MEA02Piloter et évaluer le système de contrôle interne

Description

Contrôler et évaluer en continu l'environnement de contrôle. Ceci inclut l'auto-évaluation et les revues indépendantes. Permettre au management d'identifier les défauts et inefficacités de contrôle et d'initier des actions d'amélioration. Planifier, organiser et maintenir les normes d'évaluation du contrôle interne et les activités de garantie.

But

Garantir la transparence du système de contrôle interne pour les parties prenantes clés, assurant ainsi la confiance quant à sa pertinence et dans les opérations et la réalisation des objectifs de l'entreprise, et une compréhension adéquate du risque résiduel.

Objectifs IT principaux

Objectifs IT Métriques associées
Garantir la conformité et le soutien de l'informatique au respect de la réglementation externe à l'entreprise
  • Coût des non-conformité informatiques, incluant les compensations amiables, pénalités et pertes en terme d'image
  • Nombre de cas de non-conformité informatique rapportées au conseil d'administration ou ayant occasionné des critiques ou débats publiques
  • Nombre de cas de non-conformité en rapport avec des accords contractuels avec des fournisseurs de services informatiques
  • Couverture des évaluations de conformité
Gérer les risques financiers relatifs à l'informatique
  • Pourcentage de processus métiers, services informatiques et programmes métiers permis grâce à l'informatique qui sont couverts par l'évaluation des risques
  • Nombre d'incidents significatifs relatifs à l'informatique qui n'étaient pas identifiés dans l'évaluation des risques
  • Pourcentage d'évaluation de risques entreprise qui incluent les risques informatiques
  • Fréquence de mise à jour du recensement des risques
  • Nombre d'interruptions de service métiers dues à un incident informatique
Assurer la conformité de l'informatique aux politiques internes
  • Nombre d'incidents lié à une non-conformité à une politique
  • Pourcentage de parties prenantes comprenant les politiques
  • Pourcentage de politiques supportées par des pratiques et des normes appliquées
  • Fréquence des revues et mises à jour des politiques

Objectifs du processus

Objectifs du processus Métriques associées
Les processus, les ressources et l'information répondent aux exigences du système de contrôle interne de l'entreprise.
  • Pourcentage de processus dont les résultats garantis atteignent les cibles en fonction des tolérances
  • Pourcentage des processus garantis conformes aux cibles des contrôles internes
Toutes les initiatives d’assurance sont planifiées et exécutées de façon efficace.
  • Pourcentage des initiatives d’assurance conformes au programme d’assurance approuvé et aux normes établies
Assurance indépendante que le système de contrôle interne fourni est opérationnel et efficace.
  • Pourcentage des processus qui font l'objet d'un examen indépendant
Le contrôle interne est mis en place et les faiblesses sont identifiées et rapportées.
  • Nombre de faiblesses identifiées par des rapports externes de qualification et de certification
  • Nombre de défaillances majeures du contrôle interne
  • délai entre le moment où survient la défaillances du contrôle interne et la communication de celle-ci

RACI

MEA02.01 MEA02.02 MEA02.03 MEA02.04 MEA02.05 MEA02.06 MEA02.07 MEA02.08
Conseil d'administration I I I I I I I I
Président Directeur Général I I I I I I I I
Directeur Financier C C C C C C C C
Directeur Opérationnel R R R R R R R R
Directeurs Métiers C C C C C C C C
Propriétaires de Processus Métiers R R R R R R R R
Comité Stratégie I I I I I I I I
Comité de Pilotage (programmes/projets)
Coordinateur Projets (PMO) C C C C C C C C
gestion de la valeur
Risk Manager (RM) I I I I I I I I
Directeur de la Sécurité des SI (DSSI) I I I I I I I I
Urbanisme
Comité risque de l'entreprise
Direction des Ressources Humaines (DRH)
Conformité C C C C C C C C
Audit A A A A A A A A
Directeur du SI (DSI) R R R R R R R R
Responsable Architecture C C C C C C C C
Responsable développement C C C C C C C C
Responsable production informatique C C C C C C C C
Responsable de l'administration informatique C C C C C C C C
Gestionnaire de service C C C C C C C C
Gestionnaire de la sécurité de l'information C C C C C C C C
Gestionnaire de la continuité C C C C C C C C
Directeur de la propriété C C C C C C C C

Pratiques, données d'entrée et de sortie, activités

Code Pratique de gouvernance
MEA02.01 Piloter les contrôles internes
Piloter de manière continue les environnements de contrôle de l'informatique et le cadre de contrôle, en faire l’analyse comparative et les améliorer pour atteindre les objectifs organisationnels

Entrées Sorties
Description Venant de Description Vers
Résultat de l’examen des évaluations des risques liés aux tiersAPO12.04Résultats du pilotage et des revues de contrôle interneEDM01.03 / APO / BAI / DSS / MEA
Rapports d’audit du Système de Management de la sécurité de l'Information (SMSI)APO13.03Résultat de benchmark et autres évaluationsEDM01.03 / APO / BAI / DSS / MEA
Normes et bonnes pratiques de l'industrieHors CobIT

Activités
1 Réaliser des activités de pilotage et d'évaluation des contrôles internes en fonction des normes de gouvernance organisationnelle et des référentiels de pratiques reconnus par l'industrie. Inclure le suivi et l'évaluation de l’efficience et de l'efficacité des revues faites par le personnel chargé des contrôles.
2 Envisager l'évaluation indépendante du système de contrôle interne (par exemple : par des audits internes ou par les pairs).
3 Identifier les limites du système de contrôle interne informatique (par exemple : examiner comment les contrôles internes informatiques de l'organisation prennent en compte les activités de développement ou de production externes ou à l'étranger).
4 S'assurer que les activités de contrôle sont en place et que les exceptions sont signalées rapidement, qu'on en fait le suivi et l'analyse, et que les mesures correctives appropriées sont priorisées et mises en oeuvre selon le profil de gestion du risque (par exemple : classer certaines exceptions en tant que risques majeurs et d'autres en tant que risques mineurs).
5 Maintenir le système de contrôle interne informatique, en tenant compte des changements en cours dans les risques métiers et informatiques, de l'environnement de contrôle de l'organisation, des processus métiers et informatiques pertinents et des risques liés à l'informatique. En cas d’écarts, les évaluer et recommander des changements.
6 Evaluer régulièrement la performance du cadre de contrôle informatique en effectuant une analyse comparative par rapport aux normes et bonnes pratiques acceptées dans l'industrie. Envisager l'adoption formelle d'une démarche d'amélioration continue de la surveillance du contrôle interne.
7 Evaluer l'état des contrôles internes des fournisseurs de services externes et confirmer que les fournisseurs de services respectent les exigences légales et réglementaires ainsi que les obligations contractuelles.
Code Pratique de gouvernance
MEA02.02 Examiner l'efficacité des contrôles des processus métiers
Examiner le fonctionnement des contrôles, incluant un examen des preuves de la surveillance et des tests, afin de s'assurer que les contrôles au sein des processus métiers fonctionnent efficacement. Inclure les activités destinées à maintenir la preuve du fonctionnement efficace des contrôles par le biais de mécanismes comme des tests périodiques des contrôles, la surveillance continue des contrôles, les évaluations indépendantes, les centres de commandement et de contrôle, ainsi que les centres d'opération de réseau. Cela fournit à l'entreprise l'assurance de l'efficacité des contrôles pour répondre aux exigences liées aux responsabilités métiers, réglementaires et sociales

Entrées Sorties
Description Venant de Description Vers
Résultats d’audit de conformitéBAI05.06Preuve de l’efficacité des contrôlesinterne
Revues de l'usage opérationnelleBAI05.07

Activités
1 Comprendre et prioriser les risques en fonction des objectifs organisationnels.
2 Identifier les contrôles clés et élaborer une stratégie appropriée pour valider les contrôles.
3 Identifier l'information qui indiquera de façon convaincante si l'environnement de contrôle interne fonctionne efficacement.
4 Elaborer et mettre en oeuvre des procédures économiquement rentables pour déterminer si l'information convaincante se base sur des critères d'information.
5 Conserver des preuves de l'efficacité des contrôles.
Code Pratique de gouvernance
MEA02.03 Effectuer des autoévaluations des contrôles
Encourager la direction et les propriétaires de processus à s'approprier l'amélioration des contrôles par le biais d'un programme continu d'autoévaluation destiné à évaluer l'exhaustivité et l'efficacité du contrôle de la direction sur les processus, les politiques et les contrats

Entrées Sorties
Description Venant de Description Vers
Plan et critères d'auto-évaluationAPO / BAI / DSS / MEA
Résultats des autoévaluationsinterne
Résultats de revues d'auto-évaluationEDM01.03 / APO / BAI / DSS / MEA

Activités
1 Maintenir les plans et le périmètre, et déterminer les critères d'évaluation pour la réalisation des autoévaluations. Planifier la communication des résultats du processus d'autoévaluation aux unités métiers, à l'informatique, à la direction générale et au conseil d'administration. Tenir compte des normes d'audit interne dans la conception de l'autoévaluation.
2 Déterminer la fréquence des autoévaluations en tenant compte de l'efficacité et de l’efficience de la pilotage continue.
3 Attribuer la responsabilité de l'autoévaluation aux personnes appropriées afin d'assurer l'objectivité et la compétence.
4 Prévoir des revues indépendantes pour garantir l'objectivité de l'autoévaluation et permettre le partage des bonnes pratiques de contrôle interne provenant d'autres entreprises.
5 Comparer les résultats des autoévaluations aux normes et aux bonnes pratiques de l'industrie.
6 Résumer et rapporter les résultats de l'autoévaluation et effectuer une analyse comparative des mesures correctives.
7 Convenir d'une approche cohérente pour réaliser les autoévaluations de contrôle et pour permettre la coordination avec les auditeurs internes et externes.
Code Pratique de gouvernance
MEA02.04 Identifier et signaler les déficiences des contrôles
Identifier les déficiences des contrôles, et analyser et identifier leurs causes fondamentales. Utiliser le recours à la hiérarchie pour les déficiences des contrôles et faire rapport aux parties prenantes

Entrées Sorties
Description Venant de Description Vers
Causes premières des défauts de qualitéAPO11.05Défaillances de contrôleAPO / BAI / DSS / MEA
Référentiel des causes originelles et gestion des risques associésAPO12.06Actions correctivesAPO / BAI / DSS / MEA
Analyses des causes premières et recommandationsDSS06.01
Preuve de correction d'erreurs et de résolutionDSS06.04

Activités
1 Identifier, signaler et enregistrer les exceptions de contrôle, et assigner la responsabilité de les résoudre et de faire état de la situation.
2 Prendre en compte le risque "entreprise" afin d'établir des seuils associés à l'escalade hiérarchique en cas d'exceptions de contrôle et de pannes.
3 Communiquer les procédures d'escalade hiérarchique pour les exceptions de contrôle, l'analyse des causes premières et la communication aux propriétaires de processus et aux parties prenantes informatiques.
4 Décider des exceptions de contrôle qui doivent être communiquées à la personne responsable de la fonction et des exceptions qui doivent faire l'objet d'une escalade hiérarchique. Informer les propriétaires de processus et les parties prenantes concernés.
5 Effectuer le suivi de toutes les exceptions afin d'assurer que les actions convenues ont été réalisées.
6 Identifier, initier, faire le suivi et mettre en oeuvre des mesures correctives découlant des évaluations des contrôles et du reporting.
Code Pratique de gouvernance
MEA02.05 Veiller à ce que les fournisseurs d’assurance soient indépendants et qualifiés
Veiller à ce que les entités exerçant l’assurance soient indépendantes de la fonction, des groupes ou des organisations sur le périmètre. Les entités exerçant l’assurance doivent démontrer une attitude et une apparence appropriées, ainsi qu'une compétence dans les aptitudes et les connaissances nécessaires pour effectuer l’assurance. En outre, elles doivent adhérer aux codes de déontologie et aux normes professionnelles

Entrées Sorties
Description Venant de Description Vers
Résultats des évaluations des fournisseurs d’assuranceinterne

Activités
1 Établir l’adhésion aux codes d'éthique et aux normes en vigueur (par exemple : le code de déontologie de l'ISACA) et des normes d'audit (spécifiques à l'industrie et à l'emplacement géographique), par exemple les normes d’assurance et d’audit informatique de l’ISACA et le référentiel international pour l'engagement en matière d'audits (référentiel d'audit de l'IAASB) du Conseil des normes internationales d’audit et d’assurance (IAASB).
2 Établir l'indépendance des fournisseurs d’assurance.
3 Établir les compétences et la qualification des fournisseurs d’assurance.
Code Pratique de gouvernance
MEA02.06 Planifier des initiatives d’assurance
Planifier des initiatives d’assurance en fonction des objectifs d'entreprise et des priorités stratégiques, des risques inhérents, des contraintes en matière de ressources et des connaissances suffisantes de l'entreprise

Entrées Sorties
Description Venant de Description Vers
Plans d'audit du programmeBAI01.05Evaluations globalesinterne
Plans d'assurance indépendantsDSS01.02Plans d'assuranceEDM01.03 / APO / BAI / DSS / MEA
Critères d'évaluationinterne

Activités
1 Déterminer les destinataires des résultats de l'initiative d’assurance et le but de la revue.
2 Effectuer une évaluation globale des risques et/ou une évaluation de la capacité du processus afin de diagnostiquer les risques et d'identifier les processus informatiques critiques.
3 Sélectionner et personnaliser les objectifs de contrôle pour les processus critiques qui serviront de base pour l'évaluation complète des contrôles et parvenir à un accord sur ces objectifs.
Code Pratique de gouvernance
MEA02.07 Déterminer le périmètre des initiatives d’assurance
Définir et s'entendre avec la direction sur le périmètre de l'initiative d’assurance en fonction des objectifs d’assurance

Entrées Sorties
Description Venant de Description Vers
Causes premières des défauts de qualitéAPO11.05Périmètre de revue d’assuranceinterne
Référentiel des causes originelles et gestion des risques associésAPO12.06Plan d'engagementinterne
Analyses des causes premières et recommandationsDSS06.01Pratiques de revue d’assuranceinterne
Rapports de non conformités et causes premièresMEA03.04

Activités
1 Définir le périmètre réelle en identifiant les objectifs métiers et informatiques pour l'environnement à l'étude, l'ensemble des processus et des ressources informatiques ainsi que toutes les entités de vérification pertinentes au sein de l'entreprise et hors de l'entreprise (par exemple : les fournisseurs de services), le cas échéant.
2 Définir le plan d'engagement et les ressources nécessaires.
3 Définir les pratiques de collecte et d'évaluation de l'information des processus à l'étude dans le but d'identifier les contrôles qui doivent être validés ainsi que les constatations actuelles (tant les constats positifs que les écarts) pour l'évaluation des risques.
4 Définir les pratiques de validation de la conception des contrôles et des résultats, et déterminer si le degré d'efficacité soutient un risque acceptable (requis par l'évaluation des risques organisationnels ou des processus).
5 Lorsque l'efficacité des contrôles n'est pas acceptable, définir des pratiques pour identifier les risques résiduels (à des fins de reporting).
Code Pratique de gouvernance
MEA02.08 Mettre en oeuvre les initiatives d’assurance
Exécuter l'initiative d’assurance prévue. Rapporter les constats identifiés. Fournir des avis d’assurance positifs, le cas échéant, et des recommandations d'amélioration de la performance opérationnelle identifiée, de la conformité externe et des risques résiduels du système de contrôle interne

Entrées Sorties
Description Venant de Description Vers
Causes premières des défauts de qualitéAPO11.05Périmètre affinéAPO / BAI / DSS / MEA
Rapports d’analyse des risques et du profil de risque destinés aux parties prenantesAPO12.04Résultats de revue d'assuranceEDM05.01 / EDM05.03 / APO / BAI / DSS / MEA
Référentiel des causes originelles et gestion des risques associésAPO12.06Rapport de revue d'assuranceEDM05.03 / APO / BAI / DSS / MEA
Résultats des tests d’intrusionDSS05.02
Analyses des causes premières et recommandationsDSS06.01
Écarts identifiés en matière de conformitéMEA03.03

Activités
1 Affiner la compréhension de l’assurance informatiqure.
2 Affiner le périmètre des objectifs de contrôle clés pour l’assurance informatique.
3 Tester l'efficacité de la conception du contrôle des objectifs de contrôle clés.
4 Réaliser des tests alternatifs ou supplémentaires sur les résultats des objectifs de contrôle clés.
5 Documenter l'impact des faiblesses de contrôle.
6 Communiquer avec la direction lors de l'exécution de l'initiative pour qu'il y ait une compréhension claire du travail effectué et un accord et une acceptation des constats et des recommandations préliminaires.
7 Superviser les activités d’assurance et s'assurer que le travail est complet, qu'il atteint les objectifs et qu'il est d'une qualité acceptable.
8 Fournir à la direction un rapport qui appuie les résultats de l'initiative et facilite l’adoption d’orientations claires à propos des questions clés et des actions importantes.
^