Download - Brainwave GRC - Audit en continu pour ISACA Montréal

Transcript

BRAINWAVE GRCIntelligence et Analytique des IdentitésPrésentation ISACA Montréal – 13 avril 2017Comment les technologies rendent possibles l’audit et le contrôle en continu ?Eric In

2

Audit en continu combinaison d'évaluations continues des risques et des contrôles qui s'appuient sur les systèmes d’information. L'audit en continu doit permettre à l'auditeur interne de communiquer ses constats sur l'objet considéré bien plus rapidement que dans le cadre de l'approche rétrospective traditionnelle.

Contrôle en continu processus exécuté par le management, qui lui permet de vérifier en permanence si les dispositifs de contrôle interne fonctionnent efficacement (MPA 2320-4 : Assurance continue).

GTAG3, Institute of Internal Auditor

Qu’est-ce que l’audit et le contrôle en continu ?

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

Adaptation aux évolutions rapides de l’entreprise :Plus d’interaction avec des partenaires, fournisseurs extérieurs

Évolutions des systèmes, consolidation, infonuagique

Plus de partage de données

Évolution du travail : employés, consultants

Réduction de l’impact des risques

Efficacité (Automatisation)

3

Pourquoi mettre en place l’audit et le contrôle en continu?

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

Proactif vs Réactif

Apporter plus de valeur ajoutée aux lignes d’affaires

Et vous ?

Cloisonnement des données

Volumes à gérer

Complexité des contrôles

Identifier les bonnes solutions

Support financier et opérationnel des TI et lignes d’affaires

Quels sont les freins?

4

Freins à la mise en place de l’audit et contrôle en continu – Apports des technologies

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

Puissance de traitement

Progrès de l’analytique

Fiabilité et traçabilité

Productivité (automatisation)

Disponibilité

Les apports des technologies

5

Ce qui va suivre est basé sur des cas réels vécus chez des clients Les situations ont été anonymisées

Quelle démarche adopter ?

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

Etape 1 Etape 2 Etape 3 Etape 4 Etape 5

Contrôle exhaustif sur le périmètre

existant

Ajouter de nouveaux

contrôles et étendre le périmètre

Implémenter des contrôles plus

complexes

Contrôles de processus d’affaires

Analyse comportementale

6

Audit interne – Préparation Je prends un échantillon

j’ai des résultats

je corrige

Audit externe – Grand jour nouvel échantillon

mauvaise surprise !

Contrôle approfondi (SoX), cueillette d’info et questions auprès de TI, audit interne…

Motivation 1

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

1

Réduire les surprises !

7

1Calendrier

Audit démarré en février, résultat en août, correction en septembre

Entre temps, pas de visibilité

L’organisation et les risques évoluent rapidement

Réorganisation / Acquisition / Vente

Nouveaux systèmes, partenaires

Nouveaux risques, nouveaux contrôles réglementaires

Motivation 2

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

Être plus proactif

8

1 Je gère des données sensibles pour mes clients

Secteur très compétitif et sensible

Nouveau client > nouvelles applications > nouveaux contrôles

Le coût d’intégration d’un nouveau contrôle explose !

Cela ne peut plus durer, je ne veux pas être vu comme un frein permanent !

Motivation 3

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

Faciliter les affaires

9

Étape 1 : Contrôle exhaustif sur le périmètre existant

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

Définir une fréquence d’audit

Automatiser le processus de collecte

Reprendre les extractions

Échantillon -> Contrôle exhaustif

1 2 3 1. Contrôle exhaustif sur le périmètre existant4 5

Tableau de bord des contrôles

10

1 2 3 1. Contrôle exhaustif sur le périmètre existant4 5

11

Fini les surprises : j’ai contrôlé tout le monde

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

1 2 3 1. Contrôle exhaustif sur le périmètre existant4 5

12

J’ai les réponses aux questions de mon auditeur

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

1 2 3 1. Contrôle exhaustif sur le périmètre existant4 5

13

Cartographie complète des accès aux applicatifs

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

Utilisateurs &

entités

Applications & permissions

1 2 3 1. Contrôle exhaustif sur le périmètre existant4 5

14

Étape 2 : Ajouter de nouveaux contrôles et étendre le périmètre

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

L’automatisation avec une solution adéquate permet d’ajouter de nouveaux contrôles à moindre effort

Construction de matrice de règles et de contrôle en mode agile

1 2 3 2. Ajouter de nouveaux contrôles et étendre le périmètre4 5

Ajouter de nouveaux contrôles

15© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

1 2 3 2. Ajouter de nouveaux contrôles et étendre le périmètre4 5

16

Cartographie des accès aux données

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

Utilisateurs &

entités

Répertoires partagés & types d’accès

1 2 3 2. Ajouter de nouveaux contrôles et étendre le périmètre4 5

17

Étape 3 : Implémenter des contrôles plus complexes

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

Contrôle complexe : FRAUDE

SoD + plusieurs opérations enchaînées dans plusieurs applications

Basé sur scénario de fraude

Objet : Un trader en congés ne doit pas accéder au plateau de trading

Données : application gestion des congés, contrôles d'accès badges, applications de trading

Résultat : Liste des suspects envoyée au responsable du contrôle pour investigation

1500 contrôles

450 applications

2 fois / semaine

1 2 3 3. Implémenter des contrôles plus complexes4 5

18

Les droits résiduels dans la vraie vie, une situation qui doit rester temporaire

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

1 2 3 3. Implémenter des contrôles plus complexes4 5

Contrôle complexe : MOBILITÉ INTERNE

Client manufacturier

Exception temporaire sur les écarts de droits : mobilité interne

Suivi des écarts avec un seuil de tolérance personnalisé (x%)

Alerte temporisée (x jours)

1 million d'identités

65 millions de permissions

testées

19

Pareto : identifier les priorités en remédiation

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

Résoudre les conflits sur ces 6 règles de SoDpour supprimer 80 % des problèmes.

1 2 3 3. Implémenter des contrôles plus complexes4 5

20

Étape 4 : Contrôle de processus d’affaires

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

Ajouter la dimension financière aux risques TI

Confort pour l’auditeur externe et interne

SoD sur des processus d’affaires

1 2 3 4. Contrôle de processus d’affaires4 5

21© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

Vue de bout en bout des risques de fraude au sein du processus d’affaires « Achat au paiement »

Détection des fraudes intra applicationDétection des fraudes inter applications

Modélisation des conflits de séparation de tâches 1 2 3 4. Contrôle de processus d’affaires4 5

22© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

Répartition des risques potentiels de fraude par processus d’affaires Impact des fraudes avérées par processus d’affaires

Valorisation du risque de fraude sur les processus d’affaires

1 2 3 4. Contrôle de processus d’affaires4 5

23

Détails des transactions dangereuses

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

Pourquoi une assistante a réalisé

ces transactions dangereuses ?

1 2 3 4. Contrôle de processus d’affaires4 5

24

Détection de risques non connusÉtape 5: Analyse comportementale

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

Utilisateurs avec un comportement déviant

Nombre d’accès anormalement élevé pour un consultant TI

1 2 3 5. Analyse comportementale4 5

25

Bénéfices

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

Avant

Après

Audit interne

Collecte et traitement

Analyse des résultats

Remédiation

Avant

Après

Responsables applicatifs / lignes d'affaires

Réalisation des revues

Suivi des revues

Avant

Après

Equipe TI

Collecte des données

Réponses aux auditeurs

Corrections

De meilleure relation entre TI, audit interne et externe

Des gains de temps à travers l’organisation

Plus de valeur ajoutée

26

Partager !

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved

Audit interne

Sécurité TI

Risques opérationnels

Responsables d’applications

Lignes d’affaires

Auditeurs externes

Valeur ajoutée de l’analytique à travers l’organisationApporter de la valeur

30 à 90 jours d’effortsRapidité

Autonomie pour créer des contrôles, analyser les résultatsFlexibilité / Agilité

Partager les résultats et les bénéfices avec : Plus de confiance et de confort

Plus de valeur à travers l’organisation

Plus de soutien opérationnel et financier

ContactsEmmanuel Sol

C: +1 514 647 6574

[email protected]

Eric In

D: +1 437 836 3621C: +1 647 544 [email protected]

© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved 27