Mai 2014 L’audit de la continuité d’activité d’un organisme Fiche Pratique 1 La

Mai 2014 L’audit de la continuité d’activité d’un organisme Fiche Pratique 1 La continuité d’activité correspond à la capacité d’un organisme (entreprise ou administration) à poursuivre son fonctionnement et l’atteinte de ses objectifs à un niveau acceptable défini par avance, suite à la survenance d’un évènement perturbateur. L’audit s’appuie sur un référentiel et sur les normes existantes : ISO 22301, ISO 27001, etc. La profondeur et la précision de l’audit sont étroitement liées au niveau de maturité de l’organisme audité en matière de continuité d’activité. La continuité d’activité doit être évaluée par les PCA, le Système de Management de la Continuité d’Activité (SMCA) et le service rendu aux clients. L’audit de la continuité d’activité doit être perçu comme une opération positive et constructive pour l’organisme. Il entre directement dans le processus d’amélioration continue de la Roue de Deming (PDCA) en proposant un plan visant à améliorer la continuité d’activité de l’organisme. Pour les entreprises de services, la norme ISAE 3402 (évolution de SAS 70) permet de démontrer à ses clients la conformité de son organisation à leurs exigences réglementaires en matière financière. Elle permet d’éviter les audits de PCA par les clients de ces entreprises. Les trois domaines cibles d’évaluation de la continuité : • Le Plan de Continuité d’Activité (PCA), •  Le Système de Management de la Continuité d’Activité (SMCA) (cf. norme certifiante ISO 22301 publiée en mai 2012), •  Les services rendus à ses clients (cf. International Standard on Assurance Engagements (ISAE 3402, évolution de SAS 70), norme internationale publiée en décembre 2009 par l’International Auditing and Assurance Standards Board (IAASB), qui fait partie de la Fédération Internationale des Comptables (IFAC). Cela nécessite l’utilisation d’un vocabulaire commun entre l’audité et l’auditeur. Le Lexique structuré de la continuité d’activité du Club de la Continuité d’Activité (CCA) propose des définitions admises par la profession. NB. : L’audit de la gestion de crise n’a pas été traité dans cette fiche pratique. Pour être sûre et valide, la continuité d’activité nécessite une évaluation Les trois domaines cibles d’évaluation de la continuité : PRA - PCA En partenariat avec Club des Responsables d’Infrastructures et de Production L’audit aide l’organisme à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernance, et en faisant des propositions pour renforcer leur efficacité (source : définition adoptée le 21/03/2000 par le Conseil d’Administration de l’IFACI, Institut Français de l’Audit et du Contrôle Internes). Trois formes d’audit existent : . l’audit interne, . l’audit externe, . l’audit de certification. Comment peut-on évaluer le caractère opérationnel d’un PCA ? Les critères d’évaluation suivants sont à prendre en compte : Introduction Les critères d’audit du Plan de Continuité d’Activité (PCA) 2 Oui Non 1. Expression de besoin des processus métier et support (aux métiers) a. Les processus métier et support ont-ils exprimé leurs besoins de continuité d’activité ? b. Les besoins et les dispositifs de continuité ont-ils été validés par la Direction de l’organisme ? c. Les plans de retour à une situation normale ont-ils été prévus ? d. Les besoins exprimés dans le BIA (Bilan d’Impacts sur l’Activité) font-ils partie du contrat de service ? e. Le niveau de dégradation d’activité suite au sinistre a-t-il été défini et validé ? 2. Degré de couverture du PCA en termes d’impacts sur le fonctionnement de l’organisme a. Est-ce que les risques ont été analysés et leurs impacts évalués ? b.  Toutes les dépendances externes (tierces parties) à l’organisme ont-elles un PCA conforme aux besoins validés par la Direction Générale ? c. A-t-on pris en compte toutes les exigences légales et réglementaires inhérentes au secteur d’activité ? d. Les risques sur les activités ont-ils été validés par la Direction Générale ? e. Les priorités de reprise d’activité sont-elles clairement définies ? f.  Les impacts des risques communs entre l’organisme et ses fournisseurs externes critiques ont-ils été pris en compte ? 3. Moyens de continuité a.  Les responsabilités d’exécution du PCA ont-elles été définies pour tous les acteurs aux différentes étapes (construction et exécution) ? b. Les salles de crise, en particulier leurs moyens de communication, sont-elles secourues ? c. Les moyens de communication entre tous les acteurs sont-ils suffisants ? d.  Les moyens de secours et de repli sont-ils non impactés par les scénarios prévus d’indisponibilité des ressources ? e. Les moyens de continuité ont-ils été identifiés et justifiés pour être mis en œuvre en conformité avec les besoins exprimés et validés ? 4. Efficacité du PCA : adéquation des besoins de continuité aux réponses techniques a.  Les conditions de reprise d’activité observées (RTO, RPO, positions de repli et de stock) sont-elles conformes aux conditions attendues par les processus métier et support en termes de délai de reprise, perte de données, positions de repli et de stock ? Oui Non b.  Les moyens de secours et de repli sont-ils suffisamment dimensionnés pour assurer les besoins de continuité validés ? c. La cellule de crise décisionnelle est-elle unique ? 5. Documentation et outils du PCA a. Y a-t-il un système de gestion documentaire ? b. La documentation du PCA est-elle accessible immédiatement quoi qu’il arrive ? c.  La documentation est-elle exhaustive et à jour : contacts, fiches réflexe, procédures (toute la documentation nécessaire pour exécuter le PCA) ? d. Le PCA est-il exécutable par d’autres personnes compétentes qui n’ont pas écrit les procédures ? e. Y a-t-il un plan de coordination de l’exécution du PCA ? f. Les informations du PCA sont-elles classifiées et leur diffusion est-elle contrôlée (habilitations définies) ? 6. Maintien en condition opérationnelle a. Les changements du SI, des locaux, de l’organisation fonctionnelle, sont-ils répercutés dans le PCA ? b. Disposez-vous de processus de contrôle autres que les tests techniques et exercices de validation ? c. Y a-t-il un processus de formation continue du personnel de l’organisme ? d. Y a-t-il à l’issue des tests et exercices un retour d’expérience et un plan d’amélioration du PCA ? e. Le plan de validation prévoit-il une progressivité des tests et exercices sur plusieurs années ? f. Y a-t-il des exercices de validation inopinés ou avec un minimum de préparation ? 7. Pilotage d’exécution du PCA a. Tous les décideurs de la cellule de crise décisionnelle sont-ils entraînés au pilotage de crise ? b. Y a-t-il des critères d’aide à la décision pour déclencher ou non le PCA ? c. Les communications interne et externe sont-elles préparées par type de scénarios de risques ? 8. Degré d’implication du personnel impliqué dans le PCA a.  Toutes les parties prenantes (interne et externe) du PCA sont-elles formées, entraînées, et savent-elles ce qu’elles doivent faire en cas de besoin ? b. Tous les intervenants sont-ils en nombre suffisant en permanence (7j/7, 24h/24) ? c. La formation des personnes a-t-elle été prévue ? 3 Les critères d’audit du Système de Management de la Continuité d’Activité (SMCA) La gestion de la continuité d’activité est un processus de management holistique qui identifie les menaces potentielles pour un organisme ainsi que les impacts que ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées à l’activité de l’organisme. Ce même processus fournit un cadre pour construire la résilience de l’organisme avec une capacité de réponse efficace préservant les intérêts de ses principales parties prenantes, sa réputation, sa marque et ses activités productrices de valeur (norme ISO 22301 Système de Management de la Continuité d’Activité). Les critères d’évaluation du SMCA sont classés selon les thèmes de la Roue de Deming : 4 La norme ISAE 3402 (International Standard on Assurance Engagements) offre aux entreprises de services qui sont soumises à la loi Sarbanes-Oxley (ou à d’autres lois de sécurité financière), la possibilité de certifier la conformité de leur organisation aux exigences réglementaires. Cette norme est portée par l’IAASB (International Auditing and Assurance Standards Board), organisme qui fait lui-même partie de l’IFAC (International Federation of Accountants). Le recours à la norme ISAE 3402 s’inscrit dans un processus comprenant plusieurs étapes. L’entreprise doit d’abord formaliser précisément son dispositif de contrôle interne, ses objectifs de contrôle et les contrôles associés, puis établir un document décrivant l’ensemble de ce dispositif. C’est sur la base de ce document que l’auditeur rédigera son rapport. En pratique, il existe deux types de rapports : •  Un rapport de type I, dans lequel l’auditeur vérifie la bonne description des contrôles et leur adéquation par rapport aux objectifs fixés. Ce rapport est effectué une fois par an, à un moment donné ; •  Un rapport de type II, dont l’objectif est de vérifier l’efficacité opérationnelle des contrôles décrits dans le rapport de type I, sur une période de six mois (en général). Ce dernier rapport comprend quatre sections : 1. Le rapport de l’auditeur proprement dit, 2. La description des contrôles, 3.  La description des tests effectués par l’auditeur ainsi que leurs résultats, 4.  Autres informations fournies par l’entreprise prestataire de services (facultatif). Oui Non 1. Plan (planifier) a. Y a-t-il un uploads/Management/2014-07-09-10-38-41-fichepratique-pra-pca-web-1 1 .pdf

Tags
Managementcontinuité d’activité l’organisme processus l’audit
Documents similaires
  • 18
  • 0
  • 0
Afficher les détails des licences
Licence et utilisation
Gratuit pour un usage personnel Attribution requise
Partager
  • Détails
  • Publié le Apv 11, 2022
  • Catégorie Management
  • Langue French
  • Taille du fichier 0.6839MB