Audit interne des TI | KPMG | CA
close
Share with your friends

Audit interne des TI : multiplication des risques dans un contexte de ressources limitées

Audit interne des TI

Coup d’œil sur la façon dont l’audit interne des TI répond à la pression accrue en matière d’évaluation de la gestion et de l’atténuation des risques

Contenu connexe

puce électronique

Le risque lié à la technologie est omniprésent et en constante évolution. Le moment est donc bien choisi pour les professionnels et les auditeurs internes des technologies de l'information (« TI »), qui doivent élaborer des plans visant à fournir des évaluations et des informations sur les risques les plus importants liés à la technologie et sur la façon de les atténuer. L'audit interne des TI (« AITI ») doit se tenir au fait des développements rapides de la technologie et, dans la mesure du possible, les anticiper. Plus particulièrement, l'AITI doit planifier, délivrer et, au besoin, adapter son plan d'audit de sorte qu'il tienne compte des changements de la manière la plus appropriée, efficace et efficiente possible. Et cela doit se faire en tenant compte des contraintes budgétaires imposées par l'organisation, qui fait face à la concurrence (tant interne qu'externe) au chapitre des ressources.

Pour découvrir comment l'AITI réagit à ces enjeux, KPMG a effectué un sondage auprès de représentants de l'AITI de 250 organisations, grandes et petites, œuvrant dans un large éventail de secteurs d'activité à l'échelle mondiale. Alors que les demandes imposées à l'AITI sont en progression constante, ce rapport vise à susciter la réflexion et à présenter de nouvelles perspectives.

Voici les principales observations découlant de notre analyse des résultats du sondage.
L'AITI se penche actuellement sur les risques liés aux activités principales, comme les accès non autorisés ou les changements apportés à des applications de gestion essentielles. Toutefois, les répondants prévoient un changement majeur des priorités en 2018, alors l'attention se tournera vers les risques émergents liés notamment à la robotique et à l'Internet des objets (« IdO »), qui connecte des dispositifs à l'Internet et entre eux. L'AITI devra acquérir une assurance globale à l'égard de ces nouveaux risques à l'échelle de l'organisation afin de couvrir les composantes clés comme les cyberdéfenses à l'égard des données, des applications et de l'infrastructure.

  • L'AITI doit se doter de ressources ayant les compétences et les qualifications appropriées pour évaluer les risques en constante évolution et accroître l'utilisation d'outils et de technologies comme l'analyse de données et les outils automatisés de gestion du flux des travaux.
  • Quarante-trois pour cent des répondants affirment qu'il est probable que leur budget relatif à l'AITI demeure stable, et 8 % affirment qu'il pourrait diminuer entre 2017 et 2018. Trente-huit pour cent déclarent qu'il pourrait augmenter. Si les budgets ne sont pas à tout le moins maintenus, il n'est pas certain que l'AITI sera en mesure de fournir une assurance adéquate à l'égard de l'ensemble des différents types de risques, pas uniquement ceux ayant une incidence sur les activités principales.
  • Le grand sujet d'inquiétude est la question de savoir si l'AITI a les compétences requises pour fournir une assurance à l'égard de la plupart des risques technologiques les plus importants pour l'organisation. Les répondants de l'AITI affirment qu'ils sont aux prises avec une pénurie de talents dans bon nombre des domaines de risque visés par leur audit. La cybersécurité est le domaine dans lequel le manque de ressources est le plus criant, suivi par l'analyse de données et la protection des renseignements personnels.
  • L'un des aspects à améliorer est la capacité d'utiliser l'analyse de données à différentes fins dans l'AITI. Seulement le quart des répondants affirment qu'ils utilisent les procédés analytiques aux fins de techniques d'audit, de surveillance et de certification en continu; les autres les utilisent de façon ponctuelle.
  • L'assurance est habituellement fournie directement dans le cadre d'audits internes ou externes, plutôt qu'à partir des travaux réalisés par les spécialistes en certification indépendants de l'organisation. Par conséquent, plusieurs organisations n'ont pas mis en place une approche intégrée en matière d'assurance.

Cliquez ici pour télécharger le rapport. Rapport offert en anglais seulement.
 

Communiquez avec nous

 

Appel d’offres

 

Soumettre