GUIDE D’AUDIT DES SI : UTILISATION DE COBIT 98 © 2008 AFAI. Tous droits réservé

GUIDE D’AUDIT DES SI : UTILISATION DE COBIT 98 © 2008 AFAI. Tous droits réservés. www.afai.fr PO9 Évaluer et gérer les risques informatiques Un référentiel de gestion des risques est créé et maintenu à niveau. Ce référentiel documente un niveau de risques informatiques commun et agréé, des stratégies pour leur réduction et les risques résiduels. Tout impact potentiel d'un événement imprévu sur les objectifs de l'entreprise est identifié, analysé et évalué. Des stratégies de réduction des risques sont adoptées pour ramener le risque résiduel à un niveau acceptable. Le résultat de l'évaluation doit être compréhensible par les parties prenantes et exprimé en termes financiers pour permettre à ces parties de préconiser le niveau de risque tolérable. Objectif de contrôle Inducteurs de valeur Inducteurs de risque PO9.1 Référentiel de gestion des risques informatiques Mettre en place un référentiel de gestion des risques informatiques alignés sur le référentiel de gestion des risques de l'entreprise. • Approche cohérente de la gestion des risques informatiques • Gestion efficace des risques informatiques • Évaluation permanente des menaces et des risques informatiques pesant sur l'entreprise • Approche élargie de la gestion des risques informatiques • Risques informatiques et risques métiers gérés séparément • Non détection de l'impact d'un risque informatique sur l'entreprise • Maîtrise des coûts insuffisante en matière de gestion des risques • Chaque risque est considéré comme une menace distincte sans être pris en compte dans un contexte global • Soutien inefficace de la direction générale en matière d'évaluation des risques Evaluer les contrôles • Déterminer si le référentiel de gestion des risques informatiques est en harmonie avec le référentiel de gestion des risques de l'entreprise et s'il inclut des composants orientés métiers pour la stratégie, les programmes, les projets et les activités. Examiner la classification des risques informatiques pour s'assurer qu'ils sont basés sur un socle commun de caractéristiques issues du référentiel de gestion des risques d'entreprise. Déterminer si l'estimation des risques informatiques est standardisée et hiérarchisée et si elle tient compte de facteurs alignés sur le référentiel de gestion des risques d'entreprise (impact, acceptation du risque résiduel et probabilités). • S'assurer que les risques informatiques sont pris en compte dans l'élaboration et la vérification des plans informatiques stratégiques. Objectif de contrôle Inducteurs de valeur Inducteurs de risque PO9.2 Établissement du contexte du risque Établir le contexte dans lequel s'applique le cadre d'évaluation du risque pour s'assurer d'obtenir les résultats appropriés. Cela implique de déterminer le contexte interne et externe de chaque évaluation du risque, le but de l'évaluation et les critères de cette évaluation. • Utilisation efficace et efficiente des ressources pour la gestion des risques • Harmonie entre les priorités de gestion des risques et les besoins métiers • Focalisation sur les risques importants et significatifs • Hiérarchisation des risques • Risques insignifiants considérés comme importants • Risques importants ne bénéficiant pas de l'attention qu'ils méritent • Approche inappropriée de l'évaluation des risques Evaluer les contrôles • Vérifier et confirmer qu'un contexte de risque approprié a été défini conformément aux principes et aux règles de gestion des risques d'entreprise et qu'il tient compte des processus (systèmes, gestion de projets, cycles de vie des applications logicielles, gestion des activités et services informatiques, etc.). Il convient également de tenir compte des facteurs de risque internes et externes. • Déterminer si le contexte de risque informatique est communiqué et compris. ANNEXE II © 2008 AFAI. Tous droits réservés. www.afai.fr 99 PO9 Évaluer et gérer les risques informatiques (suite) Objectif de contrôle Inducteurs de valeur Inducteurs de risque PO9.3 Identification des événements Identifier les événements (menaces importantes et réalistes qui exploitent une vulnérabilité applicable significative) qui peuvent avoir un impact négatif sur les objectifs ou les opérations de l'entreprise, dont l'activité, les aspects réglementaires et légaux, la technologie, les partenaires commerciaux, les ressources humaines et le secteur opérationnel. Déterminer la nature des conséquences et actualiser cette information. Enregistrer et tenir à jour les données sur les risques significatifs dans un registre des risques. • Approche cohérente de l'identification des événements à risque • Focalisation sur les événements à risque significatifs • Identification et focalisation sur des événements à risque insignifiants tandis que des événements plus importants ne sont pas détectés Evaluer les contrôles • Examiner le processus permettant d'identifier les événements potentiels et s'assurer que l'analyse tient compte de tous les processus informatiques. La conception du processus doit couvrir les événements internes et externes. L'identification des événements potentiels peut inclure les résultats des anciens audits, inspections et incidents identifiés, grâce à des listes de contrôle, des ateliers et l'analyse de l'enchaînement des opérations. Repérer les impacts identifiés dans le registre des risques pour déterminer si ce dernier est complet, actualisé et en harmonie avec la terminologie du référentiel de gestion des risques d'entreprise. • Vérifier si des équipes pluridisciplinaires compétentes participent aux différentes activités d'identification des événements et des conséquences. Examiner un échantillon du registre des risques pour déterminer l'importance des menaces, des vulnérabilités et de l'impact, et analyser l'efficacité du processus visant à identifier, consigner et évaluer les risques. Objectif de contrôle Inducteurs de valeur Inducteurs de risque PO9.4 Évaluation du risque Évaluer régulièrement la probabilité et les conséquences de tous les risques identifiés, en utilisant des méthodes qualitatives et quantitatives. La probabilité et les conséquences associées aux risques inhérents et résiduels doivent être déterminées individuellement, par catégorie et par portefeuille. • Amélioration de la planification et de l'utilisation des compétences et des ressources en matière de gestion des risques informatiques • Crédibilité organisationnelle des équipes en charge de l'évaluation des risques informatiques • Transfert des connaissances entre les gestionnaires des risques • Mise en place d'une action de sensibilisation à la valeur des actifs informatiques • Risques insignifiants considérés comme importants • Chaque risque est considéré comme un événement distinct sans être pris en compte dans un contexte global • Incapacité à décrire les risques importants au management • Risques significatifs éventuellement non détectés • Perte d'actifs informatiques • Atteinte à la confidentialité ou à l'intégrité des actifs informatiques Evaluer les contrôles • Examiner le processus de gestion des risques pour déterminer si les risques inhérents et résiduels sont identifiés et documentés. • Vérifier et confirmer que le processus de gestion des risques évalue les risques identifiés de façon qualitative et/ou quantitative. • Inspecter les documents du projet et la documentation annexe pour évaluer le bien-fondé de l'évaluation qualitative et quantitative des risques. • Examiner le processus pour déterminer si les sources d'information utilisées dans l'analyse sont raisonnables. • Inspecter l'utilisation de l'analyse statistique et la détermination des possibilités pour mesurer la probabilité de façon qualitative ou quantitative. • Vérifier et confirmer l'identification de corrélations entre les risques. Examiner les corrélations pour vérifier si elles présentent des résultats d'impact et de vraisemblance très différents découlant de ces relations. GUIDE D’AUDIT DES SI : UTILISATION DE COBIT 100 © 2008 AFAI. Tous droits réservés. www.afai.fr PO9 Évaluer et gérer les risques informatiques (suite) Objectif de contrôle Inducteurs de valeur Inducteurs de risque PO9.5 Réponse au risque Développer et tenir à jour un processus de réponse au risque pour s'assurer que des contrôles rentables réduisent en permanence l'exposition aux risques. Ce processus doit proposer des stratégies comme l'évitement, la réduction, le partage et l'acceptation, déterminer les responsabilités connexes et tenir compte des niveaux de tolérance au risque. • Gestion efficace des risques • Approche cohérente de l'atténuation des risques • Rentabilité de la réponse au risque • Réponses aux risques inefficaces • Risques métiers résiduels non identifiés • Utilisation inefficace des ressources pour répondre aux risques • Confiance excessive dans les contrôles insuffisants existants Evaluer les contrôles • Déterminer si les résultats de l'évaluation des risques ont été affectés à une réponse d'atténuation pour éviter, transférer, réduire, partager ou accepter chaque risque et s'aligner sur les mécanismes permettant de gérer les risques dans l'entreprise. Objectif de contrôle Inducteurs de valeur Inducteurs de risque PO9.6 Maintenance et surveillance d'un plan d'action vis-à-vis des risques Établir les priorités et planifier les activités de contrôle à tous les niveaux pour mettre en place les réponses aux risques considérées comme nécessaires, sans oublier l'évaluation des coûts et des bénéfices, et la responsabilité de leur mise en œuvre. Obtenir l'approbation pour les actions recommandées et l'acceptation de tous les risques résiduels, et s'assurer que les propriétaires des processus affectés par le risque assument aussi la propriété des actions entreprises. Surveiller l'exécution des plans et signaler tout écart au management. • Gestion efficace des risques • Évaluation permanente des risques et menaces pesant sur l'entreprise • Contrôles d'atténuation des risques ne fonctionnant pas comme prévu • Contrôles de compensation s'écartant des risques identifiés Evaluer les contrôles • Déterminer si les risques acceptés sont officiellement reconnus et enregistrés dans un plan d'action vis-à-vis des risques. • Évaluer l'adéquation des éléments du plan de gestion des risques. • Vérifier et confirmer que l'exécution, les points de situation et les disparités sont surveillés. • Examiner les réponses aux risques pour vérifier l'existence d'approbations appropriées. • Examiner les actions entreprises pour vérifier si la propriété uploads/Management/ 472.pdf

Documents similaires

Ingénieur en agroalimentaire institut-agro.fr/rennes-angers Organisation de la 0 0

https://lib.uliege.be https://matheo.uliege.be Mémoire Auteur : Bertholet, Elis 0 0

Définition du contrôle de gestion Le contrôle de gestion est le processus par l 0 0

مركز التكوين وجدة-المستمر Rapport : atelier langue française Techniques d’expre 0 0

Cour des comptes - Lot n° 427 Route du King Fahd Palace Almadies BP : 9097 Daka 0 0

CENTR CENTRE E AFRICAIN AFRICAIN D’ETUDES D’ETUDES SUPERIEURES SUPERIEURES EN E 0 0

Université Moulay Ismail Faculté de Science Département de Biologie Master spéc 0 0

www.afnor.org/editions Alphonse Carlier Management des projets collaboratifs Co 0 0

Offert par Guide pour les débutants offert par : des méthodologies de gestion d 0 0

Plan général : Introduction I. Notions de base en gestion de chaîne logistique 0 0

• Détails
• Publié le Mai 24, 2021
• Catégorie Management
• Langue French
• Taille du fichier 0.0583MB