Contrôler et évaluer en continu l'environnement de contrôle. Ceci inclut l'auto-évaluation et les revues indépendantes. Permettre au management d'identifier les défauts et inefficacités de contrôle et d'initier des actions d'amélioration. Planifier, organiser et maintenir les normes d'évaluation du contrôle interne et les activités de garantie.
Garantir la transparence du système de contrôle interne pour les parties prenantes clés, assurant ainsi la confiance quant à sa pertinence et dans les opérations et la réalisation des objectifs de l'entreprise, et une compréhension adéquate du risque résiduel.
| Objectifs IT | Métriques associées |
|---|---|
| Garantir la conformité et le soutien de l'informatique au respect de la réglementation externe à l'entreprise |
|
| Gérer les risques financiers relatifs à l'informatique |
|
| Assurer la conformité de l'informatique aux politiques internes |
|
| Objectifs du processus | Métriques associées |
|---|---|
| Les processus, les ressources et l'information répondent aux exigences du système de contrôle interne de l'entreprise. |
|
| Toutes les initiatives d’assurance sont planifiées et exécutées de façon efficace. |
|
| Assurance indépendante que le système de contrôle interne fourni est opérationnel et efficace. |
|
| Le contrôle interne est mis en place et les faiblesses sont identifiées et rapportées. |
|
| MEA02.01 | MEA02.02 | MEA02.03 | MEA02.04 | MEA02.05 | MEA02.06 | MEA02.07 | MEA02.08 | |
|---|---|---|---|---|---|---|---|---|
| Conseil d'administration | I | I | ||||||
| Président Directeur Général | I | I | I | I | A | I | ||
| Directeur Financier | C | R | C | C | ||||
| Directeur Opérationnel | I | I | I | I | R | |||
| Directeurs Métiers | C | A | C | C | C | R | C | |
| Propriétaires de Processus Métiers | R | R | R | R | R | R | R | R |
| Comité Stratégie | I | |||||||
| Comité de Pilotage (programmes/projets) | ||||||||
| Coordinateur Projets (PMO) | R | R | R | C | C | C | ||
| gestion de la valeur | ||||||||
| Risk Manager (RM) | R | I | R | I | I | |||
| Directeur de la Sécurité des SI (DSSI) | I | I | I | |||||
| Urbanisme | ||||||||
| Comité risque de l'entreprise | ||||||||
| Direction des Ressources Humaines (DRH) | ||||||||
| Conformité | R | R | R | R | A | C | C | C |
| Audit | R | R | R | R | A | C | A | A |
| Directeur du SI (DSI) | A | C | A | A | R | R | R | R |
| Responsable Architecture | I | I | I | C | C | C | ||
| Responsable développement | R | R | R | C | C | C | ||
| Responsable production informatique | R | C | R | R | C | C | C | |
| Responsable de l'administration informatique | R | R | R | C | C | C | ||
| Gestionnaire de service | R | C | R | R | C | C | C | |
| Gestionnaire de la sécurité de l'information | R | C | R | R | C | C | C | |
| Gestionnaire de la continuité | R | C | R | R | C | C | C | |
| Directeur de la propriété | R | R | R | C | C | C |
| Code | Pratique de gouvernance |
|---|---|
| MEA02.01 | Piloter les contrôles internes |
| Piloter de manière continue les environnements de contrôle de l'informatique et le cadre de contrôle, en faire l’analyse comparative et les améliorer pour atteindre les objectifs organisationnels |
| Entrées | Sorties | ||
|---|---|---|---|
| Description | Venant de | Description | Vers |
| Résultat de l’examen des évaluations des risques liés aux tiers | APO12.04 | Résultats du pilotage et des revues de contrôle interne | EDM01.03 / APO / BAI / DSS / MEA |
| Rapports d’audit du Système de Management de la sécurité de l'Information (SMSI) | APO13.03 | Résultat de benchmark et autres évaluations | EDM01.03 / APO / BAI / DSS / MEA |
| Normes et bonnes pratiques de l'industrie | Hors CobIT |
| Activités | |
|---|---|
| 1 | Réaliser des activités de pilotage et d'évaluation des contrôles internes en fonction des normes de gouvernance organisationnelle et des référentiels de pratiques reconnus par l'industrie. Inclure le suivi et l'évaluation de l’efficience et de l'efficacité des revues faites par le personnel chargé des contrôles. |
| 2 | Envisager l'évaluation indépendante du système de contrôle interne (par exemple : par des audits internes ou par les pairs). |
| 3 | Identifier les limites du système de contrôle interne informatique (par exemple : examiner comment les contrôles internes informatiques de l'organisation prennent en compte les activités de développement ou de production externes ou à l'étranger). |
| 4 | S'assurer que les activités de contrôle sont en place et que les exceptions sont signalées rapidement, qu'on en fait le suivi et l'analyse, et que les mesures correctives appropriées sont priorisées et mises en oeuvre selon le profil de gestion du risque (par exemple : classer certaines exceptions en tant que risques majeurs et d'autres en tant que risques mineurs). |
| 5 | Maintenir le système de contrôle interne informatique, en tenant compte des changements en cours dans les risques métiers et informatiques, de l'environnement de contrôle de l'organisation, des processus métiers et informatiques pertinents et des risques liés à l'informatique. En cas d’écarts, les évaluer et recommander des changements. |
| 6 | Evaluer régulièrement la performance du cadre de contrôle informatique en effectuant une analyse comparative par rapport aux normes et bonnes pratiques acceptées dans l'industrie. Envisager l'adoption formelle d'une démarche d'amélioration continue de la surveillance du contrôle interne. |
| 7 | Evaluer l'état des contrôles internes des fournisseurs de services externes et confirmer que les fournisseurs de services respectent les exigences légales et réglementaires ainsi que les obligations contractuelles. |
| Code | Pratique de gouvernance |
|---|---|
| MEA02.02 | Examiner l'efficacité des contrôles des processus métiers |
| Examiner le fonctionnement des contrôles, incluant un examen des preuves de la surveillance et des tests, afin de s'assurer que les contrôles au sein des processus métiers fonctionnent efficacement. Inclure les activités destinées à maintenir la preuve du fonctionnement efficace des contrôles par le biais de mécanismes comme des tests périodiques des contrôles, la surveillance continue des contrôles, les évaluations indépendantes, les centres de commandement et de contrôle, ainsi que les centres d'opération de réseau. Cela fournit à l'entreprise l'assurance de l'efficacité des contrôles pour répondre aux exigences liées aux responsabilités métiers, réglementaires et sociales |
| Entrées | Sorties | ||
|---|---|---|---|
| Description | Venant de | Description | Vers |
| Résultats d’audit de conformité | BAI05.06 | Preuve de l’efficacité des contrôles | interne |
| Revues de l'usage opérationnelle | BAI05.07 |
| Activités | |
|---|---|
| 1 | Comprendre et prioriser les risques en fonction des objectifs organisationnels. |
| 2 | Identifier les contrôles clés et élaborer une stratégie appropriée pour valider les contrôles. |
| 3 | Identifier l'information qui indiquera de façon convaincante si l'environnement de contrôle interne fonctionne efficacement. |
| 4 | Elaborer et mettre en oeuvre des procédures économiquement rentables pour déterminer si l'information convaincante se base sur des critères d'information. |
| 5 | Conserver des preuves de l'efficacité des contrôles. |
| Code | Pratique de gouvernance |
|---|---|
| MEA02.03 | Effectuer des autoévaluations des contrôles |
| Encourager la direction et les propriétaires de processus à s'approprier l'amélioration des contrôles par le biais d'un programme continu d'autoévaluation destiné à évaluer l'exhaustivité et l'efficacité du contrôle de la direction sur les processus, les politiques et les contrats |
| Entrées | Sorties | ||
|---|---|---|---|
| Description | Venant de | Description | Vers |
| Plan et critères d'auto-évaluation | APO / BAI / DSS / MEA | ||
| Résultats des autoévaluations | interne | ||
| Résultats de revues d'auto-évaluation | EDM01.03 / APO / BAI / DSS / MEA |
| Activités | |
|---|---|
| 1 | Maintenir les plans et le périmètre, et déterminer les critères d'évaluation pour la réalisation des autoévaluations. Planifier la communication des résultats du processus d'autoévaluation aux unités métiers, à l'informatique, à la direction générale et au conseil d'administration. Tenir compte des normes d'audit interne dans la conception de l'autoévaluation. |
| 2 | Déterminer la fréquence des autoévaluations en tenant compte de l'efficacité et de l’efficience de la pilotage continue. |
| 3 | Attribuer la responsabilité de l'autoévaluation aux personnes appropriées afin d'assurer l'objectivité et la compétence. |
| 4 | Prévoir des revues indépendantes pour garantir l'objectivité de l'autoévaluation et permettre le partage des bonnes pratiques de contrôle interne provenant d'autres entreprises. |
| 5 | Comparer les résultats des autoévaluations aux normes et aux bonnes pratiques de l'industrie. |
| 6 | Résumer et rapporter les résultats de l'autoévaluation et effectuer une analyse comparative des mesures correctives. |
| 7 | Convenir d'une approche cohérente pour réaliser les autoévaluations de contrôle et pour permettre la coordination avec les auditeurs internes et externes. |
| Code | Pratique de gouvernance |
|---|---|
| MEA02.04 | Identifier et signaler les déficiences des contrôles |
| Identifier les déficiences des contrôles, et analyser et identifier leurs causes fondamentales. Utiliser le recours à la hiérarchie pour les déficiences des contrôles et faire rapport aux parties prenantes |
| Entrées | Sorties | ||
|---|---|---|---|
| Description | Venant de | Description | Vers |
| Causes premières des défauts de qualité | APO11.05 | Défaillances de contrôle | APO / BAI / DSS / MEA |
| Référentiel des causes originelles et gestion des risques associés | APO12.06 | Actions correctives | APO / BAI / DSS / MEA |
| Analyses des causes premières et recommandations | DSS06.01 | ||
| Preuve de correction d'erreurs et de résolution | DSS06.04 |
| Activités | |
|---|---|
| 1 | Identifier, signaler et enregistrer les exceptions de contrôle, et assigner la responsabilité de les résoudre et de faire état de la situation. |
| 2 | Prendre en compte le risque "entreprise" afin d'établir des seuils associés à l'escalade hiérarchique en cas d'exceptions de contrôle et de pannes. |
| 3 | Communiquer les procédures d'escalade hiérarchique pour les exceptions de contrôle, l'analyse des causes premières et la communication aux propriétaires de processus et aux parties prenantes informatiques. |
| 4 | Décider des exceptions de contrôle qui doivent être communiquées à la personne responsable de la fonction et des exceptions qui doivent faire l'objet d'une escalade hiérarchique. Informer les propriétaires de processus et les parties prenantes concernés. |
| 5 | Effectuer le suivi de toutes les exceptions afin d'assurer que les actions convenues ont été réalisées. |
| 6 | Identifier, initier, faire le suivi et mettre en oeuvre des mesures correctives découlant des évaluations des contrôles et du reporting. |
| Code | Pratique de gouvernance |
|---|---|
| MEA02.05 | Veiller à ce que les fournisseurs d’assurance soient indépendants et qualifiés |
| Veiller à ce que les entités exerçant l’assurance soient indépendantes de la fonction, des groupes ou des organisations sur le périmètre. Les entités exerçant l’assurance doivent démontrer une attitude et une apparence appropriées, ainsi qu'une compétence dans les aptitudes et les connaissances nécessaires pour effectuer l’assurance. En outre, elles doivent adhérer aux codes de déontologie et aux normes professionnelles |
| Entrées | Sorties | ||
|---|---|---|---|
| Description | Venant de | Description | Vers |
| Résultats des évaluations des fournisseurs d’assurance | interne |
| Activités | |
|---|---|
| 1 | Établir l’adhésion aux codes d'éthique et aux normes en vigueur (par exemple : le code de déontologie de l'ISACA) et des normes d'audit (spécifiques à l'industrie et à l'emplacement géographique), par exemple les normes d’assurance et d’audit informatique de l’ISACA et le référentiel international pour l'engagement en matière d'audits (référentiel d'audit de l'IAASB) du Conseil des normes internationales d’audit et d’assurance (IAASB). |
| 2 | Établir l'indépendance des fournisseurs d’assurance. |
| 3 | Établir les compétences et la qualification des fournisseurs d’assurance. |
| Code | Pratique de gouvernance |
|---|---|
| MEA02.06 | Planifier des initiatives d’assurance |
| Planifier des initiatives d’assurance en fonction des objectifs d'entreprise et des priorités stratégiques, des risques inhérents, des contraintes en matière de ressources et des connaissances suffisantes de l'entreprise |
| Entrées | Sorties | ||
|---|---|---|---|
| Description | Venant de | Description | Vers |
| Plans d'audit du programme | BAI01.05 | Evaluations globales | interne |
| Plans d'assurance indépendants | DSS01.02 | Plans d'assurance | EDM01.03 / APO / BAI / DSS / MEA |
| Critères d'évaluation | interne |
| Activités | |
|---|---|
| 1 | Déterminer les destinataires des résultats de l'initiative d’assurance et le but de la revue. |
| 2 | Effectuer une évaluation globale des risques et/ou une évaluation de la capacité du processus afin de diagnostiquer les risques et d'identifier les processus informatiques critiques. |
| 3 | Sélectionner et personnaliser les objectifs de contrôle pour les processus critiques qui serviront de base pour l'évaluation complète des contrôles et parvenir à un accord sur ces objectifs. |
| Code | Pratique de gouvernance |
|---|---|
| MEA02.07 | Déterminer le périmètre des initiatives d’assurance |
| Définir et s'entendre avec la direction sur le périmètre de l'initiative d’assurance en fonction des objectifs d’assurance |
| Entrées | Sorties | ||
|---|---|---|---|
| Description | Venant de | Description | Vers |
| Causes premières des défauts de qualité | APO11.05 | Périmètre de revue d’assurance | interne |
| Référentiel des causes originelles et gestion des risques associés | APO12.06 | Plan d'engagement | interne |
| Analyses des causes premières et recommandations | DSS06.01 | Pratiques de revue d’assurance | interne |
| Rapports de non conformités et causes premières | MEA03.04 |
| Activités | |
|---|---|
| 1 | Définir le périmètre réelle en identifiant les objectifs métiers et informatiques pour l'environnement à l'étude, l'ensemble des processus et des ressources informatiques ainsi que toutes les entités de vérification pertinentes au sein de l'entreprise et hors de l'entreprise (par exemple : les fournisseurs de services), le cas échéant. |
| 2 | Définir le plan d'engagement et les ressources nécessaires. |
| 3 | Définir les pratiques de collecte et d'évaluation de l'information des processus à l'étude dans le but d'identifier les contrôles qui doivent être validés ainsi que les constatations actuelles (tant les constats positifs que les écarts) pour l'évaluation des risques. |
| 4 | Définir les pratiques de validation de la conception des contrôles et des résultats, et déterminer si le degré d'efficacité soutient un risque acceptable (requis par l'évaluation des risques organisationnels ou des processus). |
| 5 | Lorsque l'efficacité des contrôles n'est pas acceptable, définir des pratiques pour identifier les risques résiduels (à des fins de reporting). |
| Code | Pratique de gouvernance |
|---|---|
| MEA02.08 | Mettre en oeuvre les initiatives d’assurance |
| Exécuter l'initiative d’assurance prévue. Rapporter les constats identifiés. Fournir des avis d’assurance positifs, le cas échéant, et des recommandations d'amélioration de la performance opérationnelle identifiée, de la conformité externe et des risques résiduels du système de contrôle interne |
| Entrées | Sorties | ||
|---|---|---|---|
| Description | Venant de | Description | Vers |
| Causes premières des défauts de qualité | APO11.05 | Périmètre affiné | APO / BAI / DSS / MEA |
| Rapports d’analyse des risques et du profil de risque destinés aux parties prenantes | APO12.04 | Résultats de revue d'assurance | EDM05.01 / EDM05.03 / APO / BAI / DSS / MEA |
| Référentiel des causes originelles et gestion des risques associés | APO12.06 | Rapport de revue d'assurance | EDM05.03 / APO / BAI / DSS / MEA |
| Résultats des tests d’intrusion | DSS05.02 | ||
| Analyses des causes premières et recommandations | DSS06.01 | ||
| Écarts identifiés en matière de conformité | MEA03.03 |
| Activités | |
|---|---|
| 1 | Affiner la compréhension de l’assurance informatiqure. |
| 2 | Affiner le périmètre des objectifs de contrôle clés pour l’assurance informatique. |
| 3 | Tester l'efficacité de la conception du contrôle des objectifs de contrôle clés. |
| 4 | Réaliser des tests alternatifs ou supplémentaires sur les résultats des objectifs de contrôle clés. |
| 5 | Documenter l'impact des faiblesses de contrôle. |
| 6 | Communiquer avec la direction lors de l'exécution de l'initiative pour qu'il y ait une compréhension claire du travail effectué et un accord et une acceptation des constats et des recommandations préliminaires. |
| 7 | Superviser les activités d’assurance et s'assurer que le travail est complet, qu'il atteint les objectifs et qu'il est d'une qualité acceptable. |
| 8 | Fournir à la direction un rapport qui appuie les résultats de l'initiative et facilite l’adoption d’orientations claires à propos des questions clés et des actions importantes. |