manufacturier
Exception temporaire sur les écarts de droits : mobilité interne
Suivi des écarts avec un seuil de tolérance personnalisé (x%)
Alerte temporisée (x jours)
1 million d'identités
65 millions de permissions
testées
19
Pareto : identifier les priorités en remédiation
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
Résoudre les conflits sur ces 6 règles de SoDpour supprimer 80 % des problèmes.
1 2 3 3. Implémenter des contrôles plus complexes4 5
20
Étape 4 : Contrôle de processus d’affaires
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
Ajouter la dimension financière aux risques TI
Confort pour l’auditeur externe et interne
SoD sur des processus d’affaires
1 2 3 4. Contrôle de processus d’affaires4 5
21© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
Vue de bout en bout des risques de fraude au sein du processus d’affaires « Achat au paiement »
Détection des fraudes intra applicationDétection des fraudes inter applications
Modélisation des conflits de séparation de tâches 1 2 3 4. Contrôle de processus d’affaires4 5
22© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
Répartition des risques potentiels de fraude par processus d’affaires Impact des fraudes avérées par processus d’affaires
Valorisation du risque de fraude sur les processus d’affaires
1 2 3 4. Contrôle de processus d’affaires4 5
23
Détails des transactions dangereuses
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
Pourquoi une assistante a réalisé
ces transactions dangereuses ?
1 2 3 4. Contrôle de processus d’affaires4 5
24
Détection de risques non connusÉtape 5: Analyse comportementale
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
Utilisateurs avec un comportement déviant
Nombre d’accès anormalement élevé pour un consultant TI
1 2 3 5. Analyse comportementale4 5
25
Bénéfices
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
Avant
Après
Audit interne
Collecte et traitement
Analyse des résultats
Remédiation
Avant
Après
Responsables applicatifs / lignes d'affaires
Réalisation des revues
Suivi des revues
Avant
Après
Equipe TI
Collecte des données
Réponses aux auditeurs
Corrections
De meilleure relation entre TI, audit interne et externe
Des gains de temps à travers l’organisation
Plus de valeur ajoutée
26
Partager !
© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
Audit interne
Sécurité TI
Risques opérationnels
Responsables d’applications
Lignes d’affaires
Auditeurs externes
Valeur ajoutée de l’analytique à travers l’organisationApporter de la valeur
30 à 90 jours d’effortsRapidité
Autonomie pour créer des contrôles, analyser les résultatsFlexibilité / Agilité
Partager les résultats et les bénéfices avec : Plus de confiance et de confort
Plus de valeur à travers l’organisation
Plus de soutien opérationnel et financier
Recommended