-l'ouverture sur la transformation numérique. Les impacts liés à cette transformation doivent être anticipés et maîtrisés et les investissements nécessaires réalisés ;

-la gouvernance des systèmes d'information. La direction générale, en tant que propriétaire du système d'information, doit s'assurer du bon fonctionnement de celui-ci, de sa pérennité, de sa bonne évolution et de sa sécurité. Une gouvernance des données pas ou mal définie a des conséquences directes sur la fiabilité des données ;

-le contrôle des accès. Les bonnes pratiques recommandent d'accorder le minimum de droits en fonction des besoins d'accès des utilisateurs. Le pilotage des accès au patrimoine applicatif de l'entité suppose une communication permanente pour une mise à jour des profils utilisateurs et droits d'accès correspondants, selon l'évolution des effectifs dans l'entité. La séparation de certaines tâches est un point d'attention du CAC ;

-la conduite des projets. S'agissant d'audit, les projets les plus impactants sont ceux relatifs au système d'information financière, tels le changement, la migration de version ou l'intégration d'un logiciel ou d'une cession d'activité. Le RACI (Responsable, Approbateur, Consulté, Informé) est un outil de formalisation des rôles et des responsabilités pour chaque partie prenante au projet ;

-l'utilisation des outils d'audit de données. Elle permet l'atteinte plus aisée de l'assurance raisonnable ainsi qu'une documentation appropriée de l'approche d'audit par les risques. De plus, c'est un moyen de répondre au risque de fraude ;

-la protection des données personnelles. Le règlement européen sur la protection des données personnelles du 27 avril 2016 (RGPD), qui s'applique le 25 mai 2018, génère un risque de non-conformité, avec des sanctions très lourdes en cas de manquements aggravés ;

-la législation fiscale face aux SI. Le FEC s'inscrit dans un contexte de modernisation et d'automatisation du contrôle fiscal. Les éléments clés du FEC sont à maîtriser par l'entreprise contrôlée ;

-l'exploitation des SI. Elle doit être, aussi bien dans ses éléments matériels (serveurs, postes de travail, smartphones, équipements réseau...) qu'immatériels (Iogiciels, données...) efficace, efficiente, confidentielle, intègre, disponible, fiable et sécurisée ;

-le plan de continuité d'activité (PCA). Pour cerner les facteurs de criticité d'un PCA, le CAC doit en connaître la démarche d'élaboration qui s'organise jusqu'à la mise en œuvre des actions que chaque responsable doit s'approprier pour ses propres processus ;

-la cybersécurité. Le contrôle de la prise en compte des risques de cybercriminalité par la direction générale est l'un des plus sensibles, car il fait appel à la subjectivité des dirigeants et, de plus, leur prise en conscience nécessite des investissements informatiques et la mise en œuvre de mesures.