Guide D - Audit Des SI - VF

GUIDE DAUDIT
DES SYSTMES dINFORMATION
Utilisation de COBIT
Limportance de la gouvernance et de l'audit des SI
Le cadre de rfrence COBIT
Les dmarches d'audit des SI
COBIT soutient les activits d'audit des SI

GUIDE DAUDIT DES SI : UTILISATION DE COBIT
L'IT Governance Institute

L'IT Governance Institute (ITGITM) (www.itgi.org) a t cr en 1998 pour promouvoir une philosophie et des normes internationales en
matire de gestion et de contrle des technologies de l'information des entreprises. Une gouvernance efficace des SI doit permettre de
s'assurer que ceux-ci favorisent la ralisation des objectifs mtiers, qu'ils permettent d'optimiser les investissements informatiques et de grer
comme il convient les risques et les opportunits lis l'informatique. L'ITGI met la disposition des dirigeants d'entreprises et des conseils
d'administration des travaux de recherche originaux, des ressources en ligne et des tudes de cas pour les aider faire face leurs
responsabilits en matire de gouvernance des SI.
Avertissement
L'ITGI (le Propritaire ) a conu et rdig ce document, intitul Guide d'audit des Systmes d'Information : Utilisation de COBIT
(l' uvre ), essentiellement comme une ressource pdagogique destine aux professionnels de l'audit. Le Propritaire ne garantit pas que
l'utilisation d'une partie quelconque de l'uvre produira de faon certaine un rsultat positif. On ne doit pas considrer a priori que l'uvre
contient toutes les informations, les procdures et les tests ncessaires, ni qu'elle exclut le recours d'autres informations, procdures ou tests
qui visent raisonnablement produire des rsultats semblables. Pour dterminer si une information, une procdure ou un test spcifique est
appropri, les responsables des SI, les directions gnrales, les directions informatiques et les professionnels du contrle doivent appliquer
leur propre jugement aux circonstances particulires qui se prsentent dans leurs environnements informationnels et technologiques
spcifiques.
Droits de proprit
Diffusion et Copyright 2007 IT Governance Institute. Tous droits rservs. Il est interdit d'utiliser, copier, reproduire, modifier, diffuser,
prsenter, archiver ou transmettre par quelque moyen que ce soit (lectronique, mcanique, photocopie, enregistrement ou autre) une partie
quelconque de cette publication, sans l'autorisation crite pralable de l'ITGI. La reproduction de passages de cette publication, pour un usage
interne et non commercial exclusivement ou dans un but pdagogique, est autorise sous rserve que la source soit mentionne avec
prcision. Aucun autre droit et aucune autre autorisation ne sont accords pour cette uvre.
.
IT Governance Institute AFAI
3701 Algonquin Road, Suite 1010 Association Franaise de l'Audit et du Conseil Informatiques
Rolling Meadows, IL 60008 tats-Unis 171 bis, avenue Charles de Gaulle
Tl :+1.847.590.7491 92200 NEUILLY sur SEINE (France)
Fax :+1.847.253.1443 Tl. 33 (0)1 40 88 10 44
E-mail: info@itgi.org E-Mail : afai@afai.fr
Sites Internet : www.itgi.org Site Internet : www.afai.fr
2008 AFAI. Tous droits rservs. www.afai.fr

Translated into French language from the English language version of IT Assurance Guide using COBIT by AFAI the French Chapter of
the Information Systems Audit and Control Association (ISACA) with the permission of the IT Governance Institute and the Information
Systems Audit and Control Foundation. AFAI assumes sole responsibility for the accuracy and faithfulness of the translation.
Traduction franaise du Guide d'Audit des Systmes d'Information : utilisation de COBIT ralise par l'AFAI, chapitre franais de
l'Information Systems Audit and Control Association (ISACA), avec l'autorisation de l'IT Governance Institute et de la Information Systems
Audit and Control Foundation. L'AFAI est seule responsable de l'exactitude et de la fidlit de la traduction.
Copyright 2007 IT Governance Institute, Rolling Meadows, Illinois, USA. All rights reserved. No part of this publication may be reproduced
in any form without the written permission of the IT Governance Institute.
Copyright 2007 IT Governance Institute, Rolling Meadows, Illinois, USA. Tous droits rservs. Reproduction mme partielle interdite sans
l'autorisation crite de l'IT Governance Institute.
Copyright 2008 AFAI. Tous droits rservs. Reproduction mme partielle interdite sans l'autorisation crite du Conseil
d'Administration de l'AFAI.
REMERCIEMENTS
La version franaise du Guide d'Audit des Systmes d'Information : Utilisation de COBIT est l'uvre de la Commission
COBIT de l'AFAI prside par Jean-Louis BLEICHER, Administrateur de l'AFAI, Banque Fdrale des Banques
Populaires.
Ont galement particip la version franaise Stphane GARIAZZO pour la traduction et Marie-Laure SIMON pour
la mise en forme.

PAGE BLANCHE

REMERCIEMENTS
R EMERCIEMENTS
LIT Governance Institute tient remercier :
Les chefs de projets et prescripteurs
Roger S. Debreceny, Ph.D., FCPA, University of Hawaii, USA
Erik Guldentops, CISA, CISM, University of Antwerp Management School, Belgium
Les participants aux sminaires et les rviseurs experts

Mark Adler, CISA, CISM, CIA, CISSP, Allstate Insurance Co., USA
Peter Andrews, CISA, CITP, MCMI, PJA Consulting, UK
Georges Ataya, CISA, CISM, CISSP, MSCS, PBA, Solvay Business School, Belgium
Gary Austin, CISA, CIA, CISSP, CGFM, KPMG LLP, USA
Gary S. Baker, CA, Deloitte & Touche, Canada
David H. Barnett, CISM, CISSP, Applera Corp., USA
Christine Bellino, CPA, CITP, Jefferson Wells, USA
John W. Beveridge, CISA, CISM, CFE, CGFM, CQA, Massachusetts Office of the State Auditor, USA
Alan Boardman, CISA, CISM, CA, CISSP, Fox IT, UK
David Bonewell, CISA, CISSP-ISSEP, Accomac Consulting LLC, USA
Dirk Bruyndonckx, CISA, CISM, KPMG Advisory, Belgium
Don Caniglia, CISA, CISM, USA
Luis A. Capua, CISM, Sindicatura General de la Nacin, Argentina
Boyd Carter, PMP, Elegantsolutions.ca, Canada
Sean V. Casey, CISA, CPA, Ernst & Young LLP, USA
Sushil Chatterji, Edutech, Singapore
Ed Chavennes, CISA, Ernst & Young LLP, USA
Christina Cheng, CISA, CISSP, SSCP, Deloitte & Touche LLP, USA
Dharmesh Choksey, CISA, CPA, CISSP, PMP, KPMG LLP, USA
Jeffrey D. Custer, CISA, CPA, CIA, Ernst & Young LLP, USA
Beverly G. Davis, CISA, Federal Home Loan Bank of San Francisco, USA
Peter De Bruyne, CISA, Banksys, Belgium
Steven De Haes, University of Antwerp Management School, Belgium
Philip De Picker, CISA, MCA, National Bank of Belgium, Belgium
Kimberly de Vries, CISA, PMP, Zurich Financial Services, USA
Roger S. Debreceny, Ph.D., FCPA, University of Hawaii, USA
Zama Dlamini, Deloitte & Touche, South Africa
Troy DuMoulin, Pink Elephant, Canada
Bill A. Durrand, CISA, CISM, CA, Ernst & Young LLP, Canada
Justus Ekeigwe, CISA, MBCS, Deloitte & Touche LLP, USA
Rafael Fabius, CISA, Repblica AFAP SA, Uruguay
Urs Fischer, CISA, CIA, CPA (Swiss), Swiss Life, Switzerland
Christopher Fox, ACA, USA
Bob Frelinger, CISA, Sun Microsystems Inc., USA
Zhiwei Fu, Ph. D, Fannie Mae, USA
Monique Garsoux, Dexia Bank, Belgium
Edson Gin, CISA, CFE, SSCP, USA
Sauvik Ghosh, CISA, CIA, CISSP, CPA, Ernst & Young LLP, USA
Guy Groner, CISA, CIA, CISSP, USA
Gary Hardy, IT Winners, South Africa
Benjamin K. Hsaio, CISA, Federal Deposit Insurance Corp., USA
Tom Hughes, Acumen Alliance, Australia
Monica Jain, CSQA, Covansys Corp., US
Avinash W. Kadam, CISA, CISM, CBCP, CISSP, MIEL e-Security Pvt. Ltd., India
John A. Kay, CISA, USA
Lisa Kinyon, CISA, Countrywide, USA
Rodney Kocot, Systems Control and Security Inc., USA
Luc Kordel, CISA, CISM, CISSP, CIA, RE, RFA, Dexia Bank, Belgium
Linda Kostic, CISA, CPA, USA
John W. Lainhart IV, CISA, CISM, IBM, USA
2008 AFAI. Tous droits rservs. www.afai.fr 3

Lynn Lawton, CISA, BA, FCA, FIIA, PII, KPMG LLP, UK

Philip Le Grand, Capita Education Services, UK
Elsa K. Lee, CISA, CISM, CSQA, AdvanSoft International Inc., USA
Kenny K. Lee, CISA, CISSP, Countrywide SMART Governance, USA
Debbie Lew, CISA, Ernst & Young LLP, USA
Donald Lorete, CPA, Deloitte & Touche LLP, USA
Addie C.P. Lui, MCSA, MCSE, First Hawaiian Bank, USA
Charles Mansour, CISA, Charles Mansour Audit & Risk Service, UK
Mario Micallef, CPAA, FIA, National Australia Bank Group, Australia
Niels Thor Mikkelsen, CISA, CIA, Danske Bank, Denmark
John Mitchell, CISA, CFE, CITP, FBCS, FIIA, MIIA, QiCA, LHS Business Control, UK
Anita Montgomery, CISA, CIA, Countrywide, USA
Karl Muise, CISA, City National Bank, USA
Jay S. Munnelly, CISA, CIA, CGFM, Federal Deposit Insurance Corp., USA
Orillo Narduzzo, CISA, CISM, Banca Popolare di Vicenza, Italy
Sang Nguyen, CISA, CISSP, MCSE, Nova Southeastern University, USA
Anthony Noble, CISA, CCP, Viacom Inc., USA
Ed O'Donnell, Ph.D., CPA, University of Kansas, USA
Sue Owen, Department of Veterans Affairs, Australia
Robert G. Parker, CISA, CMC, FCA, Robert G. Parker Consulting, Canada
Bart Peeters, PricewaterhouseCoopers LLP, Belgium
Thomas Phelps IV, CISA, PricewaterhouseCoopers LLP, USA
Vitor Prisca, CISM, Novabase, Portugal
Claus Rosenquist, CISA, TrygVesata, Denmark
Jaco Sadie, Sasol, South Africa
Max Shanahan, CISA, FCPA, Max Shanahan & Associates, Australia
Craig W. Silverthorne, CISA, CISM, CPA, IBM Business Consulting Services, USA
Chad Smith, Great-West Life, Canada
Gustavo A. Solis, CISA, CISM, Grupo Cynthus, Mexico
Roger Southgate, CISA, CISM, FCCA, CubeIT Management Ltd., UK
Paula Spinner, CSC, USA
Mark Stanley, CISA, Toyota Financial Services, USA
Dirk Steuperaert, CISA, PricewaterhouseCoopers, Belgium
Robert E. Stroud, CA Inc., USA
Scott L. Summers, Ph.D., Brigham Young University, USA
Lance M. Turcato, CISA, CISM, CPA, City of Phoenix IT Audit Division, USA
Ingvar Van Droogenbroeck, PricewaterhouseCoopers, Belgium
Wim Van Grembergen, Ph.D., University of Antwerp Management School, Belgium
Johan Van Grieken, CISA, Deloitte, Belgium
Greet Volders, Voquals NV, Belgium
Robert M. Walters, CISA, CPA, CGA, Office of the Comptroller General, Canada
Tom Wong, CISA, CIA, CMA, Ernst & Young LLP, Canada
Amanda Xu, CISA, PMP, KPMG LLP, USA
Les enseignants et tudiants suivants pour leur travail sur les pratiques de contrle
et les procdures de test d'audit de COBIT 4.1
Scott L. Summers, Ph.D., Brigham Young University, USA
Keith Ballante, Brigham Young University, USA
David Butler, Brigham Young University, USA
Phil Harrison, Brigham Young University, USA
William Lancaster, Brigham Young University, USA
Chase Manderino, Brigham Young University, USA
Paul Schneider, Brigham Young University, USA
Jacob Sperry, Brigham Young University, USA
Brian Updike, Brigham Young University, USA
4 2008 AFAI. Tous droits rservs. www.afai.fr

REMERCIEMENTS
Le Conseil d'administration de l'ITGI

Everett C. Johnson, CPA, Deloitte & Touche LLP (retired), USA, International President
Georges Ataya, CISA, CISM, CISSP, Solvay Business School, Belgium, Vice President
William C. Boni, CISM, Motorola, USA, Vice President
Avinash Kadam, CISA, CISM, CISSP, CBCP, GSEC, GCIH, Miel e-Security Pvt. Ltd., India, Vice President
Jean-Louis Leignel, MAGE Conseil, France, Vice President
Lucio Augusto Molina Focazzio, CISA, Colombia, Vice President
Howard Nicholson, CISA, City of Salisbury, Australia, Vice President
Frank Yam, CISA, FHKIoD, FHKCS, FFA, CIA, CFE, CCP, CFSA, Focus Strategic Group, Hong Kong, Vice President
Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young LLP, USA, Past International President
Robert S. Roussey, CPA, University of Southern California, USA, Past International President
Ronald Saull, CSP, Great-West Life and IGM Financial, Canada, Trustee
Le Comit de Gouvernance des SI

Tony Hayes, FCPA, Queensland Government, Australia, Chair
Max Blecher, Virtual Alliance, South Africa
Sushil Chatterji, Edutech, Singapore
Anil Jogani, CISA, FCA, Tally Solutions Limited, UK
John W. Lainhart IV, CISA, CISM, IBM, USA
Rmulo Lomparte, CISA, Banco de Crdito BCP, Peru
Michael Schirmbrand, Ph.D., CISA, CISM, CPA, KPMG LLP, Austria
Ronald Saull, CSP, Great-West Life and IGM Financial, Canada
Le Comit d'audit
Lynn C. Lawton, CISA, BA, FCA, FIIA, PII, KPMG LLP, UK
Pippa G. Andrews, CISA, ACA, CIA, Amcor, Australia
John Warner Beveridge, CISA, CISM, CFE, CGFM, Office of the Massachusetts State Auditor, USA
Daniel Patrick Casciano, CISA, Ernst & Young LLP, USA
Gregory T. Grocholski, CISA, The Dow Chemical Company, USA
Avinash W. Kadam, CISA, CISM, CBCP, CISSP, MIEL e-Security Pvt. Ltd., India
Anthony P. Noble, CISA, CCP, Viacom Inc., USA
Gustavo A. Solis, Grupo Cynthus S.A. de C.V., Mexico
Paul A. Zonneveld, CISA, CA, Deloitte & Touche, Canada
Corresponding Member Robert G. Parker, CISA, CA, CMC, FCA, Canada
Le Comit de pilotage COBIT

Roger S. Debreceny, Ph.D., FCPA, University of Hawaii, USA, Chair
Gary S. Baker, CA, Deloitte & Touche, Canada
Dan Casciano, CISA, Ernst & Young LLP, USA
Steven De Haes, University of Antwerp Management School, Belgium
Peter De Koninck, CISA, CFSA, CIA, SWIFT SC, Belgium
Rafael Fabius, CISA, Repblica AFAP SA, Uruguay
Urs Fischer, CISA, CIA, CPA (Swiss), Swiss Life, Switzerland
Gary Hardy, IT Winners, South Africa
Jimmy Heschl, CISA, CISM, KPMG LLP, Austria
Debbie Lew, CISA, Ernst & Young LLP, USA
Max Shanahan, FCPA, CISA, Max Shanahan & Associates, Australia
Dirk Steuperaert, CISA, PricewaterhouseCoopers, Belgium
Robert E. Stroud, CA Inc., USA
Le Comit consultatif de l'ITGI

Ronald Saull, CSP, Great-West Life and IGM Financial, Canada, Chair
Roland Bader, F. Hoffmann-La Roche AG, Switzerland
Linda Betz, IBM Corporation, USA
Jean-Pierre Corniou, Renault, France
Rob Clyde, CISM, Symantec, USA
Richard Granger, NHS Connecting for Health, UK
Howard Schmidt, CISM, R&H Security Consulting LLC, USA
Alex Siow Yuen Khong, StarHub Ltd., Singapore
Amit Yoran, Yoran Associates, USA

Les socits affilies et partenaires financiers de l'ITGI

ISACA chapters
American Institute of Certified Public Accountants
ASIS International
The Center for Internet Security
Commonwealth Association of Corporate Governance
FIDA Inform
Information Security Forum
The Information Systems Security Association (ISSA)
Institut de la Gouvernance des Systmes d'Information
Institute of Management Accountants
ISACA
ITGI Japan
Solvay Business School
University of Antwerp Management School
Aldion Consulting Pte. Ltd.
CA
Hewlett-Packard
IBM
ITpreneurs Nederlands BV
LogLogic Inc.
Phoenix Business and Systems Process Inc.
Project Rx Inc.
Symantec Corporation
Wolcott Group LLC
World Pass IT Solutions

SOMMAIRE
T ABLE DES MATIRES

1. Introduction ...........................................................................................................................................................9
Objectifs du Guide...................................................................................................................................................9
Prsentation sommaire de COBIT ............................................................................................................................9
Public cible ............................................................................................................................................................11
Utilisation de COBIT pour les activits d'audit des SI ...........................................................................................12
Composants du Guide d'audit des Systmes d'Information...................................................................................12
Relations avec les pratiques de contrle COBIT ....................................................................................................14
Plan du document ..................................................................................................................................................15
Comment utiliser ce guide ? .................................................................................................................................15
2. Principes et environnement de l'audit des SI....................................................................................................17

Introduction ...........................................................................................................................................................17
Plan d'action et dmarche d'audit ..........................................................................................................................18
Recommandations et normes gnrales applicables..............................................................................................22
Adquation l'audit des SI....................................................................................................................................23
3. Planification de l'audit .........................................................................................................................................25

Introduction ...........................................................................................................................................................25
Le primtre d'audit des SI ....................................................................................................................................25
Planification de l'audit en fonction des risques .....................................................................................................27
valuations de haut niveau....................................................................................................................................29
Dfinition du primtre et des objectifs de la mission d'audit...............................................................................29
4. Cadrage des objectifs de contrle et des ressources informatiques ................................................................31

Introduction ..........................................................................................................................................................31
tapes de cadrage des objectifs de contrle et des ressources informatiques .......................................................31
Objectifs mtiers relatifs aux SI et objectifs informatiques...................................................................................33
5. Excution de la mission d'audit..........................................................................................................................35

Introduction ..........................................................................................................................................................35
tape 1. Affiner la comprhension........................................................................................................................35
tape 2. Affiner le cadrage....................................................................................................................................35
tape 3. valuer les contrles ...............................................................................................................................36
tape 4. valuer le rsultat des objectifs de contrle............................................................................................37
tape 5. valuer l'impact des faiblesses de contrle.............................................................................................37
tape 6. Rdiger et notifier l'ensemble des conclusions et recommandations .....................................................38

6. Principes d'audit des processus et des contrles COBIT ..................................................................................39

Introduction ...........................................................................................................................................................39
Contrles gnriques des processus ......................................................................................................................39
Pratiques de contrle gnriques ...........................................................................................................................39
Contrles gnraux informatiques.........................................................................................................................40
Contrles applicatifs..............................................................................................................................................40
Exemples de mise en uvre de procdures d'audit dtailles ...............................................................................41
7. Comment les composants COBIT favorisent-ils les activits d'audit des SI ? ................................................43
Introduction ...........................................................................................................................................................43
Composants de COBIT...........................................................................................................................................43
Missions d'audit des SI ..........................................................................................................................................44
Les corrlations les plus fortes ..............................................................................................................................44
Annexe I. Contrle des Processus (CP) ..............................................................................................................45

Procdures d'audit des processus...........................................................................................................................45
Annexe II. Planifier et Organiser (PO) ................................................................................................................51

Procdures d'audit des processus...........................................................................................................................51
Annexe III. Acqurir et Implmenter (AI)..........................................................................................................115

Procdures d'audit des processus.........................................................................................................................115
Annexe IV. Dlivrer et Supporter (DS) ...............................................................................................................153

Annexe V. Surveiller et valuer (SE).................................................................................................................225

Annexe VI. Contrle des Applications (CA) .......................................................................................................253

Annexe VII. Modle de maturit pour le contrle interne..................................................................................263
Annexe VIII. Cadrage des SI.................................................................................................................................265
Annexe IX. COBIT et produits de la famille COBIT.............................................................................................269

INTRODUCTION
I N T R O D U C TI O N
INTRODUCTION
1. INTRODUCTION
OBJECTIFS DU GUIDE
L'objectif du Guide d'audit des Systmes d'Information est de donner des orientations sur l'utilisation de COBIT pour raliser divers types
d'audit des SI. Si l'entreprise utilise dj COBIT comme cadre de gouvernance des SI, le guide permettra de tirer parti de COBIT lors de la
planification et de l'excution d'audits, afin que les responsables des mtiers, de l'informatique et de l'audit puissent se runir autour d'un
cadre et d'objectifs communs.
Ce guide est conu pour favoriser l'efficacit et l'efficience des missions d'audit des SI. Il apporte des recommandations sur la planification,
le cadrage et la ralisation des audits l'aide d'un plan d'action s'appuyant sur des mthodes d'audit rpandues. Des recommandations sont
galement fournies sur la faon d'utiliser les ressources COBIT au cours de ces phases, en s'appuyant sur des tests dtaills bass sur les
processus et les objectifs de contrle de COBIT. Les recommandations et les tests proposs, comme toutes les ressources COBIT, n'ont pas
vocation tre prescriptifs. Ils doivent tre adapts chaque mission d'audit.
Ce guide est principalement destin aux professionnels de l'audit mais il peut galement intresser les responsables informatiques et les
spcialistes du conseil en informatique.
PRSENTATION SOMMAIRE DE COBIT

COBIT (Control Objectives for Information and related Technology - Objectifs de contrle de l'information et des technologies associes) est
un ensemble complet de ressources contenant toutes les informations dont les entreprises ont besoin pour adopter un cadre de contrle et de
gouvernance des SI. COBIT propose des bonnes pratiques travers un cadre de rfrence par domaine et par processus, dans une structure
logique facile apprhender. Il permet d'optimiser les investissements informatiques et de s'assurer que les systmes d'information rpondent
favorablement aux exigences des mtiers.
Pour rpondre aux besoins des entreprises, COBIT :

tablit un lien mesurable entre les exigences des mtiers et les objectifs informatiques
structure les activits informatiques selon un modle de processus largement reconnu
identifie les principales ressources informatiques mobiliser
dfinit les objectifs de contrle de management envisager
fournit des outils au management :
des objectifs et mtriques permettant de mesurer les performances informatiques
des modles de maturit permettant de raliser des analyses comparatives des processus
des tableaux RACI (Responsable, Approuve, est Consult, est Inform) permettant de clarifier les rles et les responsabilits.
COBIT s'intresse ce qui est ncessaire pour une gouvernance, une gestion et un contrle adquats des SI au niveau gnral. COBIT se
conforme d'autres cadres, normes et meilleures pratiques informatiques plus dtaills. COBIT agit comme intgrateur de ces diffrents
guides en runissant les objectifs cls dans un mme cadre de rfrence gnral qui fait aussi le lien avec les exigences de gouvernance et les
exigences des mtiers. Dans ce contexte, le rfrentiel de contrle interne COSO (cr par le Committee of Sponsoring Organisations of the
Treadway Commission) et d'autres rfrentiels semblables qui se conforment aux mmes principes sont gnralement considrs comme les
rfrentiels de contrle interne pour les entreprises. COBIT est gnralement considr comme le cadre de rfrence de la gestion et du
contrle des SI.
Adopter COBIT comme cadre de gouvernance des SI offre les avantages suivants :
une meilleure harmonisation de l'informatique et de l'activit de l'entreprise du fait de son orientation mtier
une comprhension partage par toutes les parties prenantes grce un langage commun
une vision comprhensible de ce qu'apporte l'informatique la gestion de l'entreprise
une attribution claire de la proprit et des responsabilits, du fait de l'approche par processus
une adoption gnralise de la part des tiers et des organismes de contrle
le respect des exigences du COSO pour le contrle de l'environnement informatique.
Le cadre de rfrence COBIT est rsum par la figure 1.

Figure 1 Cadre de rfrence COBIT
OBJECTIFS METIERS
OBJECTIFS DE GOUVERNANCE
COBIT
PO 1 Dfinir un plan informatique stratgique

PO 2 Dfinir larchitecture de linformation
PO 3 Dterminer lorientation technologique
SE 1 Surveiller et valuer la performance des SI PO 4 Dfinir les processus, lorganisation et les relations de travail
SE 2 Surveiller et valuer le contrle interne PO 5 Grer les investissements informatiques
SE 3 Sassurer de la conformit aux exigences externes PO 6 Faire connatre les buts et les orientations du management
SE 4 Mettre en place la gouvernance des SI PO 7 Grer les ressources humaines de linformatique
PO 8 Grer la qualit
PO 9 valuer et grer les risques
PO 10 Grer les projets
CRITRES
DINFORMATION
Efficacit
Efficience
Confidentialit
Intgrit
Disponibilit
SURVEILLER ET Conformit PLANIFIER ET
Fiabilit ORGANISER
EVALUER
RESSOURCES
INFORMATIQUES
Applications
Informations
Infrastructures
Personnes
DLIVRER ET ACQURIR ET
SUPPORTER IMPLMENTER
DS 1 Dfinir et grer les niveaux de service

DS 2 Grer les services tiers
DS 3 Grer la performance et la capacit AI 1 Trouver des solutions informatiques
DS 4 Assurer un service continu AI 2 Acqurir des applications et en assurer la maintenance
DS 5 Assurer la scurit des systmes AI 3 Acqurir une infrastructure technique et en assurer la maintenance
DS 6 Identifier et imputer les cots AI 4 Faciliter le fonctionnement et lutilisation
DS 7 Instruire et former les utilisateurs AI 5 Acqurir des ressources informatiques
DS 8 Grer le service dassistance client et les incidents AI 6 Grer les changements
DS 9 Grer la configuration AI 7 Installer et valider les solutions et les modifications
DS 10 Grer les problmes
DS 11 Grer les donnes
DS 12 Grer lenvironnement physique
DS 13 Grer lexploitation
Les produits COBIT s'organisent en trois niveaux conus pour apporter leur aide aux :
conseils d'administration et aux directions gnrales
directions oprationnelles et informatiques
professionnels de la gouvernance, de l'audit, du contrle et de la scurit.
La figure 2 reprsente les produits COBIT au sein du corpus de connaissances de la gouvernance informatique destin chacun de ces trois
niveaux.

INTRODUCTION
Figure 2 Principaux produits bass sur COBIT
Conseils aux dirigeants pour la

gouvernance des SI
Comment le
conseil 2me dition
dadministration
exerce-t-il sa
responsabilit ?
Dirigeants et Administrateurs
Guide de management
Comment mesurer la performance ?
Comment se comparer aux autres ? Modles de maturit
Et comment samliorer ?
Responsables mtiers et informatique
Quel est le Comment valuer

rfrentiel de Comment le mettre en place le rfrentiel de
gouvernance des dans lentreprise ? gouvernance des
SI ? SI ?
Professionnels de la gouvernance, de lassurance, du contrle et de la scurit
Rfrentiels COBIT et VALIT Guide dimplmentation de la Guide daudit des SI

gouvernance des SI
2me dition
Objectifs de Contrle
Pratiques de contrle COBIT
Pratiques cls de gestion 2me dition
Ce schma de produit bas sur COBIT prsente les produits gnralement applicables et leur public principal. Il existe galement des produits drivs pour des fonctions
particulires (Objectifs de contrle des SI pour Sarbanes-Oxley, 2me dition), dans des domaines comme la scurit (Bases de scurit COBIT et gouvernance de la scurit de
l'information : Recommandations destines aux conseils d'administration et aux directions gnrales) ou pour des entreprises spcifiques (COBIT Quickstart pour les petites et
moyennes entreprises ou pour les grandes entreprises qui souhaitent acclrer la mise en uvre d'un programme plus large de gouvernance des SI)
Pour plus d'informations sur chaque produit, consultez l'annexe 9, COBIT et produits de la famille COBIT. Visitez le site www.isaca.org/cobit
pour obtenir les informations les plus compltes et les plus rcentes sur COBIT et les produits drivs, des tudes de cas, des offres de formation,
des lettres d'information et d'autres renseignements spcifiques sur COBIT. En France, visitez le site www.afai.fr
PUBLIC CIBLE
Ce Guide d'audit des Systmes d'Information fournit des recommandations dtailles aux professionnels de l'audit et de l'informatique, sur la
faon d'utiliser COBIT pour favoriser diverses missions d'audit pour chacun des 34 processus informatiques. Les conseils et principes d'audit
sont fournis pour :
les contrles gnriques qui s'appliquent tous les processus (dsigns dans le cadre de rfrence COBIT par l'identifiant PCn)
les contrles applicatifs (dsigns dans le cadre de rfrence COBIT par l'identifiant CAn)
des contrles de processus spcifiques (dsigns dans le cadre de rfrence COBIT par l'identifiant du domaine et le numro de processus,
par exemple PO6.3, AI4.1).
Le guide et les tapes d'audit servent :
valuer les contrles associs l'objectif de contrle
valuer le rsultat de l'objectif de contrle (efficacit oprationnelle)
valuer les faiblesses de contrle et leur impact.
Nous partons du principe que les utilisateurs de ce guide connaissent les concepts de COBIT et possdent un niveau de connaissances au
moins quivalent au niveau Foundation de COBIT (un test en ligne permet d'obtenir la certification COBIT Foundation). Dans le cas
contraire, nous recommandons au lecteur de suivre la formation COBIT Foundation Course. Pour plus d'informations sur ces possibilits de
formation, envoyez un e-mail l'adresse education@isaca.org ou visitez le site www.isaca.org/cobitcampus. En France, visitez le site
www.afai.fr
Le guide suppose galement que les lecteurs possdent des connaissances gnrales sur les concepts d'audit.

UTILISATION DE COBIT POUR LES MISSIONS D'AUDIT DES SI
Le cadre de rfrence COBIT, reprsent par la figure 3, constitue le fondement des deux guides suivants :
le Guide de mise en place de la gouvernance des SI : utilisation de COBIT et Val IT 2me dition, qui fournit un plan d'action et des
directives pratiques sur la faon de mettre en uvre la gouvernance des SI l'aide des ressources de COBIT.
le Guide d'audit des Systmes d'Information : utilisation de COBIT, qui fournit un guide aux quipes ddies l'audit et propose une
dmarche d'audit structure associe au cadre de rfrence COBIT, la porte des professionnels des mtiers et de l'informatique.
Comme l'indique la figure 3, chaque guide est aliment par diffrentes ressources. Le Guide de mise en place de la gouvernance des SI tire
parti des Pratiques de contrle COBIT tandis que le Guide d'audit des Systmes d'Information s'appuie sur un plan d'audit. Les deux
ressources d'entre (les pratiques de contrle et le plan d'audit) s'excluent mutuellement, ce qui permet aux utilisateurs des guides de se
concentrer sur une partie spcifique du processus de gouvernance des SI (mise en uvre ou audit).
Figure 3 Mise en uvre et Guides dAudit

QUOI
COMMENT COMMENT
Cadre de rfrence
Guide de
Conseils aux Conseils aux
management
dirigeants* Objectifs de dirigeants*
contrle
Modles de maturit
Rfrentiel sur la gouvernance des Rfrentiel sur la gouvernance des

SI destin aux cadres d'entreprise SI destin aux responsables d'audit
(en cours d'laboration) Objectif de contrle Valeur Risque ( venir)
Pratiques de
contrle COBIT, Procdures daudit
Guide de mise en place de la gouvernance informatique : 2me dition Guide d'audit des Systmes d'Information : Utilisation de
Utilisation de COBIT et Val IT 2me dition COBIT
* Conseils aux dirigeants d'entreprises pour la gouvernance des SI, 2me dition
Le Guide d'audit des Systmes d'Information fournit des conseils d'audit diffrents niveaux. Au niveau processus, des conseils spcifiques
sont fournis sur la faon de vrifier si les objectifs de contrle sont atteints et d'valuer les faiblesses de contrle. Au niveau objectif de
contrle, la dmarche d'audit propose vise valuer les contrles pour chaque objectif de contrle spcifique en s'appuyant sur ses pratiques
de contrle. Vous trouverez ces conseils dtaills dans les annexes 1 6. Dans le chapitre 6, Principes d'audit des processus et des contrles
COBIT, vous trouverez quelques exemples dcrivant la faon de tirer parti des conseils dtaills pour une mission d'audit spcifique.
Des conseils gnriques sont galement fournis aux diffrents niveaux. Ils s'appliquent tous les processus ou objectifs de contrle et vous
pouvez les utiliser en plus ou la place des conseils spcifiques. Ces processus sont dcrits plus en dtail dans le chapitre 6.
Concernant les procdures dvaluation et de test de la phase d'excution, ce guide fournit des conseils gnriques ainsi que des
recommandations spcifiques, plus dtailles, destins aux auditeurs des SI. Un conseil gnrique signifie qu'il peut s'appliquer n'importe
quel processus, objectif de contrle ou pratique de contrle, en fonction du type de conseil. Les conseils spcifiques dsignent les conseils
donns pour un processus, un objectif de contrle ou une pratique de contrle particulier. La figure 4 prsente le rfrentiel d'audit des SI qui
sert de fondement ce processus.
COMPOSANTS DU GUIDE D'AUDIT DES SYSTMES D'INFORMATION

Le contenu des principes d'audit dtaills est organis autour des 34 processus COBIT et compos des lments suivants :
Objectifs de contrle : les entreprises admettent de plus en plus qu'il est impratif de contrler les SI pour s'assurer qu'ils gnrent de la
valeur pour l'entreprise, que les risques sont matriss, que les obligations lgales sont respectes et que les investissements informatiques
gnrent un rendement raisonnable.
Les objectifs de contrle des SI expriment le rsultat dsir ou le but atteindre par la mise en uvre de pratiques de contrle pour chaque
processus informatique et font souvent directement rfrence des activits spcifiques au sein du processus.
Les objectifs de contrle de COBIT reprsentent les exigences leves prendre en considration pour bnficier d'un contrle efficace de
chaque processus informatique. Ils sont rdigs sous la forme de courtes pratiques de gestion axes sur l'action. Lorsque cela est possible,
ils suivent un ordre logique de cycle de vie. Pour contrler les objectifs, plusieurs possibilits s'offrent au management de l'entreprise. Les
membres de la direction doivent :
slectionner les objectifs de contrle applicables
quilibrer l'investissement requis pour mettre en uvre les pratiques de gestion ncessaires la ralisation de chaque objectif de
contrle, en tenant compte du risque li la non-ralisation des objectifs

INTRODUCTION
Figure 4 Prsentation des conseils daudit fournis
Processus
informatiques
amliors par valus par contrls par
Faiblesses de Evaluation du dcoulant de

contrle rsultat des objectifs Objectifs de contrle
documentes de contrle
mis en place
avec
valus par
Evaluation des dcoulant de

Pratiques de
contrles des
contrle
objectifs de contrle
Conseils gnriques ( ) et spcifiques ( ) issus du Guide d'audit des Systmes d'Information
dterminer les pratiques de contrle mettre en uvre

choisir la faon de mettre en uvre chaque pratique de contrle.
Les objectifs de contrle de COBIT (dont le nombre est suprieur 200) dfinissent les lments grer dans chaque processus
informatique afin de tenir compte des exigences des mtiers et de grer les risques. Ils permettent de dfinir des politiques claires, de
renforcer les bonnes pratiques pour le contrle des SI et d'encourager la proprit des processus. Ils constituent galement un point de
rfrence permettant de relier les bonnes pratiques et les exigences des mtiers. Reposant sur l'harmonisation de plus de 40 sources de
recommandations sur les contrles, COBIT peut tre intgr dans d'autres normes et pratiques essentiellement axes sur des domaines
spcifiques, telles que la srie ISO/IEC 27000 sur les normes lies la scurit de l'information, la norme ISO/IEC 9001:2000 Systmes de
management de la qualit - Exigences, l'ITIL (IT Infrastructure Library), le CMMI (Capability Maturity Model Integration), PRINCE2
(Projects in Controlled Environments 2) et PMBOK (A Guide to the Project Management Body of Knowledge).
Inducteurs de risque et de valeur : ces inducteurs apportent une contribution utile aux professionnels dans le cadre de la communication
d'une justification mtier pour la ralisation d'objectifs de contrle particuliers et la mise en uvre des pratiques de contrle associes. Les
inducteurs de valeur fournissent des exemples des avantages mtiers pouvant rsulter d'un contrle satisfaisant, tandis que les inducteurs
de risque fournissent des exemples des risques potentiels viter ou attnuer. Ils fournissent aux auditeurs et aux responsables de la mise
en uvre de la gouvernance des SI l'argument relatif l'application des contrles et accrditent l'impact de leur non-application.
tapes de contrle : elles fournissent des conseils au niveau objectif de contrle, destins aux auditeurs qui ralisent une mission d'audit
des SI. Les tapes sont issues des pratiques de contrle qui sont elles-mmes issues de chaque objectif de contrle. Les tapes de
vrification :
valuent le plan de contrle
confirment que les contrles sont appliqus
valuent l'efficacit oprationnelle des contrles.
Ces tapes de contrle sont dcrites de faon plus dtaille dans le chapitre 6, Principes d'audit des processus et des contrles COBIT. Des
tapes de contrle gnriques portent sur l'existence et l'efficacit du plan de contrle propos, ainsi que sur les responsabilits connexes.
Des tapes d'audit spcifiques vrifient le fonctionnement efficace des contrles et sont mentionnes au niveau objectif de contrle. En
outre, des tapes d'audit sont fournies pour valuer le rsultat des faiblesses ou des checs des contrles.
Les tapes de contrle sont conues pour rpondre au premier niveau d'laboration d'un programme d'audit par un auditeur interne ou
externe. L'objectif n'est pas de fournir un programme d'audit dtaill pouvant tre utilis tel quel et mis en application. Il s'agit plutt de
permettre un auditeur expriment de s'en servir de base pour laborer efficacement des programmes d'audit personnaliss pouvant tre
utiliss et mis en uvre par des collaborateurs moins expriments. L'auditeur doit considrer les tapes de contrle comme le fondement
de la mise en uvre de la mission d'audit. Il doit adapter les vrifications et les tests la ralit de l'entreprise et aux objectifs de la mission
d'audit. Ces tapes n'ont qu'une valeur indicative et ne constituent pas des recettes tablies.
La combinaison de tous les composants d'audit gnre une mthode de contrle permettant de se forger une opinion sur les objectifs d'audit,
en associant un ou plusieurs des types de contrle suivants :
s'informer (via une source diffrente) et confirmer
inspecter (via des visites sur site, des tudes, des comparaisons et des analyses)
observer (confirmation par le biais de l'observation)

rexcuter ou recalculer et analyser (en s'appuyant gnralement sur un chantillon)
collecter (ex. : chantillonner, suivre, extraire) et analyser les lments probants automatiss.
RELATIONS AVEC LES PRATIQUES DE CONTRLE COBIT

Le Guide d'audit des Systmes d'Information fait partie de la gamme de produits COBIT. Les tapes de contrle sont issues du document
intitul Pratiques de contrle COBIT : Recommandations pour atteindre les objectifs de contrle et russir la gouvernance des SI, 2me
dition. Elles sont reprsentes sous une forme utilisable par les auditeurs pour des activits de contrle.
Les pratiques de contrle COBIT accroissent les capacits du cadre de rfrence COBIT et offrent un niveau de dtail supplmentaire. Les
processus informatiques, les exigences des mtiers et les objectifs de contrle de COBIT dfinissent les actions entreprendre pour mettre en
uvre une structure de contrle efficace. Les pratiques de contrle COBIT fournissent les recommandations les plus dtailles, au niveau
objectif de contrle, sur la faon d'atteindre ces objectifs. Les pratiques de contrle se composent des lments suivants pour chacun des
objectifs de contrle COBIT :
les inducteurs de risque et de valeur, fournissant des recommandations sur les raisons de l'action
les pratiques de contrle envisager lors de l'valuation des processus informatiques et de la mise en uvre des amliorations.
Une liste des pratiques de contrle spcifiques est dfinie pour chaque objectif de contrle. En outre, trois pratiques de contrle gnriques,
applicables tous les objectifs de contrle, sont dfinies. L'ensemble compos des pratiques de contrle gnriques et des pratiques de
contrle spcifiques constituent une mthode de contrle, compose des pratiques ncessaires pour atteindre l'objectif de contrle. Elles
fournissent des recommandations d'ordre gnral de haut niveau, davantage dtailles dans le cadre de l'objectif de contrle, pour valuer la
maturit d'un processus, envisager des amliorations potentielles et mettre en uvre les contrles. Elles ne dcrivent pas de solutions
spcifiques et il conviendra sans doute d'obtenir des recommandations plus pousses auprs de normes et de meilleures pratiques spcifiques
et pertinentes, telles quITIL ou PRINCE2. Les pratiques de contrle rpondent aux critres de conception suivants :
elles correspondent la finalit de l'objectif de contrle
elles peuvent tre excutes en temps utile
elles sont ralistes et rentables
elles sont mesurables
elles fournissent une dfinition des rles concerns et des rles isols, le cas chant
elles sont axes sur l'action
elles sont bases, si possible, sur le cycle de vie.
Les pratiques de contrle aident s'assurer que les solutions mises en place ont plus de chances d'tre totalement et brillamment appliques,
en fournissant des recommandations sur les motifs de la ncessit des contrles et sur la nature des bonnes pratiques respecter pour
atteindre des objectifs de contrle spcifiques.
Les pratiques de contrle sont conues pour assister deux publics :
les responsables de la mise en uvre de la gouvernance des SI (ex : management, prestataires de services, utilisateurs finals, professionnels
du contrle)
les auditeurs (ex : professionnels de l'audit interne et externe).
Pour les besoins de l'audit, toutes les pratiques de contrle ont t utilises pour mettre au point les procdures d'audit dtailles. Les tapes
de contrle sont conues pour rpondre la premire tape d'laboration d'un programme d'audit par un auditeur interne ou externe.
Par consquent, les professionnels qui utilisent ce guide d'audit doivent tenir compte du fait que les procdures d'audit sont issues des
pratiques de contrle. Les pratiques de contrle proprement dites ne sont pas fournies dans ce guide.
Le tableau de la figure 5 dcrit les supports de contrle qui sont fournis par COBIT et qui constituent la base des supports d'audit du prsent
guide.
Figure 5 Objectifs de contrle et pratiques de contrle

CONTRLE
Objectifs de contrle Pratiques de contrle
Le cadre de rfrence COBIT fournit six contrles de Lorsque les objectifs de contrle sont traduits en
processus qui s'appliquent chaque processus. pratiques, les premires tapes sont toujours les
Lors de l'examen des processus, ces objectifs de mmes et portent sur la conception, l'enregistrement
Gnrique contrle et les pratiques et procdures d'audit et la communication de la mthode permettant
associes doivent tre ajoutes aux objectifs de d'atteindre l'objectif, ainsi que sur l'attribution des
contrle spcifiques. responsabilits oprationnelles et finales lies ces
actions.
Pour chaque processus, un certain nombre COBIT fournit des pratiques spcifiques pour chaque
d'objectifs de contrle spcifiques sont fournis dans objectif de contrle. Combines aux pratiques
Spcifique le cadre de rfrence COBIT. gnrales, elles fournissent un schma de contrle
compos des tapes ncessaires et suffisantes pour
atteindre l'objectif de contrle.

INTRODUCTION
Le tableau de la figure 6 dcrit les supports d'audit issus des supports de contrle COBIT et fournis dans ce guide.
Figure 6 Liens entre les conseils gnriques et spcifiques et les tapes d'audit des SI
AUDIT
Evaluation des contrles Evaluation du rsultat des Evaluation des faiblesses
processus de contrle de contrle
Les pratiques de contrle En complment ou en lieu et En complment ou en lieu et
gnriques sont traduites en place de lvaluation des place des conseils spcifiques,
procdures d'audit bases sur un contrles, le rsultat d'un objectif des mthodes standard
ensemble de mthodes d'audit de contrle peut tre valu. Des dvaluation et de mise en
standard. mthodes standard de recherche contexte des faiblesses de
Gnrique d'lments probants, s'appliquant contrle sont fournies,
n'importe quel processus, sont essentiellement axes sur
fournies. l'identification de donnes
comparatives (analyses
comparatives, mesures, tudes
de cas, etc.).
Les pratiques de contrle Pour chaque processus, un Pour chaque processus, des
spcifiques sont galement certain nombre de procdures conseils spcifiques sont
traduites en procdures d'audit. d'audit sont fournies pour tester donns sur la faon dvaluer
Combines aux procdures le rsultat des objectifs de les faiblesses de contrle,
Spcifique d'audit des pratiques gnriques contrle du processus. Le conseil concernant les objectifs, les
elles permettent une valuation gnrique peut tre utilis en plus mesures, les activits et les
complte du contrle de l'objectif. ou la place du conseil objectifs de contrle du
spcifique. processus.
Enfin, des conseils supplmentaires sont donns sur l'valuation des six contrles applicatifs (tels qu'ils sont fournis dans COBIT), portant
galement sur les contrles, les rsultats et l'valuation de l'impact.
COBIT et un grand nombre de ses produits connexes offrent une assistance dtaille dans de multiples activits d'audit des SI.
PLAN DU DOCUMENT
Les principales sections de ce document suivent la structure d'un plan d'audit des SI propos. Ce plan d'action sera expliqu plus en dtail
dans le chapitre 2, intitul Principes et environnement de l'audit des SI . Voici les principaux titres ou sections de ce plan d'action :
Planification
Cadrage
Excution, dont :
affinage de la comprhension du domaine de l'audit des SI
affinage du champ d'intervention des principaux objectifs de contrle
valuation de l'efficacit des contrles
valuation des rsultats des principaux objectifs de contrle
valuation de l'impact des faiblesses de contrle
formulation et communication des conclusions et recommandations.
La planification est labore dans le chapitre 3 (Planification de l'audit). Le cadrage est trait dans le chapitre 4 (Cadrage des objectifs de
contrle et des ressources informatiques), tandis que le chapitre 5 (Mise en uvre de la mission d'audit) tudie toutes les tapes d'excution.
Le chapitre 6 (Principes d'audit des processus et des contrles COBIT) dcrit la structure des recommandations d'audit fournies pour les
objectifs de contrle et les processus COBIT. Le chapitre 7 explique comment les composants COBIT favorisent les activits d'audit des SI.
Les annexes 1 6 prsentent les tests d'audit rels.

COMMENT UTILISER CE GUIDE
Mme si le public cible potentiel de COBIT est trs large et si ce rfrentiel peut tre utilis par de nombreuses personnes au sein d'une mme
entreprise, ce guide est particulirement destin aux professionnels de l'audit interne et externe.
Ce guide prsente un avantage majeur dans le sens o les utilisateurs peuvent se fier la cohrence du rfrentiel COBIT et de ses produits
connexes. Le cadre de rfrence COBIT, qui est de plus en plus utilis comme rfrentiel de gouvernance des SI, favorise l'harmonisation
entre la gestion des SI et la gestion des mtiers de l'entreprise et constitue la base de l'amlioration des performances des SI. Si les auditeurs
fondent leurs analyses sur le mme rfrentiel que les responsables des mtiers et les responsables informatiques qui amliorent la
gouvernance et les performances des SI, chaque partie prenante utilisera un langage commun et il sera plus facile de valider et de mettre en
uvre les amliorations de contrle ncessaires.
Ce guide peut tre utilis par les auditeurs pour rpondre de nombreux besoins. Ils peuvent, par exemple :
obtenir une vue d'ensemble des bonnes pratiques actuelles sur les principes de contrle et d'audit
dcouvrir comment les diffrents composants COBIT et les produits de la famille COBIT peuvent favoriser la planification et le cadrage des
missions d'audit
disposer d'un rfrentiel complet de tous les objectifs de contrle COBIT, favoriser les pratiques de contrle et comprendre comment elles
peuvent tre contrles pour obtenir l'assurance qu'elles sont efficaces.

PRINCIPES ET ENVIRONNEMENT DE LAUDIT DES SI
ET ENVIRONNEMENT
DE LAUDIT DES SI
PRINCIPES
2. PRINCIPES ET ENVIRONNEMENT DE L'AUDIT DES SI
INTRODUCTION
Cette section dcrit les principes gnraux, les composants et l'environnement de l'audit des SI. Elle tudie galement les lignes directrices de
l'audit des SI et fournit une description prcise des principales tapes engager.
L'objectif du Guide d'audit des Systmes d'Information n'est pas de fournir un guide d'audit dtaill. Il s'agit plutt de publier des conseils de
haut niveau sur la conduite de missions d'audit et d'expliquer brivement un certain nombre de principes fondamentaux permettant de
comprendre l'audit et certaines techniques connexes et activits concourantes.
Les normes officielles, telles que le rfrentiel international pour les missions d'audit de l'International Auditing and Assurance Standards
Board (IAASB Assurance Framework), peuvent tre mentionnes. Toutefois, dans le prsent manuel, le terme audit est systmatiquement
utilis mais il revt un sens plus large que le terme anglais audit . L'audit au sens o nous l'entendons ici englobe galement les activits
d'valuation qui ne sont pas rgies par les normes d'audit interne et/ou externe.
Cinq lments doivent tre runis pour constituer une mission d'audit, comme l'indique l'IAASB Assurance Framework et comme l'illustre la
figure 7.
Figure 7 Les cinq lments dune mission daudit
Des critres
pertinents par
1 2 3 4 5
Une relation tripartite : un Un domaine sur rapport auxquels le
responsable du domaine lequel porte l'audit domaine trait sera
Un processus que
trait, un auditeur et un (par exemple, les valu (par Une conclusion
l'auditeur doit mettre
utilisateur auquel le rapport donnes, les exemple, des mise par l'auditeur
en uvre
d'audit est destin systmes, les normes, des points
processus, etc.) de rfrence, des
rglementations,
etc.)
Pour un auditeur, l'objectif d'une mission d'audit consiste mesurer ou valuer un domaine dont la responsabilit incombe une autre partie.
Pour les missions d'audit des SI, une autre partie prenante est gnralement implique. Elle utilise le domaine mais elle a dlgu
l'exploitation et le contrle du domaine la partie responsable. De ce fait, la partie prenante est le client final de l'valuation et elle peut
valider les critres de l'valuation avec la partie responsable et l'auditeur.
La conclusion de l'valuation indique sous forme d'opinion si le domaine rpond aux besoins de la partie prenante. La figure 8 rcapitule les
relations sur lesquelles repose une mission d'audit.
Figure 8 Relations dans le cadre dune mission daudit

Critres pertinents de la mission d'audit
accepte gre Processus sappuie sur

Partie prenante
mtier
utilise
accepte Partie gre

Domaine Conclusion
responsable
analyse en
fonction de
critres
accepte utilise Processus communique

Auditeur
daudit

PLAN D'ACTION ET DMARCHE D'AUDIT
Plan d'action de l'audit des SI
Pour procder un audit, il convient de suivre une mthodologie ou une dmarche cohrente. Mme si la dmarche spcifique peut tre
propre chaque entreprise et type de mission, une approche relativement commune est utilise dans le cadre du prsent guide. Cette
approche s'appuie sur trois phases : la planification, le cadrage et l'excution, cette dernire phase tant divise en 6 tapes. Les phases et les
tapes du plan d'action sont prsentes dans la figure 9.
Figure 9 Plan daction de laudit des SI

PLANIFICATION
Dfinir le primtre d'audit des SI.
PLANS D'AUDIT
Slectionner un cadre de rfrence de contrle des SI.
DES SI
Procder la planification de l'audit des SI en fonction des risques.
Procder des valuations de haut niveau.
Dfinir le cadre et les objectifs gnraux du projet.
CHAMP D'ACTION
Objectifs mtiers
ET OBJECTIFS
DTAILLS
Objectifs informatiques
CADRAGE
Principaux processus informatiques et ressources informatiques

Principaux objectifs de contrle
Principaux objectifs de contrle personnaliss
En
Affiner le champ
Evaluer remplacement ou
CONCLUSION
Formuler et
DE L'AUDIT
d'action des
EXECUTION
Affiner la l'efficacit des en complment,

principaux Evaluer l'impact communiquer
comprhension contrles des valuer le
objectifs de des faiblesses de lensemble des
du domaine principaux rsultat des
contrle pour le contrle conclusions et
d'audit des SI objectifs de principaux
domaine d'audit recommandations
contrle objectifs de
des SI
contrle
Pour les missions d'audit plus importantes, vous trouverez des informations complmentaires sur le dcoupage du projet en objectifs, actions
et livrables dans l'annexe 8, intitule Cadrage des SI . Ce dcoupage permet de fournir des recommandations plus dtailles, qui
s'appliquent au cadrage de la mission d'audit des SI et au cadrage du contrle des SI.
PLANIFICATION
La dfinition du primtre d'audit des SI pour la mission d'audit sert de point de dpart de chaque mission d'audit. Pour crer un plan
complet, l'auditeur doit combiner la comprhension du primtre d'audit des SI et la slection d'un cadre de contrle des SI appropri, tel que
COBIT. La runion de ces deux lments permet de planifier la mission d'audit en fonction des risques. Pour dfinir les objectifs d'audit
appropris, il est d'abord ncessaire de procder une valuation de haut niveau. Le livrable final de cette tape est le plan d'audit des SI
(gnralement annuel).
CADRAGE
Le processus de cadrage peut tre mis en uvre de trois faons diffrentes :
la mthode de cadrage la plus dtaille dbute par la dfinition des objectifs mtiers et informatiques pour l'environnement valu et par
l'identification d'un ensemble de ressources et processus informatiques (c'est--dire, le primtre d'audit) requis pour favoriser la ralisation
de ces objectifs. L'tendue des objectifs concerns par la mission d'audit des SI peut tre rduite une granularit infrieure (principaux
objectifs de contrle adapts l'entreprise).
une dmarche de cadrage de haut niveau peut dbuter par une analyse comparative effectue par l'ITGI, fournissant des recommandations
gnriques sur les relations entre les objectifs mtiers, les objectifs informatiques et les processus informatiques, comme le dcrit COBIT.
Cette succession gnrale d'objectifs et de processus peut servir de base un cadrage plus dtaill, si l'environnement spcifique valu
l'exige.
une dmarche hybride de cadrage combine la mthode de haut niveau et la mthode dtaille. Cette approche dbute par la succession
gnrale d'objectifs et de processus mais elle est adapte et modifie en fonction de l'environnement spcifique avant de poursuivre le
cadrage un niveau plus dtaill.
Les livrables finaux de cette tape sont le champ d'intervention et les objectifs des diffrentes missions d'audit des SI.
EXCUTION
La troisime phase du plan d'action d'audit des SI est la phase d'excution. La figure 10 dcrit une mthode que les auditeurs peuvent
appliquer lorsqu'ils ralisent une mission d'audit spcifique. Ces tapes couvrent les principales vrifications effectuer par les auditeurs. Le
chapitre 5, Excution de la mission d'audit , dcrit plus en dtail chacune des tapes. Le livrable final de cette phase est la conclusion de la
mission d'audit des SI.

Figure 10 Plan dexcution
En
Affiner le remplacement
Evaluer
champ d'action ou en Formuler et
Affiner la l'efficacit des
des principaux complment, Evaluer l'impact communiquer
comprhension contrles des
objectifs de valuer le des faiblesses lensemble des
du domaine principaux
contrle pour le rsultat des de contrle conclusions et
d'audit des SI objectifs de
domaine d'audit principaux recommandations
contrle
des SI objectifs de
contrle
Activits d'audit des SI

La mthode prsente dans la section prcdente (Plan d'action de l'audit des SI) dcrit les phases et tapes suivre pour fournir des services
d'audit et prcise la structure du prsent guide. Les principales activits d'audit des SI qui peuvent tre ralises dans le cadre de chacune de
ces phases d'audit sont rpertories dans la figure 11.
La figure 11 prsente les activits d'audit classiques pouvant tre utilises (et pour lesquelles des conseils sont fournis) au cours des
diffrentes phases et tapes du plan d'action d'audit des SI. Il arrive que l'tape corresponde l'activit ou qu'une activit soit exploite dans
plusieurs tapes.
Figure 11 Activits de laudit des SI

Planifier :
- Procder une rapide valuation des risques.
- valuer les menaces, les vulnrabilits et les rpercussions sur l'activit.
- Diagnostiquer les risques du projet et le risque oprationnel.
- Planifier les missions d'audit en fonction des risques.
- Identifier les processus informatiques stratgiques en fonction des inducteurs de valeur.
- valuer la maturit des processus.
Cadrer :
- Planifier et dfinir le champ dintervention des missions d'audit.
- Slectionner les objectifs de contrle des processus stratgiques.
- Personnaliser les objectifs de contrle.
Excuter :
1. Affiner la comprhension du domaine d'audit des SI.
- Identifier/valider les processus informatiques stratgiques.
- Auto-valuer la maturit des processus.
2. Affiner le champ dintervention des principaux objectifs de contrle pour le domaine d'audit des SI :
- Actualiser la slection des objectifs de contrle.
- Personnaliser les objectifs de contrle.
- laborer un programme d'audit dtaill.
3. Evaluer l'efficacit des contrles des principaux objectifs de contrle :
- Tester et valuer les contrles.
- Actualiser/valuer la maturit des processus.
4. Evaluer le rsultat des principaux objectifs de contrle :
- Auto-valuer les contrles.
- Tester et valuer les contrles.
5. Evaluer l'impact des faiblesses de contrle :
- Diagnostiquer les risques rsiduels de projet et/ou oprationnels.
- Justifier les risques.
6. Formuler et communiquer lensemble des conclusions et recommandations :
- Communiquer les conclusions de l'audit.
La plupart des recommandations fournies dans ce guide sont axes sur la phase d'excution du plan d'action (figure 12 et chapitre 7,
Comment les composants COBIT favorisent-ils les activits d'audit des SI ? ). Toutefois, des conseils supplmentaires sont fournis
relativement aux activits d'audit rpertories, via l'identification des composants COBIT offrant un avantage spcifique pour chacune de ces
activits. Toutes les missions d'audit des SI incluent la majeure partie de ces activits. Par consquent, la plupart des composants COBIT
peuvent tre exploits dans tous les types de missions d'audit relatives aux systmes d'information.
La figure 12 illustre la corrlation entre les activits d'audit et les domaines dans lesquels les composants COBIT peuvent procurer un
avantage spcifique. En outre, le chapitre 7 ( Comment les composants COBIT favorisent-ils les activits d'audit des SI ? ), met des
suggestions sur la faon de tirer parti des diffrents composants COBIT pour amliorer l'efficacit et/ou l'efficience des diffrentes activits
d'audit des SI.

20

Figure 12 Liens entre les activits de laudit des SI et les composants COBIT
Composants COBIT
nonc des risques et des valeurs
d'entreprises pour la gouvernance

Attributs des modles de maturit
Objectifs de contrle des SI pour

Diagnostics des contrles et des
Sarbanes-Oxley, 2me dition

RACI (principales activits et
COBIT Online - Navigation et

Mesure des objectifs et des
Inducteurs de performance
Outil de sensibilisation du
COBIT Online - Analyses

Conseils aux dirigeants
risques informatiques
Critres d'information
Objectifs de contrle
Liste des processus
des SI, 2me dition

Modle de maturit
COBIT Quickstart
responsabilits)
comparatives
management
recherche
rsultats
Activits de l'audit des SI
Procder une rapide valuation des risques. V V V V V V V V V
valuer les menaces, les vulnrabilits et les rpercussions sur l'activit. V V V V V V
Diagnostiquer les risques de projet et/ou oprationnels. V V V V V V V

Planifier les missions d'audit en fonction des risques. V V V V V V V V V V V V
Identifier les processus informatiques stratgiques en fonction des
V V V V V V V V V V V
inducteurs de valeur.
valuer la maturit des processus. V V V V V V V V V
Planifier et cadrer les missions d'audit. V V V V V V V
Slectionner les objectifs de contrle des processus stratgiques. V V V V V V
Personnaliser les objectifs de contrle. V V V V V V V V
laborer un programme d'audit dtaill. V V V V V V V V
Tester et valuer les contrles. V V V V V V V V
Justifier les risques. V V V V V V V V V V V V
Communiquer les conclusions de l'audit. V V V V V V V V V V V V V
Auto-valuer la maturit des processus. V V V V V V V V V
Auto-valuer les contrles. V V V V V V V V
Rfrence d'autres modles d'audit
Les auditeurs possdent gnralement de bonnes connaissances sur les normes tablies par certains organismes, tels que l'IAASB qui fait
partie de l'IFAC (Fdration internationale des experts-comptables). Dans le cadre de ses normes internationales d'audit, l'IAASB a dfini les
phases appliquer lors d'un audit des tats financiers. Bien que ces procdures soient spcifiquement conues pour les audits financiers, elles
sont en phase avec les phases d'audit des SI proposs dans le prsent guide. Ces propos sont illustrs par la figure 13.
Figure 13 Corrlation entre les procdures d'audit des SI et les procdures d'audit standard
Phases d'audit (IAASB)
l'utilisateur prsum des rsultats
Rdiger un rapport et mettre des

Dsigner la partie responsable et
Dterminer la nature du domaine
Collecter les lments probants
valuer les lments probants

Dfinir et valider les critres
Porter un jugement
conclusions
d'valuation
de l'audit
tudi
Planification V V V
Phases du plan d'action
Cadrage V
Affiner la comprhension du domaine d'audit des SI V V V
Affiner le champ d'action des principaux objectifs de contrle V
Excution
Evaluer l'efficacit des contrles V V

Evaluer le rsultat des principaux objectifs de contrle V V
Evaluer l'impact des faiblesses de contrle V V
Formuler et communiquer l'ensemble des conclusions et recommandations V V
Les deux premires tapes de la phase d'excution consistent affiner l'analyse des phases de planification et de cadrage et, par consquent,
sont identiques celles de la norme IAASB. En matire d'audit interne, l'activit de planification correspond l'activit de plan annuel et
l'affinage du plan dsigne les aspects de planification de chaque mission. Concernant l'audit externe, ces deux niveaux de planification
peuvent se produire simultanment.
La dmarche propose pour l'audit des SI consiste marquer une nette distinction entre :
l'valuation d'un objectif de contrle
l'valuation du rsultat d'un objectif de contrle
l'valuation de l'impact des lacunes identifies.
Chacune de ces 3 tapes consiste collecter et valuer des lments probants, mais de diffrentes manires.
Type de conseil d'audit fourni

Concernant les tapes de contrle de la phase d'excution, le prsent guide fournit des conseils gnriques ainsi que des conseils plus
spcifiques visant aider les auditeurs des SI, comme le montre la figure 14. Ce graphique rsume les relations entre les principaux
composants COBIT (processus, objectifs de contrle et pratiques de contrle) et les tapes du plan d'action de l'audit des SI.
Un conseil gnrique signifie qu'il peut s'appliquer n'importe quel processus, objectif de contrle ou pratique de contrle, en fonction du
type de conseil.
Les conseils spcifiques dsignent les conseils donns pour un processus, un objectif de contrle ou une pratique de contrle particulier.
Le contexte historique : le commissariat aux comptes (audit des tats financiers)

Il est important de comprendre que, historiquement, l'audit des SI visait complter l'audit des tats financiers. Cette catgorie d'audit revt
toujours une grande importance, notamment au titre de la loi amricaine Sarbanes-Oxley et d'autres rglementations similaires au niveau
international.
Un audit financier a gnralement pour objectif d'exprimer une opinion sur les tats financiers d'une entreprise, notamment en ce qui
concerne les assertions suivantes :
existence ou ralit des actifs/dettes/transactions figurant dans les tats financiers
exhaustivit de toutes les informations financires prsentes
droits, obligations et engagements pertinents prsents de faon approprie dans les tats financiers
valuation ou rpartition des montants des rubriques de l'tat financier, de faon cohrente et quitable
prsentation et divulgation des chiffres dans les rubriques appropries des tats financiers et principes comptables applicables ou
informations complmentaires pour garantir une interprtation correcte

Figure 14 Types de conseils fournis dans le prsent guide
Processus
informatiques
amliors par valus par contrls par
Faiblesses de Evaluation du dcoulant de

contrle rsultat des objectifs Objectifs de contrle
documentes de contrle
mis en place
avec
valus par
Evaluation des dcoulant de

Pratiques de
contrles des
contrle
objectifs de contrle
Conseils gnriques ( ) et spcifiques ( ) issus du Guide d'audit des Systmes d'Information
Lorsqu'ils sont tous remplis, ces critres permettent l'auditeur de se forger une opinion (et de l'exprimer) sur la situation financire de
l'entit concerne.
RECOMMANDATIONS ET NORMES GNRALES APPLICABLES

Les recommandations de rfrence actuelles relatives au processus d'audit externe des tats financiers sont contenues dans les normes
internationales d'audit ISA (International Standards on Auditing).1
La norme ISA 315 oblige l'auditeur prendre connaissance des lments de contrle interne pertinents pour l'audit, dont :
l'environnement de contrle
le processus d'valuation des risques mis en place par l'entit
le systme d'information, y compris les processus mtiers connexes relatifs l'tablissement de rapports financiers, et la communication
les activits de contrle
le suivi des contrles.
L'ISA admet que, d'une faon gnrale, l'informatique offre des avantages importants en termes d'efficacit et d'efficience pour le contrle
interne d'une entit, mais qu'elle revt galement des risques spcifiques.
Concernant les systmes d'information, les assertions des tats financiers peuvent tre traduites par les objectifs de traitement d'information
suivants :
exhaustivit
exactitude
validit
accs restreint.
L'auditeur a au moins l'obligation de comprendre les systmes d'information servant de base aux processus mtiers associs au reporting
financier et de dterminer comment l'entit a rpondu aux risques dcoulant des systmes d'information. L'utilisation des SI a des
rpercussions sur la faon dont les activits de contrle sont mises en uvre dans l'entreprise et sur les informations financires connexes.
Par consquent, l'auditeur doit dterminer si l'entit a ragi convenablement face aux risques dcoulant des SI, en appliquant des contrles
gnraux informatiques et des contrles applicatifs efficaces.
Les normes ISA dfinissent les contrles gnraux informatiques comme des rgles et procdures qui concernent de nombreuses applications
et favorisent le fonctionnement efficace des contrles applicatifs en permettant de garantir le bon fonctionnement permanent des systmes
d'information. Dans le cadre de la norme ISA, les contrles gnraux informatiques sont rpartis dans les catgories suivantes :
exploitation des rseaux et des centres de traitement
acquisition, modification et maintenance des logiciels de base
1
Les normes ISA sont des normes professionnelles utilises pour la ralisation d'audit financier et de vrification des informations financires. Elles sont
publies par l'IFAC (Fdration internationale des experts-comptables) et portent sur les responsabilits respectives des parties prenantes, la planification de
l'audit, le contrle interne, la preuve d'audit, l'utilisation de travaux d'autres experts, les conclusions de l'audit et le rapport d'audit, ainsi que des domaines
spcialiss.

scurit des accs
acquisition, dveloppement et maintenance des systmes d'applications.
La norme ISA 330 fournit des directives sur la nature, le calendrier et l'tendue des procdures d'audit adopter en rponse des risques
identifis. ISA dfinit des exigences spcifiques relatives la validation des contrles internes, dont les suivantes :
lorsqu'il a retenu, dans son valuation du risque d'anomalies significatives au niveau des assertions, l'hypothse selon laquelle les contrles
de l'entit fonctionnent efficacement, l'auditeur doit raliser des valuations et tests des contrles pour collecter des preuves d'audit
suffisantes et appropries montrant que les contrles de l'entit ont fonctionn efficacement au cours de la priode contrle.
lorsque l'auditeur considre qu'il est impossible ou peu envisageable de rduire les risques d'anomalies significatives au niveau des
assertions un niveau suffisamment bas l'aide d'une preuve d'audit obtenue uniquement par des procdures de corroboration, il doit valuer
les contrles concerns afin d'obtenir des preuves d'audit relatives leur efficacit fonctionnelle.
La norme ISA prcise galement les types de procdure mettre en uvre, indiquant que l'auditeur doit appliquer d'autres procdures
d'audit tout en procdant une enqute pour valuer l'efficacit fonctionnelle des contrles .
ADQUATION L'AUDIT DES SI

Concernant spcifiquement les systmes d'information, l'ISA indique que l'auditeur doit envisager d'obtenir les preuves d'audit confirmant le
fonctionnement efficace des contrles directement lis aux assertions, ainsi que d'autres contrles indirects dont dpendent ces contrles, tels
que les contrles informatiques gnraux sous-jacents. cet gard, le cadre de rfrence COBIT fournit de nombreuses recommandations et
le prsent guide propose une dmarche d'audit conforme aux directives de l'ISA.
Compte tenu de l'homognit intrinsque du traitement des SI, la preuve d'audit relative la mise en uvre d'un contrle applicatif
automatis, si elle est envisage en combinaison avec la preuve d'audit obtenue relativement l'efficacit fonctionnelle des contrles
gnraux de l'entit (et en particulier les contrles du cycle de vie de dveloppement des systmes, dont les contrles des changements), peut
fournir une preuve d'audit significative propos de son efficacit fonctionnelle pendant la priode concerne. Le chapitre 6, Principes d'audit
des processus et des contrles COBIT, contient d'autres recommandations sur ces aspects.
Importance relative
Lorsqu'ils effectuent ou participent des audits financiers, les auditeurs mesurent gnralement l'importance relative en termes montaires,
puisque les donnes qu'ils vrifient se mesurent galement en termes montaires. Sachant que les auditeurs des SI peuvent effectuer l'audit
d'lments non financiers, d'autres mesures sont ncessaires. Par rapport un objectif de contrle spcifique, un contrle de matrialit est un
contrle ou un groupe de contrles dont les procdures de contrle ne fournissent pas l'assurance raisonnable que l'objectif de contrle sera
atteint.
La Directive d'audit des SI G6 de l'ISACA (www.isaca.org/standard/guideline.htm) indique que, si l'objectif d'audit des SI concerne des
systmes ou des activits de traitement d'oprations financires, la valeur des actifs contrls par les systmes ou la valeur des oprations
traites par jour/semaine/mois/anne doit tre prise en compte dans le cadre de l'valuation de l'importance relative.
Pour les systmes et les activits non lis des oprations financires, voici quelques exemples de mesures prendre en compte pour valuer
l'importance relative :
criticit des processus mtiers pris en charge par le systme ou l'opration
cot du systme ou de l'opration (matriels, logiciels, personnels, services tiers, frais gnraux, combinaison de ces diffrents cots)
cot potentiel des erreurs (ventuellement en termes de pertes de ventes, de rclamations au titre de la garantie, de frais de dveloppement
irrcouvrables, de frais de publicit requis pour les avertissements, de frais de rectification, de frais lis la sant et la scurit, de cots de
production inutilement levs, de gaspillages importants, etc.)
nombre d'accs/transactions/demandes d'informations traits par priode
nature, planification et tendue des rapports prpars et des dossiers conservs
nature et quantit des produits pris en charge (ex : lorsque les mouvements des stocks sont enregistrs sans valeur)
exigences en termes de contrats de service (CS) et cot des ventuelles amendes
amendes pour non-respect des obligations contractuelles et lgales.
Risque d'audit
Le risque d'audit correspond au risque qu'une opinion dfavorable soit formule par l'auditeur en prsence d'anomalie significative relative au
domaine tudi. Le risque d'audit dpend du risque d'erreur significative et du risque que l'auditeur ne dtecte pas les erreurs lies et les
checs des contrles.

Le risque d'erreur significative se compose de deux lments :
le risque inhrent : possibilit qu'une assertion comporte, selon la partie responsable, une anomalie qui pourrait tre significative, soit
individuellement, soit cumule avec d'autres anomalies, en supposant qu'il n'y avait pas de contrles internes y affrents2
le risque li au contrle : risque qu'une anomalie susceptible de survenir dans une assertion et pouvant prsenter un caractre significatif
soit individuellement, soit cumule avec d'autres anomalies, ne soit ni prvenue, ni dtecte et corrige en temps utile par le contrle
interne de l'entit
Le risque de non-dtection dsigne le risque que les procdures mises en place par l'auditeur ne dtectent pas une anomalie qui existe dans
une assertion et qui pourrait tre significative, soit individuellement, soit cumule avec d'autres anomalies. Lors de la planification d'une
mission d'audit, il est important d'valuer le risque d'audit et d'laborer une mthode permettant de s'assurer que les objectifs d'audit sont
atteints.
2
Ces dfinitions manent de l'IAASB (International Auditing and Assurance Standards Board).

PLANIFICATION DE LAUDIT
DE LAUDIT
PLANIFICATION
3. PLANIFICATION DE L'AUDIT
INTRODUCTION
La phase de planification correspond la premire phase du plan d'action de l'audit des SI (illustr par la figure 9). Avant de dbuter une
mission d'audit, le travail de l'auditeur des SI doit tre planifi de faon pouvoir atteindre les objectifs d'audit. Dans le cadre d'une mission
d'audit interne, le plan d'audit doit tre labor/actualis/rvis au moins une fois par an. Ce plan doit servir de cadre de rfrence pour les
activits d'audit et il doit permettre de faire face aux responsabilits dfinies par la charte d'audit. S'agissant d'un audit des SI externe, un plan
doit normalement tre prpar pour chaque mission. Chaque type de plan d'audit doit clairement dterminer les objectifs de la mission et
reflter les priorits et la stratgie de l'utilisateur prsum.
Dans le cadre du processus de planification, l'auditeur des SI doit bien comprendre l'environnement de l'audit et les objectifs mtiers de
l'entreprise pour l'informatique, les objectifs informatiques et la faon dont leur ralisation est planifie via les processus et les ressources
informatiques. L'tendue des connaissances requises est dtermine par la nature de l'entreprise, son environnement, les risques et les
objectifs de l'audit. Pour effectuer l'audit et le travail de planification de l'audit conformment une procdure structure et normalise,
l'auditeur des SI doit galement identifier des cadres de contrle appropris qui peuvent tre utiles pour les missions d'audit (ex : COSO,
COBIT) ou des normes ou cadres de rfrence de gestion des SI (ex : ITIL, ISO/IEC 27000).
LE PRIMTRE D'AUDIT DES SI

Le primtre d'audit des SI dtermine le domaine de responsabilit de l'auditeur des SI. Il est gnralement bas sur une structure de haut
niveau qui hirarchise et relie les processus informatiques, les ressources, les risques et les contrles, ce qui permet de slectionner, en
fonction des risques, des missions distinctes d'audit des SI. Le primtre d'audit doit tre dfini au niveau de l'entreprise et il se compose de
sujets, d'units, de processus, de procdures, de systmes, etc., qui peuvent tre dfinis et valus. Les lments constitutifs du primtre
d'audit sont des units dans le cadre desquelles l'audit peut tre ralis. Aux fins du prsent Guide d'audit des Systmes d'Information, COBIT
fournit la structure permettant de dfinir le primtre d'audit des SI, articul autour des quatre types de ressources informatiques et des
34 processus informatiques rpartis dans quatre domaines. Ces quatre domaines correspondent aux domaines de responsabilit traditionnels
des SI, que sont planifier, mettre en place, faire fonctionner et surveiller.
On peut dfinir ainsi les ressources informatiques identifies par COBIT :

les applications sont, les systmes automatiss la disposition des utilisateurs et les procdures manuelles qui traitent l'information
l'information est constitue des donnes saisies, traites et restitues par le systme informatique sous diverses prsentations, et utilises
par l'entreprise
les infrastructures sont constitues de la technologie et des quipements (machines, systmes d'exploitation, systmes de gestion de bases
de donnes, rseaux, multimdia, etc., ainsi que l'environnement qui les hberge et en permet le fonctionnement) qui permettent le
traitement des applications
les personnes sont les ressources qui s'occupent de planifier, d'organiser, d'acheter, de mettre en place, de livrer, d'assister, de surveiller et
d'valuer les systmes et les services informatiques. Ces personnes peuvent tre internes, externes ou contractuelles selon les besoins.
Les 4 domaines dfinis par COBIT sont Planifier et Organiser, Acqurir et Implmenter, Dlivrer et Supporter, Surveiller et valuer. Comme
le montre la figure 15, les processus informatiques fournissent l'information l'entreprise, traitent les applications et ont besoin des
infrastructures et des personnes. Mis en commun, ces lments constituent l'architecture informatique de l'entreprise.
Figure 15 Architecture informatique de lentreprise
fournissent
Informations
Processus informatiques traitent

Applications
(objectifs et responsabilits inclus)
Infrastructures et Personnes
ont besoin

Au sein du primtre d'audit, le panel des activits d'audit doit tre hirarchis en fonction du risque, de la complexit technologique, du
temps coul depuis la mission d'audit prcdente, de l'importance stratgique, de l're technologique, des faiblesses de contrle identifies,
etc. Les ressources d'audit peuvent ainsi tre affectes aux units qui prsentent le risque le plus lev pour l'entreprise. Cette hirarchisation
s'appuie sur des objectifs mtiers et des objectifs de gouvernance (en matire de fonctionnalit, de souplesse, de rendement, de conformit et
de confort), impliquant des inducteurs de risque et de valeur spcifiques, comme l'illustre la figure 16. Cette figure montre galement qu'il
est prfrable de penser en termes de ressources informatiques pour traduire les objectifs mtiers en objectifs informatiques (c'est--dire sous
l'angle des informations et des services requis) et du point de vue des infrastructures et des personnes requises pour fournir et prendre en
charge les services et informations ncessaires. COBIT fournit les tableaux d'objectifs informatiques et d'objectifs d'entreprise gnriques qui
peuvent, aprs adaptation la situation considre, aider dterminer les sujets qui ont le plus besoin d'attention au sein du primtre d'audit.
Figure 16 Objectifs informatiques et objectifs mtiers en tant qu'inducteurs pour la planification de l'audit
Mtiers Gouvernance
Fonctionnalit Souplesse Rendement Conformit Confort
Objectifs de lentreprise pour les SI

Infrastructures
Informations
Applications
Personnes
Objectifs informatiques
Processus informatiques
Le primtre d'audit dcoulant du travail d'analyse dcrit prcdemment gnre, la plupart du temps, une matrice bidimensionnelle. Une
dimension dcrit les lments pertinents issus de l'architecture informatique de l'entreprise tandis que l'autre dimension indique les objectifs
de contrle possibles, comme le montre la partie gauche de la figure 17.
Figure 17 Liens entre l'architecture de l'entreprise et les objectifs de contrle
Slection des processus

Architecture de lentreprise pour les SI
informatiques
Slection des objectifs de contrle

Ressources informatiques
Sachant que le cadre de rfrence recommand est COBIT et compte tenu de sa structure en processus, la premire tape de cadrage de la
mission d'audit peut consister slectionner les processus, et rduire ainsi l'ampleur des objectifs de contrle sur le plan horizontal. Cela
permet galement de simplifier la dimension verticale en se concentrant sur les ressources informatiques, puisque les processus ont t pris
en charge dans la dimension horizontale des objectifs de contrle. Ce qui donne la partie droite de la figure 17. Si d'autres cadres de contrle
utiliss ne sont pas axs sur les processus, ces derniers doivent tre conservs dans la dimension verticale. Quoi qu'il en soit, la plupart des
cadres de rfrence peuvent tre appliqus dans COBIT (cf. www.isaca.org/cobit) de faon pouvoir utiliser la version simplifie aprs la
mise en correspondance.

Le primtre d'audit peut tre reprsent de diffrentes faons. Quelle que soit la reprsentation choisie, il convient de prserver l'quilibre
entre l'exhaustivit, la cohrence et la faisabilit. La technique propose permet d'identifier et de dcrire toutes les units concernes. Voici
quelques exemples :
les applications peuvent tre regroupes (conformment aux principaux processus mtiers qu'elles prennent en charge, par exemple les
ventes, la logistique, l'administration, la fabrication ou les ressources humaines) ou rpertories individuellement. On peut alors identifier
un sous-ensemble de processus informatiques et d'objectifs de contrle dans les applications pour identifier (par exemple, une mission
d'audit des applications) le cycle de dveloppement ou la gestion du portefeuille. Les projets, qui sont trs souvent examins par le biais
des missions d'audit de projet, peuvent tre considrs comme des applications en prparation,
les personnes et leur mode d'organisation (par exemple, des units organisationnelles) font partie de la dimension horizontale du primtre
d'audit et permettent, par exemple, d'effectuer un audit sur les entits organisationnelles,
les lments d'infrastructure (ex : centre de traitement, rseaux, plates-formes informatiques) constituent une autre dimension horizontale
et permettent d'identifier, par exemple, les revues de scurit des systmes d'exploitation et des rseaux ou les contrles physiques des
centres de traitement,
les informations incluent les bases de donnes, les fichiers matres et les journaux de transactions.
Parmi les sujets spcifiques qui figurent en bonne place l'ordre du jour de nombreux dpartements informatiques se trouvent les projets
d'externalisation et diffrentes exigences de conformit. travers la dimension processus du primtre d'audit, l'auditeur peut identifier les
processus informatiques pertinents qui grent les services informatiques externaliss, par exemple DS1 Dfinir et grer les niveaux de
service et DS2 Grer les services tiers . Ce sujet spcifique peut ainsi tre inclus dans le primtre d'audit global.
PLANIFICATION DE L'AUDIT EN FONCTION DES RISQUES

L'auditeur doit utiliser une technique ou une mthode approprie d'valuation des risques pour mettre au point le plan global relatif
l'affectation efficace des ressources d'audit des SI. L'valuation des risques est une technique utilise pour examiner les units du primtre
d'audit et slectionner les domaines tudier prsentant l'exposition aux risques la plus forte. Il est impossible de dterminer les risques
associs chaque niveau de SI par une analyse des risques informatiques pris isolment. En effet, ils doivent tre pris en compte
conjointement avec les processus et les objectifs de l'entreprise.
Le risque est associ deux attributs principaux (la probabilit et l'impact) et prsente une relation complexe entre les attributs des objets
impliqus, dont la liste apparat ci-dessous :
actifs : actifs corporels ou immobilisations incorporelles, correspondant une valeur et devant tre protgs,
menace : toute situation ou vnement susceptible de nuire un systme,
lment menaant : mthodes et objets utiliss pour exploiter une vulnrabilit (ex : dtermination, comptence, motivation, ressources),
vnement menaant : occurrence d'une menace agissant sur la vulnrabilit d'un systme et prjudiciable pour le systme,
vulnrabilit : faiblesse pouvant tre exploite par une menace (ex : un port de pare-feu ouvert, un mot de passe jamais modifi, un tapis
inflammable). L'absence de contrle est galement considre comme une vulnrabilit,
contre-mesure : synonyme de contrle. Le terme contre-mesure peut tre utilis pour dsigner tout type de contrle mais il reprsente
gnralement des mesures qui augmentent la facult de rcupration, la tolrance aux pannes ou la fiabilit d'un service informatique,
risque : probabilit qu'une menace donne exploite les vulnrabilits d'un actif et entrane sa perte ou sa dtrioration,
risque rsiduel : risque associ un vnement lorsqu'un contrle est prvu pour rduire l'effet ou la probabilit que cet vnement soit
pris en compte.
La figure 18 prsente les relations entre les diffrents lments et les principaux attributs de chacun d'entre eux. Ces attributs sont essentiels
pour analyser la contribution de chaque lment au processus d'analyse des risques. La figure 19 propose une mthode de mise en uvre de
ce processus.
La mthode d'analyse des risques propose dbute par l'estimation des actifs qui, dans le cadre de rfrence COBIT, est constitue des
informations qui satisfont aux critres requis pour aider la ralisation des objectifs mtiers (ces actifs incluent toutes les ressources
ncessaires pour produire ces informations). L'tape suivante correspond l'analyse de vulnrabilit, qui identifie les vulnrabilits
applicables aux actifs (par exemple, un processus mtier devant se conformer aux rgles de protection des donnes nominatives, un produit
mtier li des transactions financires ou des lments d'infrastructure) qui dterminent la disponibilit de nombreux services
d'information. La phase suivante consiste identifier les menaces significatives susceptibles d'exploiter une vulnrabilit donne (par
exemple, des vnements accidentels tels que des erreurs, des omissions et des accidents, des actions intentionnelles telles que la fraude, le
piratage ou le vol). La probabilit de la menace, le degr de vulnrabilit et la gravit de l'impact sont combins pour laborer des scnarios
de menace/vulnrabilit et valuer leur risque. Viennent ensuite la slection des contre-mesures (contrles) et une valuation de leur cot et
de leur efficacit. Aprs avoir tudi l'impact de la mise en uvre des contrles slectionns, le risque rsiduel peut tre valu. La
conclusion est un plan d'action, aprs lequel le cycle peut redmarrer.

Figure 18 Relations et attributs des lments de l'analyse des risques
imposent
Propritaires
se
proccupent
Contre- des
mesures
rduisent
vitent et vitent ou
dtectent
Risques rduisent
provenant de
Elments Actifs
Menaces exploitent Vulnrabilits
menaants
engendrent Scnarios de prsentent
menace/vulnrabilit
Figure 19 Une mthode d'analyse des risques qui tire parti des lments du risque et de leurs attributs
Rpertorier les
Identifier les menaces
contre-mesures
significatives
utiles
valuer les risques

Dfinir les scnarios
Identifier les actifs Identifier les (applicabilit, valuer les cots et
de
stratgiques et ventuelles probabilit et l'efficacit des
menace/vulnrabilit
estimer leur valeur vulnrabilits importance de contrles
applicables
l'impact)
laborer un plan de
Dterminer le risque
rduction des
rsiduel
risques

VALUATIONS DE HAUT NIVEAU

Une valuation de haut niveau peut favoriser la planification de l'audit en identifiant les processus pour lesquels l'cart de maturit/contrle
entre la situation actuelle et la situation vise est le plus important. Il existe plusieurs techniques d'valuation (portant sur l'valuation par
rapport aux attributs de risque et de performance, aux attributs de maturit des processus, aux objectifs de contrle et aux attributs de
maturit) qui gnrent, par exemple, des profils de conformit aux processus comme l'illustre la figure 21.
Les rsultats de ces valuations de haut niveau permettent de hirarchiser les tches d'audit des SI. Voici les avantages spcifiques qu'offrent
ces valuations de haut niveau :
sensibilisation des membres de la direction informatique leurs responsabilits en matire de contrle informatique et obtention de leur
adhsion
contrles de conformit de haut niveau associs des exigences de contrle informatique dfinies
optimisation et hirarchisation des ressources d'audit des SI
mise en relation avec la gouvernance des SI.
DFINITION DU PRIMTRE ET DES OBJECTIFS DE LA MISSION D'AUDIT

L'auditeur des SI doit clairement dfinir le champ d'intervention et les objectifs de la mission d'audit et raliser une valuation pralable du
contrle interne et de la maturit des fonctions/activits tudies, afin de fournir l'assurance raisonnable que tous les lments significatifs
seront tudis de faon approprie au cours de la mission d'audit.
Pour procder des valuations de planification de haut niveau, COBIT Quickstart peut apporter une assistance concrte (cf.
www.isaca.org/cobit). Les figures 20 22 prsentent galement d'autres modles possibles pouvant tre utiliss pour des valuations de
maturit et de contrle de haut niveau. Le premier modle, illustr par la figure 20, est un diagnostic de sensibilisation du management qui
value les processus par rapport certains attributs de risque et de performance. L'application de ce modle des processus informatiques
spcifiques donne un aperu rapide des risques connexes (importance et performance), de la responsabilit oprationnelle (qui le ralise ?),
de l'officialisation (documentation), de l'historique d'audit et de la responsabilit finale.
Figure 20 Diagnostic de sensibilisation du management
Risque Importance = degr d'importance pour l'entreprise sur une chelle Qui le ralise ?
de 1 (pas du tout important) 5 (trs important)
Performance = Niveau de satisfaction de 1 (trs satisfait) 5 (ne sait
pas ou pas du tout satisfait)
Formalis = Existe-t-il un contrat, une convention de service (CS) ou Qui est
Performance
Informatique
responsable ?
Importance
une procdure clairement documente (Oui, Non, ou ?)

Ne sait pas
Formalis
Audit ? = Oui, Non ou ?

Audit ?
Externe
Responsable = Nom du responsable ou la mention ne sait pas

Autre
Processus COBIT
PO1 Dfinir un plan informatique stratgique
PO10 Grer les projets
AI6 Grer les changements
DS2 Grer les services tiers
DS5 Assurer la scurit des systmes
SE1 Surveiller et valuer la performance des SI
Les deux modles suivants fournissent des exemples sur la faon d'excuter une valuation de la maturit des processus, l'aide de la
description de la maturit ou des attributs de maturit. Le premier modle de la figure 21 part de la description de la maturit des processus,
qui doit tre dcompose en plusieurs noncs de maturit. Pour chacun de ces noncs, une valeur de conformit doit tre dfinie. Celle-ci
permet l'auditeur des SI de calculer un profil de conformit .
Une autre mthode d'valuation de la maturit des processus consiste utiliser les attributs de maturit (modles de maturit COBIT dcrits
dans le cadre de rfrence COBIT). La maturit d'un processus peut tre value par rapport 6 attributs de maturit :
sensibilisation et communication
politiques, plans et procdures
outils et automatisation
comptences et expertise
responsabilit oprationnelle et responsabilit finale
dsignation des objectifs et mtriques

Figure 21 valuation du profil de conformit de la maturit des processus
Poids total
0.00 0.33 0.66 1.00
Nom du
processus
Dans une certaine mesure

Code du AI6-Grer les changements
processus Niveau de maturit
Pas du tout
Totalement
VALEUR
50
Un peu
45
N Enonc Poids
40
35

30

25
20
15
10
5
0
Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 5
Niveau de maturit 3, passage au niveau 4

Poids total Conformit
Figure 22 valuation des attributs de maturit des processus

Sensibilisation et communication Politiques, plans et procdures Outils et automatisation Comptences et expertise Responsabilit et approbation Dsignation des objectifs et mtriques
5 On comprend tout fait les impratifs On applique les meilleures pratiques et On utilise des progiciels standardiss L'entreprise encourage formellement
Les propritaires de processus ont le Il existe un systme de mesure de la
et on anticipe sur les volutions. standards externes. dans l'ensemble de l'entreprise. l'amlioration continue des comptences,
pouvoir de prendre des dcisions et d'agir. performance intgr qui lie la performance
selon des objectifs personnels et
Le fait d'accepter des responsabilits a t de l'informatique aux objectifs mtier par
Il existe une communication proactive La documentation des processus a volu Les outils sont pleinement intgrs entre d'entreprise clairement dfinis.
dploy de faon cohrente tous les l'application gnrale du tableau de bord
sur les tendances du moment, on en workflow automatis. On a standardis eux pour supporter les processus de bout chelons de l'entreprise. quilibr informatique. Le management
applique des techniques prouves et et intgr les processus, les politiques et en bout. La formation et l'enseignement s'appuient prend systmatiquement note des
des outils intgrs pour la les procdures pour permettre une gestion sur les meilleures pratiques externes et exceptions et on applique l'analyse
communication. et des amliorations de tous les maillons On utilise des outils pour favoriser utilisent des concepts et des techniques causale. L'amlioration continue fait
de la chane. l'amlioration des processus et pour de pointe. Le partage des connaissances dsormais partie de la culture d'entreprise.
dtecter automatiquement les cas est une culture d'entreprise et on dploie
d'exception au contrle. des systmes base de connaissances.
On s'appuie sur l'exprience d'experts
externes et d'entreprises leaders de la
branche.
4 On a pleinement compris les Les processus sont sains et complets ; on Les outils sont mis en place selon un plan Les besoins en comptences sont Les responsabilits oprationnelles et On mesure l'efficacit et l'efficience, on
impratifs. applique les meilleures pratiques internes. standardis et certains fonctionnent avec rgulirement rajusts pour tous les finales des processus sont acceptes et communique sur ces questions qu'on lie
d'autres outils dans le mme secteurs ; on apporte des comptences fonctionnent d'une faon qui permet au aux objectifs mtier et au plan
On utilise des techniques abouties et Tous les aspects des processus sont environnement. spcialises tous les secteurs critiquespropritaire de processus de s'acquitter informatique stratgique. On met en
des outils standards pour documents et reproductibles. et on encourage la certification. pleinement de ses responsabilits. Il uvre le tableau de bord quilibr
communiquer. Les politiques ont t approuves et On utilise certains outils dans les existe une culture de la rcompense qui informatique dans certains secteurs sauf
avalises par le management. On a domaines principaux pour automatiser la On applique des techniques de formation motive un engagement positif dans dans certains cas connus du
adopt des standards pour le gestion des processus et pour surveiller prouves conformes au plan de formation l'action. management, et on est en train de
dveloppement et la gestion des les activits et les contrles critiques. et on encourage le partage des standardiser l'analyse causale.
processus et des procdures et on les connaissances. On implique tous les L'amlioration continue commence
applique. experts des domaines internes et on exister.
value l'efficacit du plan de formation.
3 On a compris le besoin d'agir. On commence utiliser les bonnes On a dfini un plan d'utilisation et de On a dfini et document les besoins en
Les responsabilits oprationnelles et On fixe certains objectifs d'efficacit et on
pratiques. standardisation des outils pour comptences pour tous les secteurs.
finales sont dfinies et les propritaires de mesure cette efficacit, mais on ne
Le management communique de faon automatiser les processus. processus sont identifis. Le propritaire communique pas dessus ; ces objectifs
plus formelle et plus rigoureuse. On a dfini et document les processus, On a labor un plan de formation officiel, de processus n'a vraisemblablement pas sont clairement relis aux objectifs mtier.
les politiques et les procdures pour Les outils sont utiliss pour leurs fonctions mais la formation reste base sur des toute autorit pour exercer ses Des processus de mesures commencent
toutes les activits cls. de base, mais ne correspondent peut-tre initiatives individuelles. responsabilits. tre utiliss, mais pas de faon
pas tous au plan adopt et ne sont peut- systmatique.On adopte les ides du
tre pas capables de fonctionner les uns tableau de bord quilibr informatique et
avec les autres. on utilise parfois l'analyse causale de
manire intuitive.
2 On a conscience du besoin d'agir. Le On commence utiliser des processus Il existe des approches communes de On a identifi les comptences minimales Une personne assume ses responsabilits On fixe certains objectifs ; on mesure
management communique sur les semblables mais ils sont largement certains outils, mais elles sont bases sur requises pour les domaines stratgiques. et en est habituellement tenue pour certains flux financiers mais seul le
questions gnrales. intuitifs car bass sur l'expertise des solutions dveloppes par des responsable (garante), mme si cela n'a management est au courant. On surveille
individuelle. individus cls. Des outils ont pu tre On fournit une formation en cas de besoin pas t formellement convenu. Lorsque certains secteurs isols mais pas de faon
achets chez des fournisseurs, mais ils ne plutt que selon un plan approuv, et des problmes surviennent, on ne sait organise.
Certains aspects des processus sont sont sans doute pas utiliss correctement certaines formations informelles ont lieu plus qui est responsable et une culture du
reproductibles grce l'expertise et sont peut-tre mme imparfaitement sur le tas . blme a tendance s'installer.
individuelle, et il peut exister une forme de adapts.
documentation et de comprhension
informelle de la politique et des
procdures.
1 On commence reconnatre la L'approche par processus et les pratiques Il peut exister certains outils ; la pratique On n'a pas identifi quelles comptences Les responsabilits oprationnelles et les Les objectifs ne sont pas clairs et rien
ncessit des processus. sont envisages au cas par cas. se base sur les outils de bureautique sont ncessaires au fonctionnement du responsabilits finales ne sont pas n'est mesur.
standards. processus. dfinies. Les gens s'attribuent la proprit
On communique de temps en temps Les processus et les politiques ne sont des problmes rsoudre de leur propre
sur ces questions. pas dfinis. Il n'y a pas d'approche planifie de Il n'existe pas de plan de formation et initiative en fonction des situations.
l'utilisation des outils. aucune formation n'est officiellement
organise.
L'valuation de ces attributs dans un modle, comme l'illustre la figure 22, fournit l'auditeur des SI un systme d'toile montante ,
indiquant les carts significatifs entre les situations actuelles et les situations vises, les secteurs ncessitant une attention particulire et les
actions potentielles retour sur investissement sr et rapide.

CADRAGE DES OBJECTIFS DE CONTRLE ET DES RESSOURCES INFORMATIQUES
DES OBJECTIFS DE CONTRLE
ET DES RESSOURCES INFORMATIQUES
CADRAGE
4. C ADRAGE DES OBJECTIFS DE CONTRLE

ET DES RESSOURCES INFORMATIQUES
INTRODUCTION
La phase de cadrage correspond la deuxime phase du rfrentiel d'audit des SI (illustre par la figure 23). Cette phase sert dsigner les
ressources informatiques et les objectifs de contrle qui sont pris en compte dans un cadre de rfrence de contrle des SI donn, lors de la
phase d'excution de la mission. Le cadrage consiste relier les ressources informatiques applicables (ex : applications, informations,
infrastructure, personnes) et les objectifs de contrle des SI applicables, puis valuer l'importance relative de l'impact gnr par la non-
ralisation d'un objectif de contrle spcifique. La figure 23 illustre le processus de cadrage en 8 tapes.
Figure 23 Plan d'action du cadrage de l'audit des SI
A. Critre du cadre de
rfrence
1 tablir des inducteurs pour la
mission d'audit Un langage commun
(expliciter via des entretiens avec les pour les activits
parties prenantes) informatiques et les
pratiques cls de
management
Centr sur le mtier
2 Documenter l'architecture 3 Attentes de la
informatique de l'entreprise Choisir un cadre de rfrence de gouvernance
(expliciter via des entretiens avec les contrle des SI [A] Tches et activits
principaux membres du service (vrifier s'il satisfait aux critres minima)
informatiques organises
informatique) dans des processus
distincts
Slectionner les processus Conformit aux bonnes
4
informatiques [B] pratiques informatiques
(documenter et valider les liens entre et aux normes de
les objectifs mtiers, les objectifs gouvernance d'entreprise
informatiques et les processus gnralement admises
informatiques)
B. Dterminer le
5 Slectionner les composants 7 contenu
Slectionner les objectifs de
informatiques [B]
contrle initiaux [B] Slectionner
(consigner les ressources et les
(exploiter les mises en correspondance Peser
activits importantes pour les processus
des rfrentiels de contrle) Retrancher
slectionns)
Personnaliser
Affiner la slection des composants Affiner la slection

6 8
par une analyse des objectifs de contrle
des causes et des effets [B] l'aide de l'analyse des risques [B]
(utiliser la chane des objectifs et des (tablir les liens entre les menaces
mtriques : mtiers-processus significatives, les vulnrabilits
informatique-activit) applicables et les impacts rsultants)
Un cadrage trop troit de la mission d'audit peut conduire ce que des facteurs significatifs ne soient pas pris en compte. Un cadrage trop
large de la mission d'audit peut entraner des inefficacits et des conclusions incorrectes en raison de ressources limites et d'un manque de
temps. L'annexe 8, intitule Cadrage des SI , propose une mthodologie gnrale de cadrage qui peut s'appliquer aux missions d'audit des
SI et divers autres programmes de gouvernance des SI.
TAPES DE CADRAGE DES OBJECTIFS DE CONTRLE ET DES RESSOURCES

INFORMATIQUES
La figure 24 dcrit les 8 tapes de la phase de cadrage excuter lors de la mission d'audit des SI. Ces tapes sont dcrites plus en dtail ci-
aprs.
tape 1 : tablir des inducteurs pour la mission d'audit

Cette premire tape consiste identifier les inducteurs pour la mission d'audit et l'objectif d'audit correspondant. Comme indiqu dans le
chapitre 1, il existe de nombreux inducteurs possibles pour l'audit, y compris l'amlioration des processus et la satisfaction des besoins de
conformit compltant l'audit des tats financiers. La vrification des inducteurs pour la mission d'audit peut tre accomplie, par exemple, en
interrogeant les principales parties prenantes ou en examinant les chartes ou les plans d'audit.

Plus prcisment, les limites de l'entit value doivent tre clairement dcrites, tout comme les rles et responsabilits actuels ainsi que les
ressources requises par les SI pour rpondre aux besoins mtiers dfinis de l'entit value.
L'auditeur doit interroger les membres appropris de la direction et du personnel afin de bien comprendre :
les exigences mtiers et les risques connexes
la structure de l'entreprise
les rles et responsabilits
les politiques et procdures
les lois et rglementations
les mesures de contrle en place
les rapports de gestion (tats, performances, actions)
les problmes subis prcdemment et les actions correctives appliques
les inquitudes et problmes actuels
ce que la direction espre obtenir de la mission d'audit.
tape 2 : Documenter l'architecture informatique de l'entreprise

La deuxime tape consiste documenter l'architecture informatique de l'entreprise. Le concept et les lments de l'architecture sont dfinis
dans le chapitre 3. L'architecture informatique de l'entreprise peut galement tre valide en interrogeant les principaux membres du service
informatique.
tape 3 : Slectionner un cadre de rfrence de contrle

Cette troisime tape consiste slectionner des cadres de rfrence de contrle appropris. Il s'agit gnralement de COBIT mais, pour
certaines missions, il peut s'agir de COSO, de cadres de contrle similaires au niveau de l'entit ou de normes ou rfrentiels plus dtaills,
tels que l'une des normes ISO applicables.
tape 4 : Identifier les processus informatiques

Aprs avoir choisi le cadre de rfrence de contrle appropri, l'tape suivante consiste slectionner les processus informatiques appropris
et les associer aux ressources informatiques correspondantes. Les processus informatiques concerns peuvent tre identifis par l'analyse
des relations entre les objectifs mtiers, les objectifs informatiques et les processus informatiques.
tape 5 : Slectionner les composants informatiques

L'tape 5 est dcrite dans le chapitre 2. Les ressources informatiques sont composes des lments suivants :
applications
informations
infrastructures
personnes.
Un certain nombre de donnes peuvent tre utilises pour dterminer les ressources informatiques concernes par la mission. L'accent doit
tre mis sur l'exhaustivit puisque l'analyse des risques qui a lieu ensuite permet de dsigner les lments exclure du champ d'intervention
de la mission. Toutefois, il convient galement de tenir compte de l'efficacit afin de conserver une matrice d'une taille raisonnable et
grable. Voici les diffrentes donnes utilises :
les inducteurs de la mission : les inducteurs de la mission d'audit sont les facteurs les plus importants permettant de dterminer les
composants informatiques et les objectifs de contrle examiner. Voici quelques exemples classiques : une grave dtrioration du service,
un changement organisationnel ou la mise en conformit avec la rglementation.
les exigences mtiers de contrle : ce guide tant ax sur l'audit des SI, nous supposons que l'analyse des contrles mtiers requis et
applicables a t effectue de sorte que le cadrage des contrles des SI se limite dterminer la faon dont les SI favorisent les contrles
mtiers automatiss.
l'architecture de l'entreprise pour les SI : l'architecture de l'entreprise englobe les processus utiliss pour fournir les services
d'information, le panel d'applications et de systmes auquel a recours l'entreprise, la technologie utilise pour les excuter et les personnes
ncessaires la planification, la cration, l'exploitation et la maintenance des applications. Les ressources informatiques ou les groupes de
ressources informatiques concerns peuvent tre dduits de l'architecture.
tape 6 : Affiner la slection des composants informatiques

Lors de l'tablissement initial des liens entre les processus et les ressources, l'auditeur peut dfinir un panel assez large, sans doute plus large
que ce qui peut tre valu de faon rentable au titre de la mission d'audit. Lors de la sixime tape, l'auditeur doit affiner la slection des
ressources informatiques en s'assurant qu'elles prsentent un lien direct avec les processus inhrents la mission.

tape 7 : Slectionner les objectifs de contrle
L'auditeur effectue une premire slection des objectifs de contrle COBIT qui correspondent aux processus informatiques viss par la
mission d'audit. Gnralement, les objectifs de contrle doivent tre adapts la ralit de la situation spcifique de l'entreprise. Pour la
plupart des missions, le cadrage des ressources informatiques ne ncessite pas une analyse de grande ampleur car il part de la situation
spcifique d'une entreprise. Rciproquement, le cadrage des objectifs de contrle ncessite une analyse plus pousse car il part d'un ou
plusieurs cadres de rfrence d'ordre plus gnral. COBIT fournit les supports permettant d'excuter cette dernire tape, en dcrivant un
nonc des risques et des valeurs pour chacun des objectifs de contrle. Cela permet de dmontrer la ncessit des diffrents contrles.
Une mise en correspondance est ncessaire, ainsi que l'adaptation des objectifs de contrle slectionns l'environnement de l'entreprise et
l'objectif de la mission d'audit.
tape 8 : Affiner la slection des objectifs de contrle

Enfin, lors de la huitime tape, l'audit tablit la liaison entre le portefeuille affin des ressources informatiques labor lors de l'tape 6 et la
premire srie d'objectifs de contrle slectionne lors de l'tape 7. Dans le cadre d'un processus itratif, l'auditeur affine et, gnralement,
rduit la liste des objectifs de contrle qui correspondent spcifiquement cette mission d'audit. Le processus visant relier les ressources
informatiques aux objectifs de contrle est illustr par la figure 24.
Figure 24 Cadrage des objectifs de contrle et des ressources informatiques en fonction des risques
Exigences de Inducteurs de Cadre de

contrle des la mission contrle des
mtiers daudit SI
Architecture
de lentreprise Slection des processus informatiques
pour les SI
Cadrage des objectifs de contrle
Exigences de
contrle des
Cadrage des ressources
mtiers Le fait de ne pas atteindre cet objectif

de contrle pour cette ressource
informatiques
informatique aura-t-il un impact

important ?
Inducteurs de
la mission
daudit
Cadre de
contrle des
SI
Au cours de cette tape, l'auditeur doit analyser le risque de ne pas atteindre les objectifs de contrle choisis pour les ressources
informatiques slectionnes. Il doit uniquement conserver les ressources informatiques et les objectifs de contrle qui auraient un effet
significatif si l'objectif de contrle n'tait pas atteint.
L'auditeur doit :
examiner les lignes horizontales du tableau (figure 24) pour dterminer si le risque est suffisant pour laisser les ressources informatiques
dans le cadre de la mission et pour identifier les ressources haut risque qui pourraient ncessiter des tests et des examens plus approfondis
examiner les lignes verticales du tableau (figure 24) pour supprimer les objectifs de contrle qui prsentent un risque peu lev et pour
identifier les objectifs qui ncessitent des solutions l'chelle de l'entreprise (contrairement aux solutions ponctuelles).
La conclusion indispensable de cette tape, illustre par la figure 24, consiste rpondre la question suivante : Le fait de ne pas atteindre
cet objectif de contrle pour cette catgorie de ressources informatiques sera-t-il important pour cette mission d'audit spcifique ? . Seules
les cellules pour lesquelles la rponse est oui doivent tre conserves dans le primtre dfinitif de contrle des SI.
OBJECTIFS MTIERS RELATIFS AUX SI ET OBJECTIFS INFORMATIQUES

Pour aider les auditeurs des SI planifier l'audit, COBIT fournit une structure en cascade dtaille, des objectifs mtiers relatifs aux SI aux
processus informatiques, en passant par les objectifs informatiques. COBIT dfinit 17 objectifs mtiers gnriques, qui englobent les
indicateurs stratgiques mtiers et les services qui ont des rpercussions directes sur les SI. Ces objectifs mtiers sont convertis en objectifs
informatiques complmentaires qui, leur tour, sont relis aux objectifs des processus informatiques (cf. annexe 1 de COBIT 4.1). Cette
dclinaison des objectifs mtiers, informatiques et processus est particulirement utile pour analyser les inducteurs de la mission d'audit et
leur impact sur le primtre d'audit.

Cette dclinaison d'objectifs peut permettre d'orienter la procdure de planification de l'audit. Comme le montre la figure 25, si le travail
d'audit se focalise sur une fonction mtier spcifique, les objectifs mtiers relatifs aux SI et les objectifs informatiques peuvent constituer un
apport intressant pour le travail de planification d'audit. Le travail d'audit qui se focalise sur un composant organisationnel spcifique (par
exemple, un processus), peut utiliser les objectifs informatiques et les objectifs des processus informatiques comme source d'information
pour la planification de l'audit.
Figure 25 Objectifs mtiers relatifs aux SI, objectifs informatiques et objectifs des processus informatiques dans le cadre de la planification de l'audit des SI
OBJET DE L'AUDIT
Composant
Application Composant
Fonction mtier important de Changement majeur
stratgique organisationnel
l'infrastructure
INFORMATION
Objectifs mtiers P S P
OBJECTIFS
SUR LES
Objectifs informatiques S P P S S
Objectifs des processus informatiques S S P S

(P=Primaire, S=Secondaire)

EXCUTION DE LA MISSION DAUDIT
LA MISSION DAUDIT
EXCUTION
DE
5. E XCUTION DE LA MISSION D 'AUDIT

INTRODUCTION
La phase d'excution correspond la troisime phase du rfrentiel d'audit des SI (illustre plus haut par la figure 10). La figure 10 dcrit un
plan d'action que les auditeurs peuvent appliquer lorsqu'ils ralisent une mission d'audit spcifique. Le reste de cette section analyse en dtail
ce plan d'action.
Figure 10 Plan dexcution
En
Affiner le remplacement
Evaluer
champ d'action ou en Formuler et
Affiner la l'efficacit des
des principaux complment, Evaluer l'impact communiquer
comprhension contrles des
objectifs de valuer le des faiblesses lensemble des
du domaine principaux
contrle pour le rsultat des de contrle conclusions et
d'audit des SI objectifs de
domaine d'audit principaux recommandations
contrle
des SI objectifs de
contrle
TAPE 1 : AFFINER LA COMPRHENSION

Cette tape permet de documenter les activits inspirant les objectifs de contrle et d'identifier les mesures de contrle annonces et les
procdures en place.
La premire tape de la phase d'excution consiste affiner la comprhension de l'environnement faisant l'objet de la mission. Cela implique
de bien connatre l'entreprise afin de slectionner des objectifs et un primtre d'audit appropris. Les objectifs et le primtre de l'audit
doivent tre communiqus toutes les parties prenantes et approuves par ces dernires.
Le rsultat de cette tape consiste en des lments probants documents concernant :

qui effectue les tches, o et quand la tche est-elle effectue ?
les intrants requis pour effectuer la tche et les rsultats gnrs par la tche
les procdures dfinies pour effectuer la tche.
L'auditeur peut structurer cette tape selon les modalits suivantes :

entretiens et utilisation des listes d'activit et des tableaux RACI
rcupration et consultation des descriptions de processus, politiques, entres/sorties, questions, comptes-rendus de runions, prcdents
rapports d'audit, prcdentes recommandations d'audit, rapports d'activits, etc.
prparation du travail de cadrage (objectif du processus, buts et mtriques du processus valuer)
comprhension de l'architecture informatique de l'entreprise.
TAPE 2 : AFFINER LE CADRAGE

Cette tape permet de dterminer le primtre de la mission d'audit.
S'appuyant sur la comprhension actuelle et dtaille de l'environnement informatique, des modifications qui ont pu tre apportes aux
objectifs mtiers et/ou aux objectifs d'audit et malgr la planification d'un plan de contrle rentable, il peut tre judicieux d'affiner le cadrage.
Par consquent, il peut tre ncessaire d'affiner la phase de cadrage effectue prcdemment, afin de dterminer un sous-ensemble finalis du
primtre d'audit (par exemple, le processus, le systme, l'application) et un ensemble de contrles effectuer.
Analyser les objectifs mtiers et les objectifs informatiques

Il convient de remettre en adquation les objectifs d'audit et la faon d'aborder les objectifs mtiers actuels. D'autre part, il convient
d'actualiser les connaissances sur les processus mtiers, les objectifs mtiers et la pertinence des SI par rapport aux processus et objectifs. Il
peut tre ncessaire d'affiner les objectifs informatiques, en tenant compte des dernires exigences de l'audit et de l'organisation des SI.

Slectionner les processus et les contrles
La slection des processus informatiques, des objectifs de contrle des SI et des ressources informatiques entrant dans le champ
dintervention (c'est--dire, les applications, informations, infrastructures et personnes) doit tre affine afin d'tablir le primtre de l'audit.
La slection des processus, des objectifs et des ressources connexes consiste dterminer si la non-ralisation de l'objectif de contrle
associ au composant informatique risque d'avoir des rpercussions importantes.
Analyser les risques

Il peut tre ncessaire d'affiner encore davantage le primtre, en fonction de l'valuation du risque inhrent la non-ralisation des objectifs
de contrle significatifs. Ce primtre ajust en fonction des risques permet de dterminer le nombre et l'importance d'valuations et de
contrles ncessaires.
Finaliser le champ d'intervention

La stratgie d'audit doit tre dfinie et le primtre et l'objectif de la mission d'audit doivent tre finaliss partir des dernires connaissances
acquises sur les objectifs, la mthode de contrle optimale et le risque estim, comme dcrit prcdemment. La slection des processus
informatiques, des ressources informatiques et des objectifs de contrle des SI doit tre ajuste en fonction de la stratgie dfinie. La
documentation requise et la mthode d'valuation doivent tre dtermines afin de garantir le traitement le plus efficace et efficient des
objectifs d'audit.
TAPE 3 : VALUER LES CONTRLES

Cette section rpertorie les diffrentes techniques qui seront utilises dans les tapes d'audit dtailles.
Des valuations et des tests sont effectus, portant sur les principaux objectifs de vrification suivants (que l'on retrouve galement dans les
missions d'audit SAS 70 3 et SysTrust4) :
valuer les contrles
vrifier que les contrles sont appliqus
valuer l'efficacit oprationnelle des contrles
Les valuations et tests peuvent galement porter sur l'efficacit des contrles.
Durant la phase de contrle, diffrents types de vrification et de test peuvent tre appliqus. Voici les lments qui composent les cinq
mthodes de contrle gnriques :
S'informer et confirmer :
rechercher les exceptions/carts et les examiner
analyser les transactions/vnements inhabituels ou exceptionnels
vrifier/dterminer si une action s'est (ou ne s'est pas) produite (chantillon)
corroborer les rapports de gestion partir de sources indpendantes
interroger les employs et valuer leurs connaissances et leur sensibilisation.
rapprocher les transactions (ex : rapprochement des transactions avec les relevs bancaires)
interroger le management et obtenir des rponses pour confirmer des constatations.
Inspecter :
examiner les plans, les politiques et les procdures
rechercher les pistes d'audit, les journaux d'incidents, etc.
retrouver l'origine des transactions dans le processus/systme
vrifier physiquement l'existence de documents, actifs, etc.
effectuer la visite sur site des installations, des plans, etc.
effectuer une tude de la conception ou une inspection des codes
comparer la ralit et les constatations attendues.
Observer :
observer et dcrire les processus
observer et dcrire les procdures
comparer la ralit et le comportement attendu.
Rexcuter et/ou recalculer :
exposer et estimer sparment le rsultat attendu
tenter ce qui est empch
rexcuter ce qui est dtect par les contrles de dtection
rexcuter les transactions, les procdures de contrle, etc.
recalculer sparment
comparer la valeur escompte et la valeur relle
comparer la ralit et le comportement attendu
retrouver l'origine des transactions dans le processus/systme.
3
Le Statement on Auditing Standards (SAS) n70, Service Organizations (socits de services), est une norme d'audit reconnue l'international, dicte par
l'American Institute of Certified Public Accountants (AICPA).
4
SysTrust est un service de certification mis au point par l'AICPA et l'Institut Canadien des Comptables Agrs (ICCA).

Contrler la collecte automatise des lments probants :
collecter des chantillons de donnes
utiliser des modules d'audit intgrs
analyser les donnes l'aide de techniques d'audit assistes par ordinateur
extraire des exceptions ou des transactions cls.
Cette tape permet d'valuer l'adquation de la conception des contrles. Les trois points d'audit suivants doivent tre traits :
observer/inspecter et analyser la mthode de contrle, et en vrifier l'exhaustivit, la pertinence, l'opportunit et la mesurabilit
demander et vrifier si la responsabilit des dispositions de contrle et la responsabilit gnrale ont t attribues. Vrifier si les
responsabilits oprationnelles et les responsabilits finales sont comprises et acceptes. Vrifier si les comptences appropries et les
ressources ncessaires sont disponibles
interroger les principaux employs concerns pour dterminer s'ils comprennent bien le mcanisme de contrle, son but, ainsi que les
responsabilits oprationnelles et les responsabilits finales.
En rsum, l'auditeur doit dterminer si :

des processus de contrle documents existent
des traces appropries des processus de contrle existent
les responsabilits oprationnelles et les responsabilits finales sont claires et effectives
des contrles compensatoires existent, si ncessaire.
En outre, et notamment dans les missions d'audit interne, il convient de vrifier le rapport cot/efficacit de la conception des contrles
l'aide des tapes d'audit suivantes :
si le dispositif de contrle est performant, vrifiez s'il est possible de le rendre plus efficace en optimisant les procdures, en recherchant
des synergies avec d'autres mcanismes de contrle et en rexaminant l'quilibre entre la prvention et la dtection/correction. Tenez
compte des efforts fournis pour grer le dispositif de contrle
si l'ensemble du dispositif de contrle fonctionne bien, vrifiez s'il est possible de le rendre plus rentable. Pensez analyser les mesures de
performance des activits associes cet ensemble de pratiques de contrle, les possibilits d'automatisation et/ou le niveau de
comptence.
TAPE 4 : VALUER LE RSULTAT DES OBJECTIFS DE CONTRLE

Cette tape permet de garantir que les mesures de contrle mises en place fonctionnent comme prvu, de faon homogne et continue, et
d'mettre une conclusion sur le bien-fond de l'environnement de contrle.
Pour tester le rsultat ou l'efficacit du contrle, l'auditeur doit rechercher les lments probants directs et indirects de l'impact du contrle
sur la qualit des sorties du processus. Cela implique de dterminer la corroboration directe et indirecte de la contribution mesurable du
contrle aux objectifs informatiques, des processus et de l'activit. Et donc d'enregistrer les preuves directes et indirectes de l'obtention relle
des rsultats, comme indiqu dans COBIT.
L'auditeur doit prouver de faon directe ou indirecte, sur une slection d'lments ou de priodes, que le contrle valu fonctionne
efficacement, en appliquant une srie de techniques d'valuations et de tests, comme indiqu dans l'tape 3. L'auditeur doit galement
effectuer un examen limit de l'adquation des livrables des processus et dterminer le niveau des tests de corroboration et de travail
additionnel ncessaire pour obtenir l'assurance que le processus informatique est adapt.
TAPE 5 : VALUER L'IMPACT DES FAIBLESSES DE CONTRLE

Cette tape permet de justifier le risque que l'objectif de contrle ne soit pas atteint, l'aide de techniques d'analyses ou en utilisant d'autres
sources de conseil.
Lorsque des faiblesses de contrle sont constates, elles doivent tre correctement documentes, en tenant compte de leur nature
gnralement sensible et confidentielle. En outre, il convient d'tre particulirement vigilant pour analyser et valuer correctement la gravit
des faiblesses constates et l'impact potentiel qu'elles pourraient avoir sur l'activit.
L'objectif de cette tape est d'effectuer les tests ncessaires pour apporter au management la garantie (ou l'absence de garantie) relative la
ralisation d'un processus mtier donn et de ses objectifs de contrle correspondants. Une analyse plus approfondie doit tre effectue si :
aucune mesure de contrle n'est applique
les contrles ne fonctionnent pas comme prvu
les contrles ne sont pas appliqus de faon homogne.

Cela devrait permettre d'identifier parfaitement les faiblesses de contrle et les menaces et vulnrabilits en dcoulant, ainsi que l'impact
potentiel de ces faiblesses de contrle.
Les points d'audit suivants peuvent tre traits pour valuer l'impact gnr par la non-ralisation de l'objectif de contrle :
relier l'impact gnr par la non-ralisation de l'objectif de contrle des cas rels s'tant produits dans le mme secteur d'activit et tirer
parti des analyses comparatives du secteur
relier les indicateurs de performance connus aux rsultats connus et, en leur absence, relier la cause son effet (analyse des causes et des
effets)
illustrer les lments potentiellement affects par l'impact (ex : buts et objectifs mtiers, lments de l'architecture d'entreprise, capacits,
ressources)
illustrer l'impact de la faiblesse des contrles avec des chiffres et des scnarios d'erreur, d'inefficacit et d'utilisation inapproprie
donner des prcisions sur les vulnrabilits et les menaces les plus probables en cas de mauvais fonctionnement des contrles
valuer l'impact des faiblesses relles des contrles en termes de rsultats financiers, d'intgrit des rapports financiers, d'heures de travail
perdues, de pertes commerciales, de capacit grer et ragir au march, d'exigences des clients et des actionnaires, etc.
signaler les consquences du non-respect des obligations lgales et des accords contractuels
mesurer l'impact rel des interruptions et des pannes sur les objectifs et les processus mtiers, et sur les clients (ex : nombre, effort,
indisponibilit, satisfaction des clients, cot)
valuer le cot (ex : impact financier et client) des erreurs qui auraient pu tre vites par des contrles efficaces
mesurer et valuer le cot du travail supplmentaire (ex : rapport entre le travail supplmentaire et le travail normal) comme mesure
efficace affecte par les faiblesses de contrle
mesurer les avantages commerciaux rels et illustrer les conomies gnres par des contrles efficaces a posteriori
utiliser les rsultats des enqutes et des tudes comparatives pour comparer les performances de l'entreprise avec d'autres entits
utiliser des graphiques dtaills pour illustrer les points abords.
COBIT propose une assistance dans les domaines suivants :

les objectifs mtiers, informatiques et processus et les critres d'information dans les descriptions de processus dsignent les valeurs de
l'entreprise qui sont menaces si les contrles ne sont pas correctement appliqus
pour chaque objectif de contrle, des noncs d'inducteurs de risque et de valeur indiquent les avantages tirs et les risques vits grce
l'amlioration des contrles
les tableaux RACI dmontrent les fonctions qui peuvent tre concernes par le risque et qui, par consquent, doivent tre informes du
rsultat des tests de corroboration
les modles de maturit peuvent tre exploits pour effectuer des analyses comparatives en interne et par rapport d'autres secteurs ou
concurrents, de faon simple, accessible et comprhensible, afin d'influer sur la direction. Des donnes d'analyses comparatives sont
disponibles sur COBIT Online.
TAPE 6 : RDIGER ET NOTIFIER L'ENSEMBLE DES CONCLUSIONS ET

RECOMMANDATIONS
Cette tape permet de communiquer, preuves l'appui, le risque inhrent aux faiblesses de contrle aux diffrents partenaires de la mission
d'audit.
L'auditeur doit valuer toutes les faiblesses de contrle identifies ainsi que les menaces et les vulnrabilits en dcoulant, et identifier et
valuer l'impact rel et potentiel (ex : par l'intermdiaire d'une analyse causale). En outre, l'auditeur peut fournir des donnes comparatives
(ex : des analyses comparatives) afin d'tablir un cadre de rfrence dans lequel les rsultats des valuations et tests doivent tre valus.
Pour faciliter cette tche, un modle de maturit gnrique du contrle interne est fourni dans le chapitre 7, Modle de maturit du contrle
interne. Il dcrit la situation de l'environnement de contrle interne et la mise en place de contrles internes dans une entreprise. Il montre
galement comment la gestion du contrle interne et la prise de conscience de la ncessit d'tablir de meilleurs contrles internes voluent
gnralement d'un niveau donn un niveau optimis.
L'objectif est d'identifier des lments significatifs pour tre en mesure d'exposer au partenaire les actions recommandes et les motifs du
passage l'action. Cette phase inclut le rassemblement des rsultats des phases prcdentes, l'laboration d'une conclusion concernant les
faiblesses de contrle identifies et la communication des lments suivants :
les actions recommandes pour attnuer l'impact des faiblesses de contrle
le comparatif de performance par rapport aux normes et aux meilleures pratiques pour une vue relative sur les rsultats
le niveau de risque associ au processus.
La conclusion et les recommandations formules doivent permettre la partie responsable de prendre des mesures supplmentaires et des
mesures correctives.
Lorsque la mission d'audit est effectue dans un contexte d'audit, l'auditeur doit tre attentif la communication d'audit officielle et respecter
les normes et les recommandations en matire de rapports d'audit (disponibles sur www.isaca.org).

PRINCIPES DAUDIT DES PROCESSUS ET DES CONTRLES COBIT
ET DES CONTRLES COBIT
DAUDIT
DES PROCESSUS
PRINCIPES
6. PRINCIPES D 'AUDIT DES PROCESSUS ET DES CONTRLES C OBI T

INTRODUCTION
Cette section dcrit la structure des recommandations pour les valuations et les tests dtaills bass sur COBIT, qui portent sur 6 contrles
gnriques applicables tous les processus informatiques, des contrles gnraux informatiques bass sur les 34 processus informatiques
COBIT et 6 contrles applicatifs.
Des recommandations sont fournies pour valuer les contrles, le rsultat des contrles et l'impact dans les annexes 1 6, conformment la
disposition de la figure 26.
Figure 26 Structure des conseils d'audit dtaills dans les annexes 1 6
Objectifs de contrle Enonc des valeurs Enonc des risques
Procdures dvaluation des contrles
Procdures dvaluation du rsultat des objectifs de contrle
Procdures dvaluation de l'impact des faiblesses de contrle
CONTRLES GNRIQUES DES PROCESSUS

Chaque processus COBIT est associ des exigences de contrle gnriques qui sont identifies par des contrles gnriques des processus
dans le domaine Contrle des Processus (CP) (cf. annexe 1). Ces contrles s'appliquent tous les processus COBIT et doivent tre pris en
compte en mme temps que les objectifs de contrle COBIT dtaills pour avoir une vision complte des exigences de contrle.
Les 6 contrles de processus gnriques, dtaills dans l'annexe 1, Contrle des processus, sont les suivants :
PC1 Buts et objectifs du processus
PC2 Proprit du processus
PC3 Reproductibilit du processus
PC4 Rles et responsabilits
PC5 Politiques, plans et procdures
PC6 Amlioration des performances du processus
PRATIQUES DE CONTRLE GNRIQUES

Trois pratiques de contrle gnriques et, par consquent, trois tapes d'audit gnriques sont dfinies comme suit :
la mthode
la responsabilit oprationnelle et la responsabilit finale
la communication et la comprhension.
L'ensemble compos des pratiques de contrle gnriques et des pratiques de contrle spcifiques constituent une mthode de contrle
cohrente, ncessaire et suffisante pour atteindre les objectifs de contrle tablis. D'autres mthodes de contrle, associes d'autres
ensembles de pratiques, peuvent exister. Il est donc toujours ncessaire de vrifier le bien-fond du contrle, ds le dbut de la mise en uvre
du contrle ou des activits d'audit.
Mthode
La pratique de contrle gnrique mthode se compose des lments suivants :
la pratique de contrle gnrale : elle labore la mthode de contrle permettant d'atteindre cet objectif de contrle et gre les pratiques
de contrle qui mettent en uvre cette conception.

la dmarche d'audit : elle permet de vrifier et de confirmer qu'un ensemble de pratiques a t dfini pour atteindre cet objectif,
d'observer/inspecter et d'analyser la mthode de contrle et d'valuer l'exhaustivit, la pertinence, l'opportunit et la mesurabilit de la
conception.
Responsabilit oprationnelle et responsabilit finale

La pratique de contrle gnrique responsabilit oprationnelle et responsabilit finale se compose des lments suivants :
la pratique de contrle gnrale : elle dfinit et affecte la responsabilit oprationnelle et la responsabilit finale pour l'objectif de
contrle dans son ensemble, et la responsabilit des diffrentes pratiques de contrle (cf. les tableaux RACI dans COBIT). Elle s'assure que
le personnel possde les comptences adquates et les ressources ncessaires pour assumer ces responsabilits.
la dmarche d'audit : elle permet de vrifier et de confirmer que les responsabilits des pratiques de contrle et la responsabilit globale
ont t affectes de faon efficace et rentable. Elle permet galement d'valuer si la responsabilit finale et les responsabilits sont
comprises et acceptes, et de vrifier si les comptences adaptes et les ressources ncessaires sont disponibles.
Communication et comprhension
La pratique de contrle gnrique communication et comprhension se compose des lments suivants :
les pratiques de contrle gnrales : elles s'assurent que les pratiques de contrle, telles qu'elles sont mises en uvre, tiennent compte
des objectifs de contrle et qu'elles sont communiques et comprises.
la dmarche d'audit : elle permet d'interroger les principaux employs concerns pour dterminer s'ils ont reu les informations
ncessaires et s'ils comprennent bien le mcanisme de contrle, son but, ainsi que les responsabilits oprationnelles et les responsabilits
finales.
CONTRLES GNRAUX INFORMATIQUES

Les contrles gnraux portent sur l'environnement dans lequel les systmes applicatifs automatiss sont mis au point, entretenus et exploits
et qui concernent, par consquent, toutes les applications. Ils garantissent le dveloppement, la mise en uvre et la maintenance corrects de
toutes les applications automatises, ainsi que l'intgrit des fichiers de programmes et de donnes, et des oprations informatiques.
Des recommandations sont fournies sur la faon d'valuer les 34 processus informatiques de COBIT dans quatre annexes (cf. annexes 2 5)
conformment aux quatre domaines de COBIT.
CONTRLES APPLICATIFS
Les contrles applicatifs portent sur les transactions et les donnes de rfrence appartenant chaque systme applicatif automatis et ils sont
spcifiques chaque application. Ils garantissent l'exhaustivit et la prcision des enregistrements, ainsi que la validit des entres effectues
dans le cadre des transactions et des donnes de rfrence gnres par le traitement manuel et le traitement automatis. Ils sont dfinis plus
en dtail dans le domaine Contrle des Applications (CA), en annexe 6.
En matire d'audit des SI, une distinction est faite entre les contrles applicatifs et les contrles gnraux. Les contrles gnraux sont ceux
qui sont intgrs l'organisation des SI, aux processus et aux services informatiques. Ils concernent, par exemple :
le dveloppement des systmes
la gestion des changements
la scurit
l'exploitation.
En revanche, on appelle communment contrles applicatifs les contrles intgrs aux applications des processus mtiers.
Ils concernent, par exemple :
l'exhaustivit
l'exactitude
la validit
l'autorisation
la sparation des tches.
Par consquent, les objectifs des contrles applicatifs consistent s'assurer que :
les donnes prpares pour la saisie sont compltes, valables et fiables
les donnes sont converties en un formulaire automatique et saisies dans l'application, de faon prcise, complte et opportune
les donnes sont traites par l'application, de faon complte et opportune, et conformment aux exigences tablies
les rsultats sont protgs contre les modifications non autorises et la dtrioration, et ils sont communiqus conformment aux rgles
tablies.
COBIT considre que la conception et la mise en place de contrles applicatifs automatiss sont de la responsabilit de l'informatique. Elles
relvent du domaine Acqurir et Implmenter (AI) et se basent sur les exigences mtiers dfinies selon les critres d'information de COBIT.
La gestion oprationnelle et la responsabilit des contrles applicatifs ne relvent pas de l'informatique mais des propritaires des processus
mtiers. L'informatique fournit les applications et l'assistance qui va avec, ainsi que les bases de donnes et les infrastructures dont ces
applications ont besoin. En consquence, les processus informatiques de COBIT comportent des contrles gnraux informatiques mais pas
de contrles applicatifs parce que ceux-ci sont de la comptence des propritaires des processus mtiers et, comme cela a dj t expliqu,
parce qu'ils sont intgrs ces derniers.

Les contrles mtiers n'entrent pas dans le champ d'application de COBIT et du Guide d'audit des Systmes d'Information. La figure 27
dfinit les limites des contrles gnraux informatiques et des contrles applicatifs, en dterminant paralllement dans quelle mesure COBIT
gre les contrles mtiers.
Figure 27 Contrles gnraux informatiques et contrles applicatifs
Il incombe aux mtiers de

dfinir correctement les II incombe aux mtiers
exigences de Contrles gnraux informatiques d'utiliser correctement les
fonctionnement et de services automatiss
contrle
Planifier et Organiser
Exigences mtiers Acqurir Dlivrer

de fonctionnement Services
et et automatiss
Exigences mtiers Implmenter Supporter
de contrle
Surveiller et Evaluer
Il incombe l'informatique
d'automatiser et de mettre en uvre les exigences mtiers de
Contrles Contrles
fonctionnement et de contrle,
mtiers de mettre en place des contrles pour maintenir l'intgrit des contrles mtiers
applicatifs
Contrles applicatifs
Concernant les services automatiss, il incombe aux mtiers de dfinir des exigences de fonctionnement et des exigences de contrle
inclure dans tous les processus mtiers pris en charge par les applications. Il incombe ensuite l'informatique d'automatiser les exigences
mtiers de fonctionnement et de contrle et de mettre en place des contrles pour maintenir l'intgrit des applications mtiers.
Comme pour les contrles gnraux informatiques et les contrles de processus gnriques, des recommandations sont fournies pour valuer
les contrles, le rsultat et l'impact de chacun des 6 contrles des applications COBIT, dtaills en annexe 6 (Contrle des Applications) :
CA1 Autorisation et prparation des documents source
CA2 Collecte des documents source et saisie des donnes
CA3 Vrifications d'exactitude, d'exhaustivit et d'authenticit
CA4 Intgrit et validit du traitement des donnes
CA5 Vrification des rsultats, rapprochement et traitement des erreurs
CA6 Authentification et intgrit des transactions.
Les faiblesses des contrles des applications peuvent avoir des rpercussions sur la capacit d'une entit traiter les transactions mtiers
travers les applications et les processus mtiers concerns. Les contrles applicatifs sont un sous-composant des contrles mtiers de l'entit.
Les faiblesses des contrles applicatifs peuvent tre attnues par des contrles compensatoires manuels et organisationnels. L'impact des
faiblesses des contrles applicatifs doit tre tudi en tenant compte de la nature sous-jacente des processus mtiers et des transactions
connexes, et de l'impact des autres contrles des processus mtiers. ce titre, il doit tre tudi en collaboration avec l'auditeur des processus
mtiers.
EXEMPLES DE MISE EN UVRE DES PROCDURES D'AUDIT DTAILLES

Voici quelques exemples significatifs de la faon d'appliquer les tapes d'valuation :
Exemple 1 : valuation des contrles

SITUATION
Les contrles gnraux informatiques sont revus dans le cadre de l'valuation du processus AI6 Grer les changements, objectif de contrle
AI6.2 valuation de l'impact, choix des priorits et autorisation.

OBSERVATIONS
Pour les systmes slectionns (ex : application, plate-forme, rseau), l'auditeur a fait l'inventaire des types de changement pouvant tre mis
en place, des procdures (formelles ou informelles) dj en place, de toutes les parties impliques dans le processus de gestion des
changements, des outils utiliss, etc. Cette opration a t effectue par le biais d'entretiens avec les personnes concernes et de demandes de
procdures documentes. Le rsultat de ce travail est un organigramme complet et exact du processus de gestion des changements. L'auditeur
a analys le processus identifi pour dterminer s'il prvoyait une tape visant voluer l'impact d'un changement par une personne ou un
groupe de personnes comptent. L'auditeur a remarqu que le modle permettant de demander et de valider les changements incluait une
section sur l'valuation de l'impact. Toutefois, la procdure de gestion des changements n'indiquait pas que cette information tait obligatoire
et l'absence de cette information n'a pas entran le refus de la demande de changement. En outre, la procdure ne mentionnait aucune norme
documentaire ni aucune vrification et procdure de validation obligatoires pour l'valuation de l'impact.
CONCLUSION
Les contrles laissent dsirer car un composant essentiel du contrle (l'valuation de l'impact) est pour le moins incomplet.
Des changements ont peut-tre t mis en place sans en valuer correctement les risques, ce qui peut entraner des dysfonctionnements ou
des perturbations oprationnelles imprvues et difficiles matriser.
Exemple 2 - valuation de l'efficacit des contrles

SITUATION
AI6.3 Modifications d'urgence.
OBSERVATIONS
Dans le cadre de l'valuation des contrles, l'auditeur a constat que, pour toutes les procdures concernes de gestion des changements, un
contrle est dfini pour s'assurer que les demandes de modification d'urgence sont rintroduites dans le cycle de gestion des changements
standard. En outre, l'auditeur a constat qu'il existe une procdure vrifiant que toutes les modifications d'urgence sont correctement
consignes dans un outil de gestion des changements. Dans le cadre de l'valuation de l'efficacit des contrles, un chantillon des demandes
de modification d'urgence a t slectionn dans l'outil de gestion des changements et fait l'objet d'un suivi jusqu' sa rintroduction en tant
que changement standard. Ce suivi consistait notamment vrifier si la modification d'urgence tait effectivement rintroduite en tant que
changement standard et si elle tait applique conformment la procdure de gestion des changements standard.
L'auditeur a constat que, sur un chantillon de 25 modifications d'urgence slectionnes, trois d'entre elles n'taient pas rintroduites dans le
processus en tant que changements standard. Il a galement observ que, parmi les 22 modifications d'urgence qui avaient t dment
rintroduites, seulement 10 ont t voques par le comit de gestion des changements ou au moins qu'une trace indiquait que ces
10 modifications avaient t voques (cette trace incluait les informations stockes dans l'outil de gestion des changements).
CONCLUSION
La procdure de modification d'urgence n'est pas efficace, et ceci pour deux raisons :
les modifications d'urgence ne sont pas toutes rintroduites dans le systme. On risque donc de les perdre de vue et de n'en retirer aucun
enseignement
les modifications d'urgence qui ont t rintroduites sont trs probablement tudies et documentes de faon inapproprie, ce qui entrane
le mme risque.
Exemple 3 - valuer l'impact des faiblesses de contrle

SITUATION
AI6.3 Modifications d'urgence.
OBSERVATIONS
partir de la situation donne, l'auditeur devait obtenir des informations supplmentaires et procder une analyse plus approfondie afin
d'valuer et de documenter l'impact des faiblesses de contrle. Pour les exemples susmentionns, l'auditeur devait tudier les types de
changement, et leur nombre, concerns par les faiblesses de contrle.
Certaines des informations requises pouvaient ou devaient dj tre recueillies lors de la phase de planification. Ces informations devaient
permettre d'valuer l'importance des faiblesses observes. Plus prcisment, les changements concerns devaient tre remis en
correspondance avec les composants d'infrastructure concerns et les applications/informations qu'ils traitent ou prennent en charge. En
outre, des pnalits pouvaient tre appliques pour non-respect des contrats de service (CS). D'autre part, l'analyse des problmes observs
par le pass peut permettre de dterminer l'impact potentiel rel des faiblesses constates.
Dans ce cas, il s'avre, aprs discussion avec le responsable de la gestion des changements et confirmation auprs d'autres membres du
conseil de gestion des changements, que les modifications d'urgence manquantes concernent des systmes non stratgiques et la
documentation manquante n'tait qu'un problme de documentation alors que le changement rel, sa cause et ses consquences avaient t
rellement tudis mais n'taient pas officiellement documents.
CONCLUSION
Mme si les faiblesses de contrle restent telles qu'elles ont t observes, l'analyse complmentaire et la documentation ont montr que ces
faiblesses revtaient une importance moindre que ne le laissaient prsager les premires valuations.

COMMENT LES COMPOSANTS DE COBIT FAVORISENT-ILS LES ACTIVITS DAUDI DES SI ?
COBIT
?
LES COMPOSANTS DE
ACTIVITS DAUDIT DES SI

FAVORISENT-ILS LES
COMMENT
COMMENT LES COMPOSANTS DE COBIT FAVORISENT LAUDIT DES SI
7. C OMMENT LES COMPOSANTS DE C OBI T FAVORISENT-ILS

LES ACTIVITS D ' AUDIT DES SI ?
INTRODUCTION
La figure 28 tablit des liens entre les activits classiques d'audit des SI et les composants de COBIT qui peuvent tre exploits pour rendre
ces activits plus efficaces et efficientes. Elle dmontre comment COBIT peut favoriser des activits spcifiques lies l'audit, gnralement
excutes sous la forme de tches autonomes, et comment COBIT apporte son assistance au plan d'action propos pour l'audit des SI, dcrit
dans les sections prcdentes.
Une corrlation est indique uniquement lorsqu'il existe un appui fort et spcifique pour une activit d'audit des SI. Toutefois, certains
composants cls favorisent toutes les activits. En pratique, les utilisateurs de COBIT adaptent et personnalisent les ressources de COBIT en
fonction de leurs propres objectifs et dcouvrent comment COBIT peut ajouter de la valeur une tche spcifique. Ce tableau n'est donc qu'un
lment d'orientation.
Deux des composants les plus utiles sont les mesures des objectifs et des rsultats et les tableaux RACI (principales activits et
responsabilits). Ils cernent la nature profonde des SI, leurs processus, activits et objectifs, et favorisent ainsi tous les aspects de la
planification, du cadrage et de l'excution de l'audit. COBIT Online est galement un lment important des activits d'audit des SI. Ses
fonctions de recherche et de navigation permettent d'accder plus facilement l'ensemble du contenu principal de COBIT et des analyses
comparatives trs utiles. Ces composants de COBIT qui revtent une importance particulire pour les activits d'audit apparaissent dans les
colonnes grises de la figure 28.
Figure 28 Liens entre les activits de l'audit des SI et les composants COBIT
Composants COBIT
nonc des risques et des valeurs
d'entreprises pour la gouvernance

Attributs des modles de maturit
Objectifs de contrle des SI pour

Diagnostics des contrles et des
Sarbanes-Oxley, 2me dition

RACI (principales activits et
COBIT Online - Navigation et

Mesure des objectifs et des
Inducteurs de performance
Outil de sensibilisation du
COBIT Online - Analyses

Conseils aux dirigeants
risques informatiques
Critres d'information
Liste des processus
des SI, 2me dition

Modle de maturit
COBIT Quickstart
responsabilits)
comparatives
management
recherche
rsultats
Activits de l'audit des SI

Procder une rapide valuation des risques. V V V V V V V V V
valuer les menaces, la vulnrabilit et les rpercussions sur l'activit. V V V V V V
Diagnostiquer les risques de projet et/ou oprationnels. V V V V V V V

Planifier les missions d'audit en fonction des risques. V V V V V V V V V V V V
Identifier les processus informatiques stratgiques en fonction des
V V V V V V V V V V V
inducteurs de valeur.
valuer la maturit des processus. V V V V V V V V V
Planifier et dfinir le champ d'action des missions d'audit. V V V V V V V
Slectionner les objectifs de contrle des processus stratgiques. V V V V V V
Personnaliser les objectifs de contrle. V V V V V V V V
laborer un programme d'audit dtaill. V V V V V V V V
Tester et valuer les contrles. V V V V V V V V
Justifier les risques. V V V V V V V V V V V V
Communiquer les conclusions de l'audit. V V V V V V V V V V V V V
Auto-valuer la maturit des processus. V V V V V V V V V
Auto-valuer les contrles. V V V V V V V V
Les sections suivantes rsument les corrlations les plus importantes de la figure 28, d'abord du point de vue des composants, puis du point
de vue des activits. Pour conclure, les corrlations les plus fortes entre des activits et des composants sont entoures dans la figure 28.
COMPOSANTS DE COBIT
Les pratiques et les objectifs de contrle sont essentiellement utiles pour valuer les activits connexes. Toutefois, les objectifs de contrle
tant d'un excellent niveau et similaires aux principales pratiques de gestion, ils peuvent tre pris en compte pendant les activits de
planification. Ces deux composants sont galement utiles pour la slection et la personnalisation des objectifs de contrle d'une mission
d'audit.
La liste des processus COBIT et les domaines fournissent une structure de responsabilit pour les SI et permettent de garantir l'exhaustivit du
primtre d'audit. Cette liste est utile lors de la phase de planification mais galement lors du rcapitulatif des conclusions d'une mission
d'audit. De la mme manire, les critres d'information constituent une structure simple, gnrique et de haut niveau des objectifs des
processus informatiques. Ils sont galement utiles pour structurer les plans d'audit et les conclusions.

Les modles de maturit sont des outils trs utiles pour procder des valuations de haut niveau des processus, identifier les processus cls,
dsigner les processus qui ncessitent la plus grande attention dans le programme d'audit et pour rsumer les conclusions de l'audit. Les
attributs de maturit fournissent des dtails supplmentaires pour l'valuation de la maturit des processus. tant applicables tous les
processus, ils constituent galement une alternative aux descriptions spcifiques de maturit des processus fournies pour chaque processus
COBIT. Les modles de maturit dcrivent la faon dont les processus sont grs. Par consquent, les attributs dtaills peuvent tre utiliss
pour personnaliser encore davantage les objectifs de contrle qui dcrivent gnralement uniquement les actions entreprendre. Les modles
de maturit sont de plus en plus utiliss pour l'autovaluation par la direction informatique. Par consquent, ils peuvent constituer une
mthode commune aux auditeurs et aux professionnels des SI, permettant de comprendre et d'approuver les priorits et les secteurs sur
lesquels l'attention doit tre focalise.
Mme si les inducteurs de performance jouent un rle important pour les activits d'audit lors des phases de planification et de reporting d'un
plan d'action d'audit des SI, ils constituent galement une source intressante pour la personnalisation des objectifs de contrle. En effet, ils
impliquent que certaines actions doivent se produire ou que certaines conditions doivent tre remplies afin d'accrotre la probabilit
d'atteindre les buts et objectifs des processus.
Les noncs des risques et des valeurs fournissent les arguments justifiant les contrles mais ils constituent galement des facteurs essentiels
lorsque des valuations des risques de haut niveau ou dtailles sont effectues. Ils servent galement de points de dpart pour identifier les
processus et les composants informatiques stratgiques.
Les outils de diagnostic et de sensibilisation du management sont fournis dans le document Supplemental Tools and Materials, disponible en
ligne et sur CD-ROM en complment du Guide de mise en place de la gouvernance informatique : Utilisation de COBIT et Val IT 2me
dition. Ces outils permettent d'effectuer des valuations initiales de haut niveau sur l'importance des processus, les risques significatifs et
l'tat des contrles des processus, qui ont gnralement lieu lors des premires phases de la mission d'audit.
La prsentation de COBIT Quickstart (de type formulaire d'valuation) se prte facilement des valuations rapides ou de haut niveau, ainsi
qu' des autovaluations efficaces.
Comme indiqu dans COBIT Online, les analyses comparatives et les fonctionnalits permettent de dcrire comment l'entit peut tre
compare avec d'autres entreprises du mme secteur, de la mme rgion ou de la mme taille, en termes de contrles et de gestion des
processus. Le comparatif est accompagn de graphiques circulaires et de diagrammes en toile d'araigne. Ces analyses comparatives donnent
une grande crdibilit aux conclusions des missions d'audit mais elles peuvent galement tre utilises plus tt dans le cycle de vie de l'audit
(par exemple, pour identifier les processus qui ncessitent un primtre d'audit anticip ou approfondi en raison de dcalages par rapport au
reste du secteur).
MISSIONS D'AUDIT DES SI

Pour se familiariser avec l'entit dans laquelle les missions d'audit des SI doivent tre effectues, les composants de COBIT les plus utiles
l'auditeur sont la structure des processus, les modles de maturit, les objectifs, les mesures des rsultats et les inducteurs de performance.
La planification de l'audit des SI en fonction des risques est devenue une pratique courante et elle est facilite par les modles de maturit de
COBIT et les analyses comparatives de COBIT Online, dans le cadre de l'identification des risques potentiels les plus levs. Les noncs des
risques et des valeurs des objectifs de contrle offrent un soutien supplmentaire si une valuation plus dtaille des risques est ncessaire
pour gnrer le plan d'audit. COBIT Quickstart et les outils de diagnostic et de sensibilisation permettent de procder rapidement et
efficacement des valuations de haut niveau.
La planification et le reporting (ainsi que le cadrage dans une moindre mesure) utilisent la plupart des composants de COBIT mais
gnralement titre d'information ou de suggestion uniquement. A contrario, le cadrage et la planification dtaille, ainsi que les valuations
et tests, sont les activits qui utilisent le moins de composants de COBIT mais elles ont tendance les utiliser de faon plus intensive. La
planification, le cadrage et les valuations sont galement des activits d'audit des SI qui utilisent abondamment le cur de COBIT : les
objectifs de contrle.
LES CORRLATIONS LES PLUS FORTES

Voici les corrlations les plus fortes entre les composants de COBIT et les activits d'audit des SI (c'est--dire les associations permettant aux
missions d'audit de tirer le meilleur parti des lments de COBIT) :
les mesures des objectifs et des rsultats associes la planification des missions d'audit en fonction des risques
les noncs des risques et des valeurs associs aux valuations des risques et la corroboration des risques
les activits cls et les tableaux RACI associs la planification dtaille
les pratiques et objectifs de contrle associs aux tests et l'valuation des contrles
les attributs et modles de maturit associs la maturit des processus et autres valuations de haut niveau.
La publication de l'ITGI intitule IT Control Objectives for Sarbanes-Oxley, 2nd Edition (Objectifs de contrle des SI pour Sarbanes-Oxley,
2me dition) fournit galement des corrlations fortes entre les composants de COBIT et les missions d'audit des SI.

ANNEXE I
CONTRLE DES PROCESSUS(CP)
CP1 Buts et objectifs du processus

CP2 Proprit du processus
CP3 Reproductibilit du processus
CP4 Rles et Responsabilits
CP5 Politiques, Plans et Procdures
CP6 Amlioration des performances du processus
ANNEXE I - CONTRLE DES PROCESSUS (CP)

A NNEXE I - CONTRLE DES PROCESSUS (CP)

PROCDURES D'AUDIT DES PROCESSUS
CP1 Buts et objectifs du processus
Objectif de contrle Inducteurs de valeur Inducteurs de risque
Dfinir et communiquer des buts et objectifs spcifiques, mesurables, Processus cls mesurs avec efficacit et Efficacit des processus difficile mesurer
incitatifs, ralistes, axs sur les rsultats et opportuns (SMIRRO), efficience Objectifs mtiers non soutenus par les processus
pour l'excution efficace de chaque processus informatique. S'assurer Processus conformes aux objectifs mtiers
qu'ils sont relis aux objectifs mtiers et soutenus par des mtriques
adaptes.
valuer les contrles

S'assurer de l'existence d'une procdure officielle pour la communication des buts et objectifs et vrifier si cette communication est ritre lorsque les buts et objectifs sont actualiss.
Vrifier et confirmer que les buts et objectifs des processus ont t dfinis. S'assurer que les parties prenantes des processus comprennent ces objectifs.
Vrifier et confirmer que les objectifs des processus informatiques sont relis aux objectifs mtiers.
S'assurer, par le biais d'entretiens avec les parties prenantes des processus, que les objectifs des processus informatiques sont spcifiques, mesurables, incitatifs, ralistes, axs sur les
rsultats et opportuns (SMIRRO).
Vrifier et confirmer que les rsultats et les objectifs qualit associs sont dfinis pour chaque processus informatique.
Examiner la conception du processus avec certaines parties prenantes et vrifier si le processus est compris et s'il est susceptible d'atteindre ses objectifs.
valuer le rsultat de l'objectif de contrle

Analyser les mtriques des processus, les objectifs et les rapports de performance pour vrifier si les objectifs des processus prsentent des caractristiques SMIRRO et sont mesurs
avec efficience et efficacit.
valuer l'efficacit de la communication des buts et objectifs des processus par le biais de discussions avec le personnel diffrents niveaux et via l'observation des supports de
formation, notes et autres documentations.
Tester l'adquation de la frquence de communication des buts et objectifs.
S'assurer que la ralisation des objectifs mtiers est favorise par les processus informatiques, en tablissant des liens entre les deux et en identifiant les objectifs mtiers non pris en
charge.
valuer l'impact des faiblesses de contrle
Dterminer les rpercussions sur l'activit d'une situation dans laquelle les buts et objectifs des processus ne sont pas relis aux objectifs mtiers.
valuer l'impact sur la gestion des processus mtiers d'une situation dans laquelle les objectifs des processus ne sont pas dfinis selon le modle SMIRRO.
ANNEXE I
45
CP2 Proprit du processus
46

Affecter un propritaire chaque processus informatique et dfinir Fonctionnement fiable et sans accroc des Processus dont le fonctionnement n'est pas fiable
clairement les rles et les responsabilits du propritaire du processus Processus ne fonctionnant pas efficacement
processus. Inclure, par exemple, la charge de conception du Interaction efficace entre les processus ensemble
processus, d'interaction avec les autres processus, la responsabilit du Identification et rsolution des questions et Possibles dficiences du champ d'application du
rsultat final, l'valuation des performances du processus et
problmes relatifs aux processus processus
l'identification des possibilits d'amlioration.
Amlioration constante des processus Erreurs de processus non corriges
valuer les contrles
Vrifier et confirmer l'existence d'un propritaire pour chaque processus informatique.

Vrifier et confirmer que les rles et les responsabilits ont t dfinis. S'assurer que les propritaires comprennent et acceptent ces responsabilits.
S'assurer auprs du propritaire du processus et du suprieur immdiat que les comptences ncessaires sont runies pour assumer ce rle et ces responsabilits.
S'assurer que des processus sont prvus pour attribuer la proprit et la responsabilit des processus et des livrables, y compris les communications.

Examiner les descriptions de postes et l'valuation des performances du propritaire du processus, afin de vrifier l'attribution, la comprhension et l'acceptation de la proprit.
Examiner les rles et les responsabilits pour s'assurer qu'ils sont complets et adapts.
Examiner les organigrammes et les liens hirarchiques pour vrifier l'autorit relle.
S'assurer que les processus interagissent efficacement entre eux.
S'assurer que les propritaires des processus favorisent l'amlioration continue.
Dterminer si le propritaire du processus favorise suffisamment la mise en uvre des services de gestion des processus mtiers afin datteindre les objectifs organisationnels court et
long terme.
CP3 Reproductibilit du processus
Dfinir et mettre en place chaque processus informatique cl de faon Plus grande efficience et efficacit des activits Rsultats des processus incohrents et
ce qu'il soit reproductible et qu'il produise invariablement les rcurrentes possibilits d'erreurs de processus
rsultats escompts. Fournir un enchanement logique, flexible et Facilit de maintenance des processus Recours massif aux spcialistes des processus
volutif d'activits qui conduiront aux rsultats souhaits et Capacit dmontrer l'efficacit des processus Processus incapables de ragir aux problmes et
suffisamment souple pour grer les exceptions et les urgences. Si
aux auditeurs et aux organismes de contrle aux nouvelles exigences.
possible, utiliser des processus homognes et personnaliser
uniquement si c'est invitable. Processus favorisant la ralisation des objectifs de
l'organisation informatique globale et optimisant
l'apport de valeur informatique
valuer les contrles

Vrifier et confirmer que la reproductibilit du processus constitue un objectif de management.
Pour les processus importants et reprsentant un risque lev, examiner en dtail les tapes du processus et s'assurer qu'elles apportent la preuve d'une revue du management.
Prciser les bonnes pratiques et les normes sectorielles utilises pour dfinir les processus informatiques.
S'entretenir avec certaines parties prenantes du processus et dterminer leur adhsion au processus.
S'assurer que les systmes sont conus pour tre flexibles et volutifs.

Examiner la conception du processus avec le propritaire du processus et vrifier si les tapes sont logiques et susceptibles de contribuer au rsultat final.
Examiner la documentation du processus pour vrifier l'adoption des normes applicables au processus et le degr de personnalisation.
valuer la maturit et le niveau d'intgration des outils complmentaires utiliss dans le cadre du processus.
Slectionner des donnes sur les rsultats du processus n'atteignant pas les objectifs et dterminer si les causes sont lies la conception du processus, la proprit, aux responsabilits
ou une application incohrente
ANNEXE I
47
CP4 Rles et Responsabilits
48

Dfinir les activits cls et les livrables finaux du processus. Attribuer Plus grande efficience et efficacit des activits Processus non contrls et non fiables
et communiquer des rles et responsabilits non ambigus, pour une rcurrentes Processus ne favorisant pas la ralisation des
excution efficace et efficiente des activits cls et de leur Employs sachant quoi faire et quand le faire, objectifs mtiers
documentation, ainsi que la responsabilit des livrables finaux du amlioration de la motivation et satisfaction Processus non excuts comme prvu
processus.
professionnelle Problmes et erreurs susceptibles de ne pas tre
rsolus
Performance des processus susceptible d'tre
variable et peu fiable
valuer les contrles

S'assurer qu'un processus a t mis en place pour dfinir et grer les informations sur les activits et les livrables cls. S'assurer que ce processus prvoit l'laboration de rgles,
procdures et recommandations complmentaires.
S'assurer que les processus sont conus pour mettre en vidence les actions ralises et pour les inclure dans les informations sur les performances des employs.

S'assurer, par le biais d'entretiens et d'un examen de la documentation, que les activits cls et les livrables finaux des processus ont t identifis et consigns.
Examiner les descriptions de postes et s'assurer que les rles et responsabilits pour les activits cls et la documentation des processus sont consigns et communiqus
S'assurer, par le biais d'entretiens avec les propritaires, le management et les employs, que la responsabilit du processus et de ses rsultats a t attribue, communique, comprise et
accepte. Corroborer les conclusions des entretiens par l'analyse de la rsolution d'incidents de processus srieux et par l'tude d'un chantillon de l'valuation des performances d'un
poste.
Vrifier et confirmer que l'valuation rgulire des performances d'un poste est effectue pour valuer les performances relles par rapport aux responsabilits du processus. Par
exemple :
- Excution des rles et des responsabilits telles qu'elles ont t dfinies
- Excution des activits lies au processus conformment aux buts et objectifs
- Contribution la qualit des livrables finaux du processus.
Examiner la rsolution d'incidents de processus srieux et tudier un chantillon de l'valuation des performances d'un poste pour vrifier si les responsabilits oprationnelles et finales
sont mises en uvre.
Examiner les rles et responsabilits de diffrents employs et vrifier s'ils ont bien t compris, s'ils ont t correctement attribus et si les relations hirarchiques sont efficaces.
Dterminer si les rles et responsabilits sont mme de favoriser la conformit aux diffrentes activits prvues dans le cadre des fonctions..

Dterminer si les rles et responsabilits favorisent suffisamment la mise en uvre des services de gestion des processus mtiers afin d'atteindre les objectifs organisationnels court et
long terme.
CP5 Politiques, Plans et Procdures
Dterminer et indiquer comment tous les plans, les politiques et les Sensibilisation accrue des employs vis--vis de Processus non conformes aux objectifs mtiers
procdures qui pilotent un processus informatique sont documents, ce qu'ils doivent faire et pourquoi Employs ne sachant pas comment effectuer les
tudis, grs, valids, stocks, communiqus et utiliss pour la Rduction du nombre d'incidents causs par la tches critiques
formation. Rpartir les responsabilits pour chacune de ces activits violation des rgles Violation des rgles
et, au moment opportun, vrifier si elles sont correctement mises en
Les politiques et procdures connexes restent en
uvre. S'assurer que les politiques, plans et procdures sont
accessibles, corrects, compris et jour. vigueur et efficaces
valuer les contrles

Vrifier et confirmer que ces rgles existent et qu'elles sont communiques, connues et appliques toute la documentation relative aux processus informatiques (politiques, plans,
procdures, recommandations, instructions, mthodologies, etc.) faisant qu'un processus informatique sera mis au point, document, examin, gr, valid, stock, utilis pour la
formation et communiqu.
Inspecter les politiques, plans et procdures slectionns pour dterminer s'ils ont t crs conformment aux rgles et s'ils sont rgulirement mis jour.
Vrifier et confirmer que les responsabilits ont t dfinies en matire d'laboration, de mise jour, de stockage et de communication de la documentation relative aux processus.
Vrifier et confirmer l'existence de processus documents d'aprs lesquels les politiques et procdures sont identifies, labores, valides, examines et tenues jour afin de fournir des
recommandations cohrentes.
Vrifier si les personnes qui effectuent les activits comprennent leurs responsabilits.
Examiner certains documents pour vrifier s'ils sont jour et compris.
Examiner la documentation relative aux processus informatiques et vrifier si la validation est effectue au niveau appropri.
Dterminer si la documentation relative aux processus informatiques est accessible, correcte, comprise et jour.
S'assurer que les rgles sont efficacement diffuses via des actions de sensibilisation et de formation.
Dterminer, par le biais d'entretiens tous les niveaux hirarchiques, si les rgles et procdures sont clairement comprises et favorisent la ralisation des objectifs mtiers.
Dterminer si tous les plans, politiques et procdures favorisent suffisamment la mise en uvre des services de gestion des processus mtiers afin d'atteindre les objectifs
organisationnels court et long terme.
ANNEXE I
49
CP6 Amlioration des performances du processus
50

Identifier un ensemble de mtriques fournissant des indications sur Optimisation du cot des processus Rsultats et livrables du processus non
les rsultats et les performances du processus. Dfinir des cibles Processus flexibles et sensibles aux besoins conformes aux objectifs gnraux mtiers et
refltant les objectifs du processus et les inducteurs de performance mtiers informatiques
permettant d'atteindre les objectifs du processus. Dfinir le mode Processus trop coteux
d'obtention des donnes. Comparer les mesures relles et les objectifs
Processus rpondant trop lentement aux besoins
et, si ncessaire, prendre des mesures pour corriger les carts. Aligner
les mtriques, les objectifs et les mthodes avec l'approche globale de mtiers
surveillance des performances des SI.
valuer les contrles

Vrifier et confirmer qu'un processus a t mis en place pour tablir des mtriques cls conues pour fournir des indications pertinentes sur les oprations, sans effort important.
S'assurer que la conception des mtriques permet de mesurer la ralisation des objectifs des processus, l'utilisation des ressources, la qualit du rsultat et le dlai d'excution pour
favoriser l'amlioration des performances et des rsultats du processus.
Vrifier et confirmer que les liens entre les mesures du rsultat et des performances ont t dfinis et intgrs dans le systme de gestion des performances de l'entreprise (ex : tableau de
bord quilibr), si ncessaire.
Vrifier et confirmer que des procdures ont t mises au point pour identifier les cibles spcifiques des objectifs des processus et des inducteurs de performance. Ces procdures doivent
dterminer le mode d'obtention des donnes et dcrire les mcanismes d'valuation des processus (ex : outils automatiss et intgrs, modles).
Vrifier et confirmer l'existence de procdures permettant d'obtenir les rsultats rels et de les comparer des points de rfrence et des objectifs internes et externes tablis. S'assurer
que, pour les processus cls, le management compare les performances et les rsultats des processus des points de rfrence internes et externes et qu'il tient compte du rsultat de
l'analyse pour amliorer les processus.
Vrifier et confirmer que des mtriques appropries sont dfinies pour valuer la performance des processus et la ralisation des objectifs des processus.
Analyser certaines mtriques cls et vrifier, par d'autres moyens, si elles donnent un aperu suffisant des objectifs.
Vrifier et confirmer que des cibles ont t dfinies pour les objectifs des processus et les inducteurs de performance. Examiner les cibles et dterminer si elles sont conformes aux
objectifs et permettent d'identifier les actions correctives, de faon efficace et approprie.
Examiner les procdures permettant de collecter des donnes et d'effectuer des mesures pour s'assurer de l'efficacit et de l'efficience du contrle.
S'entretenir avec les propritaires des processus et les parties prenantes afin d'valuer l'adquation des mcanismes et de la mthode de mesure.
Pour les objectifs dcisifs des processus importants, effectuer de nouveau la collecte des donnes et l'valuation des cibles.
Examiner un chantillon des mtriques du processus afin d'valuer l'adquation des relations entre les mtriques (c'est--dire, si la mtrique d'une performance donne des indications sur
la probable ralisation du rsultat du processus).
Se procurer et examiner les principaux carts par rapport aux cibles et s'assurer que des mesures ont t prises. Inspecter la liste des mesures prises suite l'valuation et vrifier si elles
ont gnr de relles amliorations.
Vrifier si des analyses comparatives internes et externes sont utiliss et, le cas chant, valuer leur pertinence et dterminer si des mesures appropries sont prises pour corriger les
carts significatifs par rapport aux analyses comparatives.

Dterminer l'impact, sur l'entreprise, de l'absence d'un ensemble de mtriques cls permettant de mesurer la ralisation des objectifs des processus, l'utilisation des ressources, la qualit
du rsultat et le dlai d'excution pour favoriser l'amlioration des performances et des rsultats du processus.
ANNEXE II - PLANIFIER ET ORGANISER (PO)
ANNEXE II
PLANIFIER ET ORGANISER (PO)

PO2 Dfinir l'architecture de l'information
PO3 Dterminer l'orientation technologique
PO4 Dfinir les processus, l'organisation et les relations de travail
PO5 Grer les investissements informatiques
PO6 Faire connatre les buts et orientations du management
PO7 Grer les ressources humaines de l'informatique
PO8 Grer la qualit
PO9 valuer et grer les risques informatiques
A NNEXE II- PLANIFIER ET O RGANISER (PO)

PROCDURES DAUDIT DES PROCESSUS
Un plan informatique stratgique est ncessaire pour grer et orienter toutes les ressources informatiques vers les priorits stratgiques de l'entreprise. La DSI et les parties prenantes de
l'entreprise ont la responsabilit de s'assurer que la meilleure valeur possible est obtenue des portefeuilles de projets et de services. Le plan stratgique doit permettre aux principales parties
prenantes d'amliorer leur comprhension des potentialits et des limites des systmes d'information (SI), d'valuer la performance actuelle et de les clairer sur le niveau d'investissement
ncessaire. La stratgie et les priorits de l'entreprise doivent se reflter dans les portefeuilles de projets et doivent tre mises en uvre par les plans informatiques tactiques, qui fixent des
objectifs, des plans et des tches de taille rduite compris et accepts la fois par les mtiers et l'informatique.
PO1.1 Gestion de la valeur des SI - Travailler avec les mtiers pour Transparence et efficacit du bnfice gnr par Prise de dcision inefficace gnrant des
s'assurer que le portefeuille d'investissements informatiques de les investissements informatiques pour l'entreprise investissements informatiques dont le rendement
l'entreprise contient des programmes ou projets dont les tudes de Existence d'un processus efficace de prise de est insuffisant ou dont l'impact sur l'entreprise
faisabilit sont solides. Reconnatre qu'il y a des investissements dcision pour s'assurer que les investissements est ngatif
obligatoires, indispensables et discrtionnaires qui diffrent en
informatiques offrent un rel bnfice mtier SI non adapts l'entreprise
complexit et en degr de libert pour ce qui est de l'attribution des
crdits. Les processus informatiques doivent fournir aux programmes Investissements informatiques conformes aux Gestion de la valeur des SI prive du soutien et
des composants informatiques efficaces et efficients et des alertes, au objectifs mtiers de l'engagement de la direction gnrale
plus tt, pour tout cart par rapport au plan, par exemple en ce qui Comprhension partage concernant le cot, le Responsabilits oprationnelles et
concerne les cots, les dlais et les fonctionnalits, susceptible d'avoir risque et les avantages des initiatives mtiers qui responsabilits finales non dfinies ou difficiles
des consquences sur les rsultats attendus des programmes. Les s'appuient sur les SI comprendre
services informatiques doivent tre rendus sur la base de contrats de Lien direct entre les objectifs mtiers et Imprcision et mauvaise comprhension des
services (CS) quitables et applicables. La responsabilit finale de l'utilisation des ressources pour les SI cots, avantages et risques des initiatives
l'obtention des bnfices et du contrle des cots est clairement commerciales qui s'appuient sur les SI
assigne et supervise. tablir une valuation juste, transparente,
reproductible et comparable des tudes de faisabilit qui tient compte SI non adapts aux exigences de gouvernance,
de la valeur financire, du risque de ne pas fournir une capacit et de entranant des rpercussions potentielles sur la
ne pas raliser les bnfices attendus. responsabilit publique de la direction et du
conseil d'administration
valuer les contrles
Vrifier et confirmer qu'il existe un processus visant prparer une tude de faisabilit (par exemple, le processus donnera des indications sur les critres d'entre/sortie pour
l'laboration de l'tude de faisabilit, du processus de revue, des mesures, du processus de gestion des modifications pour l'tude, etc.).
Vrifier et confirmer que le processus de surveillance relatif l'tude de faisabilit est bas sur des analyses comparatives tablies, tels que ceux figurant dans les CS (contrats de
services) organisationnels ou les normes sectorielles et techniques.
Vrifier et confirmer que les succs et les checs des programmes d'investissement informatique sont tudis et que le processus d'tude de faisabilit est optimis dans les conditions
requises (ex. : analyse des donnes historiques, rfrencement des amliorations, enseignements et meilleures pratiques, etc.).
ANNEXE II
51
PO1 Dfinir un plan informatique stratgique (suite)
52

PO1.2 Alignement mtier-informatique SI conformes la mission et aux objectifs de Les SI sont considrs comme un facteur cot.
tablir des processus d'enseignement bidirectionnel et d'engagement l'entreprise La mission de l'entreprise n'est pas soutenue par
rciproque dans la planification stratgique afin de russir SI permettant d'atteindre les objectifs mtiers ses SI.
l'alignement et l'intgration du mtier et des SI. Concilier les stratgiques Les dcisions de la direction informatique ne
impratifs des SI et les impratifs mtiers de faon pouvoir tablir
Rendement optimis des investissements suivent pas les orientations mtiers.
des priorits sur lesquelles tous sont d'accord.
informatiques Absence d'une comprhension commune des
Identification et exploitation des opportunits priorits mtiers et informatiques, gnrant des
d'innovation conflits propos de l'affectation des ressources
et des priorits
Des possibilits d'exploiter de nouvelles
fonctionnalits informatiques sont ngliges.
valuer les contrles

S'assurer que le processus permettant de communiquer les opportunits commerciales la direction informatique est contrl et que l'importance du processus est communique aux
"mtiers" et aux SI. tudier la frquence de mise jour de ces processus.
Vrifier et confirmer, par le biais d'entretiens avec les membres de la direction informatique, que ceux-ci participent la dfinition des objectifs de l'entreprise. Leur demander dans
quelle mesure ils sont responsables de la ralisation de ces objectifs, dterminer s'ils ont effectu des analyses par simulation et s'assurer de leur engagement vis--vis de ces objectifs.
Interroger les directions mtiers et la direction informatique afin d'identifier les processus mtiers qui dpendent des SI. Dterminer si les directions mtiers et la direction informatique
partagent le mme point de vue sur les systmes, y compris sur leur importance, leur utilisation et leur fonctionnalit de gnration de rapports.
PO1. 3 valuation des capacits et des performances actuelles Plans informatiques contribuant de faon Des capacits informatiques ne contribuant pas
valuation des capacits et des performances actuelles - valuer les transparente la mission et aux objectifs de la mission et aux objectifs de l'entreprise
capacits et les performances en matire de fourniture de solutions et l'entreprise Dcisions d'investissement prises trop
de services, afin d'tablir un point de rfrence auquel les exigences Transparence des cots, risques et bnfices tardivement
futures pourront tre compares. Dfinir les performances en termes
relatifs aux performances actuelles des SI Opportunits et capacits inexploites
de contribution des SI aux objectifs mtiers, de fonctionnalits, de
stabilit, de complexit, de cots, et de forces et faiblesses. Identification des opportunits technologiques et Utilisation inefficace des ressources existantes
exploitation des capacits Incapacit identifier des points de rfrence
Capacits informatiques connues et mises en relatifs aux capacits et aux performances
uvre de faon efficiente et efficace pour fournir actuelles du systme et aux exigences futures
les solutions et services requis
valuer les contrles

S'assurer que des critres, des normes et des indicateurs de performance appropris ont t tablis et utiliss pour valuer les performances et communiquer ces valuations au
management et aux principales parties prenantes. Un plan d'action proposant des variantes et une procdure de contournement doivent tre labors.
Examiner les indicateurs de performance tablis pour les principaux systmes et processus (ex : forces et faiblesses, fonctionnalit, niveau d'automatisation, stabilit, complexit,
exigences de dveloppement, alignement et orientation technologique, exigences d'assistance et de maintenance, cots, apport des tiers).
S'assurer de l'existence de contrles concernant la ralisation des objectifs adopts dans le cadre du plan informatique tactique prcdent.
S'assurer qu'une comparaison avec des points de rfrence technologiques ou sectoriels fiables et bien compris, ou d'autres critres pertinents, est effectue pour faciliter l'valuation des
capacits et des systmes existants.
ANNEXE II
53
54

PO1.4 Plan stratgique Des plans informatiques stratgiques conformes Exigences mtiers incomprises ou non prises en
Crer un plan stratgique qui dfinit, en coopration avec les parties aux objectifs mtiers compte par la direction informatique
prenantes, comment les objectifs informatiques vont contribuer aux Des objectifs stratgiques et des responsabilits Pas d'entretiens rguliers et officiels entre la
objectifs stratgiques de l'entreprise, et aux cots et aux risques qui connexes clairs et compris par tous direction informatique d'une part et les directions
leurs sont associs. Ce plan doit notamment dterminer comment les
Des options informatiques stratgiques identifies mtiers et la direction gnrale d'autre part
SI favorisent les programmes d'investissements informatiques, les
services informatiques et les actifs informatiques. L'informatique doit et structures, et intgres dans les plans mtiers Plans informatiques non adapts aux besoins
dterminer comment les objectifs seront atteints, les mesures Probabilit rduite de projets informatiques mtiers de l'entreprise
utiliser et les procdures permettant d'obtenir l'aval officiel des inutiles Investissements et projets informatiques inutiles
parties prenantes. Le plan informatique stratgique doit couvrir les Plans informatiques stratgiques complets et Plans informatiques non conformes aux attentes
budgets d'investissement et de fonctionnement, les sources de applicables et aux exigences de l'entreprise
financement, la stratgie d'approvisionnement, la stratgie d'achat et SI non axs sur les bonnes priorits
les exigences lgales et rglementaires. Le plan stratgique doit tre
suffisamment dtaill pour permettre de dfinir des plans
informatiques tactiques
valuer les contrles

Vrifier et confirmer qu'une procdure a t suivie pour documenter les buts et objectifs informatiques ncessaires la ralisation des tches. Ils doivent tre dfinis, documents et
communiqus, en prcisant notamment :
l'obtention des bnfices et la gestion des risques associs aux capacits informatiques
la mise en uvre des performances actuelles et futures requises pour rpondre aux attentes de l'entreprise
la fourniture d'informations sur la transparence et sur la faon dont les SI apportent de la valeur l'entreprise
Vrifier et confirmer l'existence d'un dlai de dveloppement et d'excution des plans tactiques et stratgiques. Ce dlai doit inclure les interrelations et les corrlations de l'excution des
plans tactiques. Le dlai peut varier en fonction du champ d'application, du financement et du degr de priorit.
Vrifier et confirmer l'existence d'une procdure visant recueillir les mesures des rsultats des objectifs informatiques, reprsentes par des mtriques (quoi ?) et des cibles (combien ?),
et vrifier et confirmer que ces mesures concernent les bnfices identifis par l'entreprise et l'orientation de la stratgie.
Confirmer et tudier les politiques et procdures accompagnant la dmarche structure de planification, pour dterminer si elles favorisent effectivement le processus de cration d'un
plan informatique stratgique.
PO1.5 Plans tactiques Plans informatiques stratgiques long terme que Plans informatiques long terme non excuts
Crer un portefeuille de plans informatiques tactiques qui dcoule du des plans informatiques tactiques court terme Ressources informatiques disponibles non
plan informatique stratgique. Les plans tactiques doivent concerner peuvent mettre en uvre exploites pour les bnfices mtiers
les programmes d'investissements informatiques, les services Affectation efficace des ressources informatiques carts non identifis dans les plans
informatiques et les actifs informatiques. Ces plans tactiques doivent
Possibilit de surveiller et d'valuer en informatiques
dcrire les initiatives informatiques ncessaires, les besoins en
ressources, et comment l'utilisation des ressources et la ralisation de permanence les plans informatiques Priorits des SI mal comprises et susceptibles
bnfices seront surveilles et gres. Les plans tactiques doivent tre Possibilit de surveiller quotidiennement les d'tre modifies
suffisamment dtaills pour permettre de dfinir des plans de projets. performances et l'utilisation des ressources par Indisponibilit des informations permettant de
Grer activement les plans tactiques informatiques et les initiatives au rapport des cibles stratgiques contrler les performances des SI
moyen de l'analyse de projets et des portefeuilles de services. Orientations donnes au personnel du service
informatique
valuer les contrles

Vrifier et confirmer l'existence de plans informatiques tactiques bass sur le plan informatique stratgique.
S'assurer que cette opration est effectue de faon structure, conformment aux processus tablis, et qu'aucun retard injustifi n'est observ entre les mises jour du plan stratgique et
la mise jour des plans tactiques qui s'en suit.
S'assurer que le contenu du plan informatique tactique est appropri et qu'il comporte les dfinitions correctes du projet, des informations sur la planification, les livrables et les bnfices
estims quantifis.
Dterminer si le plan tactique porte sur le risque li aux SI.
PO1.6 Gestion de portefeuille Gestion efficace des ressources informatiques Opportunits mtiers manques en raison d'un
Grer activement avec les mtiers le portefeuille des programmes Surveillance et valuation permanentes des portefeuille trop conservateur
d'investissements informatiques qui sont ncessaires pour atteindre initiatives informatiques Faible ROI en raison d'un portefeuille trop
les objectifs mtiers stratgiques spcifiques ; cela consiste Une bonne combinaison d'initiatives dynamique
identifier, dfinir, valuer, slectionner, initier et contrler ces
informatiques pour un retour sur investissement Ressources informatiques disponibles non
programmes et tablir leurs priorits respectives. Cela inclut de
clarifier les rsultats mtiers dsirs, de s'assurer que les objectifs des (ROI) positif et ajust en fonction des risques exploites
programmes favorisent l'obtention de ces rsultats, de comprendre Surveillance des performances et des besoins en carts non identifis dans les plans
l'ampleur des efforts ncessaires pour les obtenir, d'affecter ressources des initiatives informatiques, par informatiques
clairement la responsabilit finale et de dfinir les mesures de rapport aux objectifs dfinis
soutien, de dfinir les projets qui font partie des programmes,
d'allouer les ressources et les financements, de dlguer l'autorit, et
de commander les projets ncessaires au moment du lancement des
programmes.
ANNEXE II
valuer les contrles
Vrifier et confirmer qu'un processus a t mis en place pour l'identification et la hirarchisation (en fonction des bnfices mtiers) des programmes et projets informatiques
accompagnant le plan informatique tactique.
S'assurer que ce processus de gestion de portefeuille utilise des critres appropris pour dfinir et hirarchiser les diffrents projets et programmes.
Vrifier si les objectifs mtiers et les rsultats mtiers attendus sont documents et raisonnables, et si les informations relatives au budget et aux efforts ncessaires sont suffisantes.
S'assurer que les rsultats du programme/projet sont dment communiqus toutes les parties prenantes.
55
valuer le rsultat des objectifs de contrle :
S'assurer, par le biais d'entretiens avec les membres du comit directeur et d'autres sources, que les membres du comit directeur sont
adquatement reprsents par la direction informatique et les directions mtiers (ex : connaissance des rles, des responsabilits, de la
matrice de dcision et identification des propritaires).
tudier la charte valide du comit de direction et valuer sa pertinence (ex : rles, responsabilit finale, autorit, responsabilit
oprationnelle, champ d'application et objectifs doivent tre communiqus et compris par tous les membres du comit).
tudier les tudes de faisabilit pour s'assurer que le contenu de la documentation est appropri (ex : champ d'application, objectifs, analyse
du rapport cots/bnfices, lignes directrices de haut niveau, mesures de russite, rles et responsabilits, impact des programmes
d'investissements informatiques existants) et que les tudes de faisabilit ont t labores et approuves en temps utile. Vrifier, par le
biais d'entretiens, si les programmes d'investissements informatiques, les services informatiques et les ressources informatiques sont
valus par rapport aux critres d'tablissement des priorits (analyser les critres de priorisation documents).
S'assurer, par le biais d'entretiens avec les membres de la direction informatique, qu'ils sont informs des futurs objectifs et orientations
mtiers, des objectifs court et long termes, des missions et des valeurs.
Vrifier et confirmer que les buts et objectifs relatifs l'ensemble de l'entreprise sont intgrs dans les processus de planification tactique et
stratgique des SI et que le processus de planification stratgique inclut toutes les activits mtiers et d'assistance.
S'assurer, grce l'examen de documents tels que les comptes-rendus de runions ou la correspondance, que les mtiers et les SI ont la
volont de tirer parti de la technologie actuelle pour crer de nouvelles opportunits mtiers.
S'assurer de la mise jour rgulire d'un rapport sur les systmes d'information actuels (incluant des commentaires sur le systme,
l'utilisation des amliorations apportes au systme et les modifications du systme).
Examiner la ralisation des objectifs adopts dans le cadre du plan informatique tactique prcdent (ex : le rsultat de l'valuation des
performances peut inclure, entre autres, les exigences actuelles, la prestation actuelle par rapport aux exigences, les obstacles la
satisfaction des exigences et les mesures et cots requis pour raliser les objectifs mtiers adopts et les exigences de performance).
Vrifier et confirmer que le risque et les consquences financires des capacits informatiques requises ont t documents dans le plan
informatique stratgique.
S'assurer que les mesures de rsultat qui concernent les bnfices identifis par l'entreprise ont t avalises par les parties prenantes et que
les commentaires des parties prenantes ont t pris en compte.
Vrifier et confirmer que le plan informatique stratgique approuv est communiqu et qu'une procdure permet de dterminer si le plan est
clairement compris.
S'assurer, par le biais d'entretiens, de comptes-rendus de runions, de prsentations et de correspondances, que le plan informatique
stratgique a t approuv par le comit de pilotage informatique et par le conseil d'administration. Vrifier et confirmer qu'un processus
d'approbation officiel a t respect.
Vrifier et confirmer que les plans tactiques sont conformes aux plans stratgiques et rgulirement mis jour. S'assurer, par le biais
d'entretiens, que les plans tactiques permettent d'identifier et de planifier les projets, d'acqurir et de programmer les ressources et de mettre
en uvre les techniques de surveillance.
Vrifier et confirmer que le contenu des plans tactiques stipule clairement les dfinitions, les dates et les livrables du projet, et qu'il inclut
les ressources ncessaires et les bnfices mtiers surveiller, les objectifs de l'indicateur de performance, le plan d'attnuation, le plan
d'urgence, le protocole de communication, les rles et les responsabilits.
S'assurer que le portefeuille/projet slectionn a t converti en termes d'efforts requis, de ressources, de constat, de ralisation, etc., et qu'il
est approuv par la direction (ex : comptes-rendus de runions, registres des examens de la direction gnrale).
S'assurer que les directions mtiers et informatique ont donn l'autorisation de lancer les projets approuvs dans le cadre des programmes
slectionns (comptes-rendus de runions, processus d'approbation officiel, communication du projet valid).
S'assurer que les projets qui ont t retards ou diffrs, ou qui n'ont pas t mis en uvre, sont communiqus aux propritaires de
l'entreprise et aux membres concerns du service informatique.
valuer l'impact des faiblesses de contrle :

valuer les risques (ex : menaces, vulnrabilits potentielles, scurit, contrles internes) gnrs par une affectation inapproprie des
investissements informatiques.
valuer les cots supplmentaires gnrs lorsque le retour sur investissement n'est pas maximis en termes d'objectifs mtiers.
valuer les risques (ex : menaces, vulnrabilits potentielles, scurit, contrles internes) gnrs par un mauvais alignement entre les
investissements informatiques et la stratgie globale de l'entreprise.
valuer l'impact de l'entreprise investissant dans des systmes informatiques autonomes pour rpondre ses besoins.
valuer la possibilit d'un mcontentement de l'entreprise concernant la prestation des services informatiques.
valuer les risques (ex : menaces, vulnrabilits potentielles, scurit, contrles internes) gnrs par l'incapacit excuter les plans
informatiques stratgiques.
valuer les risques (ex : menaces, vulnrabilits potentielles, scurit, contrles internes) gnrs par des projets qui chouent ou qui
occasionnent des dpenses inutiles.
valuer les cots supplmentaires gnrs par la mise en uvre d'une solution sous-optimale.
valuer les risques (ex : menaces, vulnrabilits potentielles, scurit, contrles internes) gnrs par des rsultats mtiers incompris et
donc moins efficaces.

PO2 Dfinir l'architecture de l'information
Les responsables des systmes informatiques crent et mettent rgulirement jour un modle d'information de l'entreprise et dterminent quels sont les systme appropris susceptibles
d'optimiser l'utilisation de cette information. Cela comprend l'laboration d'un dictionnaire de donnes de l'entreprise, des rgles de syntaxe de donnes propres l'entreprise, d'un systme de
classification des donnes et de niveaux de scurit. En assurant une information fiable et sre, ce processus amliore la gestion de la prise de dcision et permet de rationaliser les ressources
informatiques pour tre en phase avec les stratgies de l'entreprise. Ce processus informatique permet galement d'tendre le champ de la responsabilit de l'intgrit et de la scurit des
donnes et d'amliorer l'efficacit et le contrle du partage de l'information entre les applications et les diffrents dpartements de l'entreprise.
PO2.1 Modle d'architecture de l'information de l'entreprise Amlioration de la prise de dcision grce une Informations inadaptes aux fonctions mtiers
tablir et tenir jour un modle d'information de l'entreprise pour information pertinente, fiable et utilisable Incohrence entre les exigences d'information et
faciliter le dveloppement d'applications et les activits d'aide la Amlioration de la flexibilit des SI et de la le dveloppement des applications
dcision, conforme aux plans informatiques dcrits dans PO1. Ce ractivit aux exigences mtiers Incohrence de donnes entre l'entreprise et les
modle doit permettre d'optimiser la cration, l'utilisation et le
Aide aux fonctions mtiers grce des donnes systmes
partage de l'information dans l'entreprise et d'en maintenir l'intgrit,
la flexibilit, la fonctionnalit, la rentabilit, la disponibilit en temps prcises, compltes et valides Efforts requis importants ou incapacit
opportun, la scurit et la rsistance aux pannes. Gestion efficace des donnes et rduction de la respecter les obligations fiduciaires (ex :
redondance et des duplications rapports de conformit, scurit, confidentialit)
Amlioration de l'intgrit des donnes Planification inefficace des programmes
Satisfaction des exigences fiduciaires en matire d'investissements informatiques en raison d'un
de rapports de conformit, de scurit et de manque d'informations
confidentialit des donnes Accumulation de donnes qui ne sont pas
pertinentes, cohrentes ou utilisables de faon
conomique
Evaluer les contrles
Vrifier l'existence d'un modle d'information d'entreprise, bas sur des normes tablies, et s'il est connu par les parties prenantes mtiers et SI concernes.
Vrifier si ce modle est rellement utilis et tenu jour paralllement au processus qui traduit la stratgie informatique en plans informatiques tactiques et les plans tactiques en projets.
Dterminer si le modle tient compte de la flexibilit, de la fonctionnalit, du rapport cot-efficacit, de la scurit, de la rsistance aux pannes, de la conformit, etc.
ANNEXE II
57
PO2 Dfinir l'architecture de l'information (suite)
58

PO2.2 Dictionnaire et rgles de syntaxe des donnes de Comprhension commune des donnes mtiers Intgrit des informations compromise
l'entreprise dans l'ensemble de l'entreprise Donnes incompatibles et incohrentes
Maintenir oprationnel un dictionnaire des donnes qui utilise les Partage des donnes facilit entre les applications, Contrles applicatifs inefficaces
rgles de syntaxe des donnes de l'entreprise. Ce dictionnaire doit systmes et entits
faciliter le partage d'lments de donnes par les applications et les
Rduction des cots de dveloppement et de
systmes, favoriser la comprhension commune des donnes entre
l'informatique et les utilisateurs mtiers et viter la cration maintenance des applications
d'lments de donnes incompatibles. Amlioration de l'intgrit des donnes
Vrifier et confirmer l'existence de recommandations relatives la syntaxe des donnes.

Vrifier et confirmer que le dictionnaire de donnes est dfini pour identifier les redondances et l'incompatibilit des donnes et que l'impact des modifications apportes au dictionnaire
de donnes est efficacement communiqu, tout comme les modifications elles-mmes.
Examiner diffrents systmes applicatifs et projets de dveloppement pour s'assurer que le dictionnaire de donnes est utilis pour les dfinitions de donnes.
Vrifier et confirmer que les cadres suprieurs s'entendent sur le processus permettant de dfinir les rgles de syntaxe des donnes, les rgles de validation des donnes et les rgles de
l'entreprise (ex : cohrence, intgrit, qualit).
tudier les plans, politiques et procdures du programme de qualit des donnes afin d'valuer leur efficacit.
PO2 Dfinir l'architecture de l'information (suite)
PO2.3 Systme de classification des donnes Garantie de la disponibilit des informations qui Exigences de scurit inappropries
tablir un systme de classification bas sur les dimensions critiques favorisent la prise de dcision Investissements inadapts ou excessifs en
et sensibles des donnes (par ex. publiques, confidentielles, secrtes) Importance des investissements dans le domaine matire de contrles de scurit
qui s'applique toute l'entreprise. Ce systme comprend les dtails de la scurit, en fonction de la criticit Incidents lis au respect de la vie prive et la
sur la proprit des donnes, la dfinition des niveaux de scurit et
Responsabilits dfinies en matire d'intgrit, de confidentialit, l'intgrit et la disponibilit
des contrles de protection appropris, une brve description des
rgles de conservation et de destruction des donnes, et de leurs disponibilit et de scurit des informations des donnes
dimensions critiques et sensibles. Il doit tre utilis comme base pour Accs aux donnes autoris de faon cohrente en Non-respect des exigences des tiers ou de la
les contrles, comme les contrles d'accs, d'archivage ou de fonction des niveaux de scurit dfinis rglementation
cryptage. Informations inefficaces ou incohrentes pour la
prise de dcision
Examiner le schma de classification des donnes et vrifier si tous les composants importants sont pris en compte et complets. S'assurer que le systme est raisonnable en comparant le
cot et les risques. Ce schma inclut la proprit des donnes par les responsables mtiers et la dfinition de mesures de scurit adaptes associes des niveaux de classification.
S'assurer que les classifications de scurit ont t rgulirement remises en cause et confirmes auprs des responsables mtiers.
PO2.4 Gestion de l'intgrit Cohrence de l'intgrit des donnes travers Erreurs et incidents lis l'intgrit des donnes
Dfinir et mettre en place des procdures qui assurent l'intgrit et la toutes les donnes stockes Manque de fiabilit des donnes sur lesquelles
cohrence de toutes les donnes conserves sous forme lectronique, Amlioration de l'intgrit des donnes sont bases les dcisions de l'entreprise
comme les bases de donnes, les entrepts de donnes et les archives Non-conformit aux exigences des tiers ou de la
de donnes.
rglementation
Manque de fiabilit des rapports externes
Vrifier et confirmer que les critres d'intgrit et de cohrence de toutes les informations sont dfinis en collaboration avec les responsables mtiers.
Vrifier et confirmer que des procdures sont mises en uvre pour grer et maintenir l'intgrit et la cohrence des donnes d'un bout l'autre du cycle de vie et de traitement complet
des donnes.
Vrifier et confirmer qu'un programme de qualit des donnes a t mis en place pour valider et garantir rgulirement la cohrence et l'intgrit des donnes.
ANNEXE II
59
Evaluer le rsultat des objectifs de contrle :
Examiner la documentation relative au modle d'architecture de l'information pour dterminer si elle porte sur toutes les applications
importantes et sur leurs interfaces et relations.
Examiner la documentation sur l'architecture de l'information pour s'assurer de sa cohrence avec la stratgie de l'entreprise et avec les
plans informatiques stratgiques et tactiques.
S'assurer que les modifications apportes au modle d'architecture de l'information refltent celles des plans informatiques stratgiques et
tactiques et que les cots et risques connexes sont identifis.
Vrifier et confirmer que les composantes importantes du modle d'architecture de l'information (ex : proprit des donnes, responsabilit,
gouvernance des donnes) sont comprises par le management de l'entreprise et le service informatique.
Vrifier et confirmer que le modle d'architecture de l'information fait rgulirement l'objet de contrles en termes d'adquation, de
flexibilit, d'intgrit et de scurit et qu'il est frquemment pass en revue par les utilisateurs (ex : impact des modifications du systme
d'information).
Vrifier et confirmer l'existence de contrles d'administration des donnes et coordonner les dfinitions et l'utilisation de donnes fiables et
pertinentes, conformes au modle d'information de l'entreprise.
Examiner le dictionnaire de donnes et s'assurer que tous les lments de donnes importants sont correctement dcrits, conformment au
processus dfini.
Vrifier les rgles de syntaxe des donnes, les rgles de validation des donnes et les rgles de l'entreprise, conformment au processus
dfini.
Vrifier et confirmer que les mtadonnes des dictionnaires de donnes sont suffisamment dtailles pour communiquer la syntaxe de faon
intgre travers les applications et qu'elles incluent des attributs de donnes et des niveaux de scurit pour chaque donne.
Vrifier et confirmer que la gestion du dictionnaire de donnes est mise en uvre, tenue jour et contrle rgulirement dans le but de
grer le dictionnaire de donnes et les rgles de syntaxe des donnes de l'entreprise.
S'assurer que le systme porte sur tous les lments de donnes pertinents en comparant une liste des donnes avec la mise en uvre relle
dans l'outil.
Vrifier et confirmer qu'un programme de qualit des donnes a t mis en place pour accrotre l'intgrit des donnes, la normalisation, la
cohrence, le stockage et la saisie unique des donnes (ex : utiliser, si possible, la collecte automatise des donnes disponibles afin de
tester l'intgrit des donnes, la normalisation, la cohrence, le stockage et la saisie unique des donnes partir d'chantillons de donnes,
de modules d'audit intgrs, d'analyses de donnes l'aide de logiciels d'audit ou d'autres outils d'intgration). Utiliser des outils
automatiss (ex : techniques d'audit assistes par ordinateur) pour vrifier l'intgrit des donnes.
Vrifier et confirmer qu'un schma de classification des donnes est dfini et valid (ex : s'assurer que les niveaux de scurit, les niveaux
d'accs et les paramtres par dfaut sont appropris).
Vrifier et confirmer que les niveaux de classification des donnes sont dfinis en fonction des besoins de l'entreprise en matire de
protection des informations et de l'impact des informations non protges sur l'activit.
S'assurer que les responsables mtiers contrlent la classification relle des informations et qu'ils sont conscients de leurs rles,
responsabilits oprationnelles et responsabilits finales concernant les donnes.
Vrifier et confirmer que les composants hritent de la classification des ressources d'origine.
S'assurer que toutes les entorses la rgle d'hritage de classification des donnes ont t valides par le propritaire des donnes.
Vrifier et confirmer que les informations et les donnes (y compris les documents papier) sont tiquetes, prises en charge, protges et
scurises de manire cohrente par rapport aux catgories de classification des donnes.
Vrifier les informations prouvant que les critres obligatoires d'intgrit et de cohrence des donnes ont t dfinis et mis en uvre (ex :
les donnes stockes dans les bases de donnes et les entrepts de donnes sont cohrentes).
Vrifier et confirmer qu'un programme de qualit des donnes a t mis en place pour valider et garantir rgulirement la cohrence et
l'intgrit des donnes.
Evaluer limpact des faiblesses de contrle :

valuer l'impact de l'incohrence entre les plans informatiques dcrits dans la planification stratgique et le modle d'architecture de
l'information de l'entreprise.
valuer l'impact d'une interface inefficace entre la prise de dcision mtiers et informatique.
valuer la vulnrabilit relative la divulgation d'informations confidentielles.

PO3 Dterminer l'orientation technologique
Le SI dtermine l'orientation technologique susceptible de favoriser l'activit de l'entreprise. Cela exige la cration et la maintenance d'un plan d'infrastructure technologique et d'un comit
architecture des SI qui fixe et gre les attentes clairement exprimes et ralistes de ce que la technologie peut offrir en termes de produits, services et mcanismes de livraison. Ce plan est
rgulirement actualis et comprend des aspects comme l'architecture des systmes, l'orientation technologique, les plans d'acquisition, les standards, les stratgies de migration et les
imprvus. Cela permet de ragir en temps utile aux modifications de l'environnement concurrentiel ; cela permet aussi des conomies d'chelle dans les effectifs et les investissements
informatiques ainsi qu'une meilleure interoprabilit des plates-formes et des applications.
PO3.1 Planification de l'orientation technologique Amlioration du recours aux technologies pour Acquisitions technologiques non conformes aux
Analyser les technologies existantes et mergentes et dcider quelle saisir des opportunits mtiers plans stratgiques
orientation technologique sera la plus favorable pour rpondre la Amlioration de l'intgration de l'infrastructure et Infrastructure informatique inadapte aux
stratgie informatique et pour l'architecture des systmes de des applications par le biais de normes dfinies exigences organisationnelles
l'entreprise. Dsigner galement dans le plan les technologies qui
pour l'orientation technique Non-respect de l'orientation technologique
permettront de crer des opportunits pour l'activit de l'entreprise.
Entre autres composantes de l'infrastructure, le plan doit prendre en Meilleure utilisation des ressources et des valide
compte l'architecture des systmes, l'orientation technologique, les comptences Augmentation des cots cause de plans
stratgies de migration et les imprvus. Rduction des cots lis aux acquisitions d'acquisition non coordonns et non structurs
technologiques via des plates-formes rduites et
des investissements progressivement grs
tudier la performance de l'analyse AFOM (Atouts Faiblesses Opportunits Menaces) pour garantir l'efficacit du processus (ex : contrle des mesures du processus et des modifications
apportes au processus suite une amlioration).
S'assurer, par le biais d'entretiens avec le Directeur informatique et d'autres membres de la direction gnrale, qu'une apptence pour le risque technologique approprie a t tablie en
fonction de la stratgie des mtiers.
ANNEXE II
61
PO3 Dterminer l'orientation technologique (suite)
62

PO3.2 Plan d'infrastructure technologique Amlioration de l'interoprabilit Implmentations systme incohrentes

Crer et maintenir oprationnel un plan d'infrastructure technologique Amlioration des conomies d'chelle pour les Non-respect de l'orientation technologique
en phase avec les plans stratgiques et tactiques des SI. Ce plan doit investissements et le personnel d'assistance valide
se baser sur les orientations technologiques et comporter une gestion Un plan technologique bien quilibr au niveau Augmentation des cots cause de plans
des imprvus et des orientations pour l'acquisition de ressources
des cots, de la flexibilit des exigences et des d'acquisition non coordonns et non structurs
informatiques. Il doit tenir compte des modifications de
l'environnement concurrentiel, des conomies d'chelle dans les risques Incapacit organisationnelle maximiser
effectifs et les investissements informatiques et de l'amlioration de Une infrastructure technologique suffisante, stable l'utilisation des opportunits technologiques
l'interoprabilit des plates-formes et des applications. et flexible permettant de rpondre aux besoins mergentes afin d'amliorer les capacits mtiers
d'information et informatiques
S'assurer, auprs des principaux employs concerns, de la cration d'un plan d'infrastructure technologique bas sur les plans informatiques tactiques et stratgiques.
Examiner le plan pour s'assurer qu'il inclut des facteurs tels que des technologies intgres cohrentes, l'architecture systme de l'entreprise et les aspects d'urgence des composants
d'infrastructure, les frais de transition et autres cots, la complexit, les risques techniques, la valeur de flexibilit future, la prennit des produits/fournisseurs et les orientations
relatives l'acquisition d'actifs informatiques.
Interroger les principaux employs concerns et tudier le plan d'infrastructure technologique pour s'assurer que les modifications de l'environnement concurrentiel, les conomies
d'chelle dans les effectifs et les investissements informatiques et l'amlioration de l'interoprabilit des plates-formes et des applications ont t identifis.
PO3.3 Surveillance de l'volution des tendances et de la Meilleure connaissance des opportunits Non-respect des obligations lgales
rglementation technologiques et amlioration des services Efforts requis importants pour se mettre en
Mettre en place un processus pour surveiller les tendances de Meilleure connaissance des risques techniques et conformit cause de dcisions incorrectes ou
l'environnement mtiers, informatique, lgal et rglementaire. rglementaires trop tardives
Introduire les consquences de ces tendances dans le dveloppement
Amlioration de l'valuation des volutions Incompatibilits techniques ou problmes de
du plan d'infrastructure technologique des SI.
technologiques conformment au plan d'entreprise maintenance au sein de l'infrastructure
informatique
Incapacit organisationnelle maximiser

l'utilisation des opportunits technologiques
mergentes afin d'amliorer les capacits mtiers
et informatiques
Dterminer si les tendances et rglementations actuelles et futures sont surveilles, par qui et de quelle manire (ex : volutions technologiques, activits des concurrents, problmes
d'infrastructure, obligations lgales et volution de l'environnement rglementaire, experts externes) et si les risques connexes ou les opportunits de cration de valeur connexes font
l'objet d'valuations appropries.
Vrifier si les rsultats de cette surveillance sont rgulirement communiqus aux instances concernes (par exemple, le comit de pilotage informatique) et transmis aux processus de
planification informatique tactique et infrastructurelle pour prendre les mesures appropries.
PO3 Dterminer l'orientation technologique (suite)
PO3.4 Standards informatiques Intensification des contrles relatifs Incompatibilits entre les applications et les
Pour proposer des solutions informatiques efficaces et sres l'acquisition, au changement et l'limination des plates-formes technologiques
l'ensemble de l'entreprise, constituer un forum informatique pour actifs informatiques Non-respect de l'orientation technologique
donner des lignes directrices en technologie de l'information, des avis Acquisitions standardises tenant compte de valide
sur les produits d'infrastructure et des conseils sur le choix
l'orientation technologique, favorisant Violation des droits de licence
technologique, mesurer la conformit par rapport ces standards et
ces lignes directrices. Ce forum doit piloter les standards et les l'alignement et rduisant les risques Augmentation des frais d'assistance, de licence
pratiques informatiques en fonction de leur pertinence vis--vis de Systmes d'information volutifs rduisant les et de maintenance
l'activit de l'entreprise, des risques et de leur conformit aux cots de remplacement Impossibilit d'accder aux donnes historiques
exigences externes. Homognit des technologies d'un bout l'autre sur la technologie non prise en charge
de l'entreprise, afin d'amliorer l'efficacit et de
rduire les frais d'assistance, de licence et de
maintenance

Vrifier si les standards informatiques de l'entreprise sont valids par le comit architecture SI. valuer l'efficacit du processus visant communiquer les normes techniques au
personnel informatique (ex : chefs de projet, architectes des SI). Interroger le personnel informatique concern pour valuer leur comprhension des normes techniques.
S'assurer auprs de la direction informatique que des processus de suivi et de comparaison ont t mis en place pour confirmer la conformit vis--vis des recommandations et des
standards informatiques en vigueur.
tudier la documentation d'analyse de faisabilit technique pour certains projets afin d'valuer la conformit vis--vis des standards informatiques de l'entreprise.
PO3.5 Comit d'architecture technologique Accroissement des responsabilits oprationnelle Incompatibilits entre les applications et les
Crer un comit architecture des SI pour fournir les lignes directrices et finale pour les dcisions relatives plates-formes technologiques
de cette architecture et les conseils pour leur application, et pour en l'architecture Non-respect de l'orientation technologique
vrifier la conformit. Ce comit doit piloter la conception de Accroissement de l'harmonisation entre la valide
l'architecture des SI en s'assurant qu'elle favorise la stratgie de
stratgie mtiers et l'orientation technique des SI Acquisition et utilisation incontrles et possible
l'entreprise et qu'elle prend en compte les impratifs de conformit et
de continuit. Ce point est li PO2 "Dfinir l'architecture de Comprhension cohrente de l'architecture multiplication des actifs informatiques
l'information". technologique d'un bout l'autre de l'entreprise
Examiner les recommandations, plans, processus et comptes-rendus de runions du comit architecture. Vrifier s'ils fournissent des recommandations et des conseils en matire
ANNEXE II
d'architecture, conformes la stratgie mtiers et l'architecture d'information tablie.
Vrifier si le comit architecture a tenu compte de la conformit la rglementation et de la continuit des activits dans ses dcisions.
S'assurer que des mcanismes ont t mis en place pour garantir la dtection du non-respect des normes et recommandations du comit architecture dans le cadre du processus de gestion
de projets.
valuer le rle du comit architecture concernant l'application des mesures correctives requises dcoulant du non-respect des normes dans le cadre du processus de gestion de projets.
63
tudier les rsultats de l'analyse AFOM (Atouts Faiblesses Opportunits Menaces) pour s'assurer que l'architecture des systmes de
l'entreprise, l'orientation technologique, les stratgies de migration et les aspects d'urgence font partie intgrante des plans d'infrastructure et
d'orientation technologique.
Examiner les documents concerns pour s'assurer que l'volution des marchs, les conditions lgales et rglementaires et les technologies
mergentes (ex : volutions technologiques, activits des concurrents, problmes d'infrastructure, obligations lgales et volution de
l'environnement rglementaire, experts externes) sont surveilles (ex : tudier les rsultats de l'activit de surveillance et vrifier les
mesures prises suite cette analyse).
Examiner le plan de stratgie informatique et d'infrastructure technologique des SI pour s'assurer qu'il est conforme aux dernires
volutions des SI qui sont susceptibles d'influer sur le succs de l'entreprise.
S'assurer auprs du responsable de l'architecture que des valuations de la situation actuelle par rapport l'infrastructure prvue sont en
cours. Examiner les actions correctives identifies et excutes et les comparer aux plans d'infrastructure technologique valids.
tudier le plan d'infrastructure technologique pour s'assurer que les modifications de l'environnement concurrentiel, les conomies d'chelle
dans les effectifs et les investissements informatiques et l'amlioration de l'interoprabilit des plates-formes et des applications ont t
identifis.
S'assurer que le budget allou la recherche technologique est utilis de faon efficiente et efficace (ex : nombre d'amliorations axes sur
la recherche, amlioration des services).
tudier les directives technologiques pour dterminer si elles apportent un soutien appropri aux solutions technologiques, si elles
reprsentent prcisment l'orientation technologique de l'entreprise et si elles fournissent des recommandations suffisantes pour un grand
nombre de problmes.
Vrifier et confirmer qu'un comit architecture SI a t mis en place et que les rles, responsabilits oprationnelles et responsabilits
finales ont t officiellement tablis.
S'assurer auprs des membres du comit architecture SI que des runions ont lieu rgulirement (ex : runions priodiques ou en fonction
d'vnements).
S'assurer que toutes les mesures adoptes lors des runions du comit architecture SI sont correctement enregistres et mises en uvre et
qu'elles font l'objet d'un suivi appropri.

valuer les risques (ex : menaces, vulnrabilits potentielles, scurit, contrles internes) encourus par l'entreprise si elle ne slectionne pas
les technologies appropries permettant d'atteindre les objectifs mtiers ou de crer de nouvelles opportunits mtiers (ex : leadership sur le
march).
valuer les risques (ex : menaces, vulnrabilits potentielles, scurit, contrles internes) encourus si les plans technologiques ne tiennent
pas compte de l'volution de l'environnement concurrentiel.
valuer l'impact de la non-ralisation d'conomies d'chelle dans les effectifs et les investissements informatiques.
valuer le cot d'opportunit li la non-concrtisation d'opportunits d'intgrer les plates-formes et les applications.
valuer le cot d'opportunit li la non-concrtisation d'opportunits commerciales potentielles.
valuer le cot d'opportunit gnr lorsque les volutions technologiques ne sont pas prises en compte dans l'laboration du plan
d'infrastructure technologique des SI.
valuer le risque de non-respect des rglementations lgales et obligatoires.

PO4 Dfinir les processus, l'organisation et les relations de travail
Il faut dfinir une organisation du SI en prenant en compte les besoins en personnel et en comptences, en prvoyant les fonctions, les rles et les responsabilits, la supervision, l'autorit, et
en sachant qui rend des comptes qui. Cette organisation fait partie d'un cadre de rfrence de processus informatiques qui assure la transparence et le contrle ainsi que l'implication de la
direction gnrale et des directions mtiers. Un comit Stratgie doit assurer la supervision des SI pour le compte du Conseil d'administration (CA) et un ou plusieurs comits de pilotage
auxquels participent les directions mtiers et les responsables des SI doivent dterminer les priorits concernant les ressources informatiques en fonction des besoins du secteur mtier. Les
processus, les politiques et les procdures administratives doivent tre en place pour toutes les fonctions, en apportant une attention particulire au contrle, l'assurance qualit, la gestion
du risque, la proprit des donnes et des systmes et la sparation des tches. Pour assurer leur soutien aux exigences mtiers en temps voulu, les responsables des SI doivent tre
impliqus dans les processus de dcisions en cause.
PO4.1 Cadre de rfrence des processus Mthode cohrente utilise pour dfinir les Cadre de rfrence non accept par l'entreprise et
Dfinir un cadre de rfrence des processus informatiques pour processus informatiques processus informatiques non lis aux exigences
mettre en uvre le plan informatique stratgique. Ce cadre dfinit la Organisation des activits cls au sein de mtiers
structure des processus informatiques et leurs liens (ex : grer les processus logiques et interdpendants Cadre de rfrence des processus informatiques
lacunes et les recouvrements entre processus), la proprit, la
Dfinition claire de la proprit et des incomplet
maturit, la mesure de la performance, l'amlioration, la conformit,
les objectifs qualit et les plans pour les faire aboutir. Il doit organiser responsabilits concernant les processus et les Conflits et interdpendances peu videntes entre
l'intgration des processus spcifiques aux SI, la gestion du activits cls les processus
portefeuille de l'entreprise, les processus mtiers et les processus de Excution fiable et reproductible des activits cls Chevauchements entre les activits
modification de l'activit de l'entreprise. Le cadre de rfrence des Processus informatiques flexibles et ractifs Organisation informatique rigide
processus informatiques doit tre intgr un systme de gestion de Disparits entre les processus
la qualit et au cadre de contrle interne. Duplication de processus
Vrifier et confirmer :
que les processus informatiques ncessaires la ralisation du plan informatique stratgique ont t identifis et communiqus
qu'un cadre de rfrence favorisant la dfinition et le suivi des objectifs, des mesures, des contrles et de la maturit des processus a t dfini et mis en uvre
que les relations et points de contact (ex : entres/sorties et entre les processus informatiques, gestion du portefeuille de l'entreprise et processus mtiers) ont t dfinis.
ANNEXE II
65
PO4 Dfinir les processus, l'organisation et les relations de travail (suite)
66

PO4.2 Comit stratgique informatique Soutien du conseil dadministration SI pas assez reprsents dans l'ordre du jour du
Mettre en place un Comit stratgique informatique au niveau du Le conseil bnficie d'informations sur la valeur et conseil dadministration
conseil d'administration. Ce comit doit s'assurer que la gouvernance les risques des SI Valeur et risques associs aux SI inconnus au
des SI, lment de la gouvernance d'entreprise, est saisie des Dcisions plus rapides vis--vis des niveau du conseil
questions qui la concerne, donne des avis sur les orientations
investissements importants Dcisions relatives aux investissements et aux
stratgiques et passe en revue les investissements majeurs pour le
compte du conseil d'administration. Responsabilits oprationnelle et finale claires priorits non bases sur des priorits communes
concernant les dcisions stratgiques (mtiers et SI)
Gouvernance des SI intgre dans la gouvernance Gouvernance des SI spare de la gouvernance
d'entreprise d'entreprise
Fonction informatique bien gre SI non adapts aux exigences de gouvernance,
entranant des rpercussions potentielles sur la
responsabilit publique de la direction et du
conseil d'administration

que la charte, le champ d'application, les objectifs, la composition, les rles, les responsabilits, etc. du comit stratgique informatique ont t dfinis de manire garantir la
conformit aux orientations stratgiques de l'entreprise
que le comit de stratgie informatique est compos de membres du conseil d'administration et de membres ne sigeant pas ce mme conseil, dots d'une expertise approprie sur la
dpendance de l'entreprise vis--vis des SI et des opportunits offertes par les SI.
tudier les ordres du jour, les articles et les comptes-rendus du comit de stratgie informatique pour :
s'assurer que le comit se runit rgulirement pour tudier les questions stratgiques (dont les principales dcisions d'investissement) souleves par le conseil d'administration ou
l'entreprise
s'assurer que le comit fournit des recommandations appropries au conseil d'administration concernant la gouvernance informatique et les questions de stratgie informatique.
PO4.3 Comit de pilotage informatique Stratgie informatique conforme la stratgie de Stratgie informatique non conforme la
Mettre en place un comit de pilotage informatique (ou quivalent), l'entreprise stratgie de l'entreprise
compos de membres de la direction gnrale, des directions mtiers Programmes d'investissements informatiques Programmes d'investissements informatiques ne
et de la direction informatique, pour : conformes la stratgie de l'entreprise favorisant pas la ralisation des buts et objectifs
dterminer les priorits des programmes d'investissements Participation des services mtiers et informatique de l'entreprise
informatiques en accord avec la stratgie et les priorits mtiers de
l'entreprise au processus de hirarchisation Soutien et participation insuffisants de la
assurer un suivi des projets et rsoudre les conflits de ressources Participation des services mtiers et informatique direction informatique et de la direction gnrale
surveiller les niveaux de service et l'amlioration des services. la rsolution des conflits dans les principaux processus dcisionnels
Participation des services mtiers et informatique
la surveillance des performances
Vrifier et confirmer que la charte, le champ d'application, les objectifs, la composition, les rles, les responsabilits, etc. du comit de pilotage informatique rsultent d'une application
approprie des orientations informatiques stratgiques de l'entreprise.
tudier les documents tels que les comptes-rendus de runions et la charte du comit de pilotage informatique pour identifier les membres du comit, leurs fonctions professionnelles
respectives et la relation hirarchique entre le comit et la direction gnrale (ex : dterminer la hirarchisation des programmes d'investissements informatiques, effectuer le suivi des
projets et surveiller les niveaux de service et l'amlioration des services).
Vrifier et confirmer auprs de les directions mtiers que les mtiers jouent un rle actif dans le travail du comit de pilotage des SI et que le management est consult de faon
approprie.
ANNEXE II
67
68

PO4.4 Position de la fonction informatique au sein de l'entreprise Ressources informatiques conformes aux priorits Participation insuffisante de la direction gnrale
Positionner la fonction informatique dans la structure globale de stratgiques de l'entreprise
l'entreprise selon un modle oprationnel li l'importance des Gestion efficace des SI favorisant la ralisation Ressources informatiques ne soutenant pas
technologies de l'information, en tenant compte de leur dimension des objectifs mtiers efficacement les mtiers
critique pour la stratgie mtiers et du niveau de dpendance du
Engagement de la direction gnrale dans la prise Insuffisance de l'importance stratgique donne
secteur oprationnel vis--vis d'elles. Le niveau hirarchique du
directeur informatique (DSI) est proportionnel l'importance des SI de dcision informatique au niveau appropri aux SI
dans l'entreprise. Harmonie mtiers/SI au niveau organisationnel SI considrs comme spars des mtiers et
vice-versa
Insuffisance des orientations mtiers et de la
communication des initiatives mtiers
Vrifier et confirmer que la fonction informatique :

est dirige par un DSI ou une fonction similaire, dont l'autorit, la responsabilit oprationnelle, la responsabilit finale et le niveau hirarchique sont proportionnels l'importance
des SI dans l'entreprise
est dfinie et finance de telle manire que des divisions ou des groupes d'utilisateurs ne peuvent pas exercer une influence abusive sur la fonction informatique et mettre en cause les
priorits adoptes par le comit stratgique informatique et le comit de pilotage informatique
est dote des ressources adaptes (personnel, employs occasionnels, budget) pour permettre la mise en uvre et la gestion des services et solutions informatiques appropris afin de
soutenir l'activit et d'entretenir des relations avec les mtiers.
PO4.5 Structure du service informatique Soutien efficient et efficace des mtiers Soutien insuffisant des mtiers
Mettre en place une structure interne et externe d'organisation de Besoins en personnel et stratgies d'achat en Besoins en personnel insuffisants
l'informatique qui reflte les exigences mtiers. En outre, mettre en faveur des objectifs mtiers stratgiques Stratgies d'achat inappropries
place un processus pour rviser priodiquement la structure Structure organisationnelle souple et ractive pour Rigidit des SI par rapport l'volution des
organisationnelle des SI de faon ajuster les besoins en personnel et
les SI besoins mtiers
les stratgies de recrutement pour faire face aux objectifs mtiers
dfinis et aux changements qui se produisent. Harmonie mtiers/SI au niveau organisationnel
que des analyses priodiques sont effectues pour valuer l'impact des changements organisationnels sur l'ensemble de l'entreprise et sur la structure de la fonction informatique ;
que le service informatique dispose d'un systme de ressources flexible (ex : utilisation de sous-traitants externes et contrats de services tiers flexibles) pour faire face l'volution des
besoins mtiers.
PO4.6 tablissement des rles et responsabilits Performance individuelle efficace Non-respect de la rglementation
Dfinir et communiquer les rles et les responsabilits du personnel Activits affectes des postes spcifiques Divulgation d'informations
informatique et des utilisateurs finals, en diffrenciant l'autorit, la Recrutement efficace d'employs informatiques Recrutement d'employs ne travaillant pas
responsabilit oprationnelle et la responsabilit finale du personnel qualifis et expriments comme prvu
informatique et des utilisateurs finals afin de rpondre aux besoins de
Performance efficace du personnel Utilisation frauduleuse du systme
l'entreprise.
Service informatique non ractif
que chaque tche informatique a t officialise aprs examen de la documentation et aprs avoir dtermin si les descriptions des tches informatiques sont appropries et mises
jour selon les besoins
qu'un rle a t attribu au personnel informatique avec les tches informatiques correspondantes. S'assurer que le personnel comprend le rle et les tches qui lui ont t attribus et
que les tches sont menes bien
que des responsabilits oprationnelles et finales ont t affectes des rles. S'assurer, en vrifiant les descriptions de postes, les chartes, etc., que chaque rle dispose des
responsabilits oprationnelles et des responsabilits finales ncessaires pour remplir sa fonction
que le personnel informatique a t inform de son rle. Vrifier si les changements sont communiqus au personnel informatique et s'ils sont appliqus
que les responsables s'assurent rgulirement de l'exactitude des descriptions de postes. Examiner les descriptions de postes pour s'assurer qu'elles refltent avec prcision les rles
des membres de l'quipe
que les descriptions des rles prcisent les principaux buts et objectifs et incluent des mesures SMIRRO
que ces mesures SMIRRO sont utilises pour valuer les performances du personnel
que toutes les descriptions des rles dans l'entreprise incluent les responsabilits en matire de systmes d'information, de contrle interne et de scurit
que le management dispense rgulirement des formations au personnel concernant leurs rles. Interroger les membres du personnel pour dterminer si on leur a communiqu des
informations sur leur rle et s'ils les ont comprises.
Pour dterminer si des politiques et procdures sont fournies aux employs, au niveau du service et l'chelle de l'entreprise, consulter :
la dclaration annuelle indiquant que l'employ a pris connaissance du rglement
les registres des ressources humaines indiquant si l'employ a reu la documentation sur les rgles en vigueur lors de sa priode d'intgration
les registres de formation des employs.
ANNEXE II
69
70

PO4.7 Responsabilit de l'assurance qualit des SI L'assurance qualit fait partie intgrante des Dgts en termes d'image
Attribuer la responsabilit de la performance de la fonction assurance responsabilits des SI Risques non identifis relatifs la qualit,
qualit et doter la fonction assurance qualit des systmes d'assurance Processus conformes aux attentes de l'entreprise impactant l'activit globale
qualit, des comptences en contrle et en communication en matire de qualit Augmentation des cots et des retards en raison
appropris. La position au sein de l'entreprise, les responsabilits et la
Identification proactive des amliorations de contrles qualit insuffisants
dimension du groupe assurance qualit doivent rpondre aux besoins
de l'entreprise. apportes la fonctionnalit informatique et aux Assurance qualit exerce de faon incohrente
processus mtiers et inefficace
Identification proactive des problmes de qualit Manque d'uniformit de la qualit travers
et des risques mtiers l'entreprise
Rduction des performances de l'entreprise
Vrifier et confirmer que le service d'assurance qualit :

est dot d'une ligne hirarchique lui permettant de bnficier de suffisamment d'indpendance et de rendre compte de ses observations en toute objectivit
dispose de processus de surveillance garantissant le respect des politiques, normes et procdures de l'entreprise en matire d'assurance qualit (ex : respect de la mthodologie de
dveloppement de l'entreprise)
tient le rle de centre d'expertise pour l'laboration de politiques (ex : exigences d'assurance qualit dans un cycle de vie de dveloppement systme), normes et procdures
d'assurance qualit
comprend un processus adopt et conforme aux normes et aux meilleures pratiques en matire d'assurance qualit
bnficie de niveaux de personnel et de comptences proportionnels la taille de l'entreprise et aux responsabilits du service d'assurance qualit. valuer les comptences pour
s'assurer qu'elles incluent l'assurance qualit, l'informatique, les contrles, les processus et la communication
bnficie du soutien actif des partenaires de la haute direction
comprend un processus dfini et document permettant d'identifier, de faire remonter et de rsoudre les problmes identifis dans le processus d'assurance qualit
comprend un processus permettant de transmettre rgulirement ses observations et recommandations.
PO4.8 Responsabilit des risques, de la scurit et de la Amlioration de la protection et de l'intgrit des Protection inadapte des actifs informatiques
conformit actifs informatiques Perte d'informations confidentielles
Situer la proprit et la responsabilit des risques lis aux SI dans Responsabilits du risque, de la scurit et de la Pertes financires
l'entreprise au niveau de management appropri. Dfinir et attribuer conformit intgres au niveau de la direction Manque d'implication de la part des dirigeants
les rles cruciaux de gestion des risques informatiques en y incluant
gnrale concernant la scurit dans l'ensemble de
les responsabilits spcifiques de la scurit de l'information, de la
scurit physique et de la conformit. Situer la responsabilit de la Soutien de la direction gnrale concernant les l'entreprise
gestion de la scurit au niveau gnral de l'entreprise de faon ce problmes de risque, de scurit et de conformit Risque de non-conformit
qu'elle soit concerne par les questions qui touchent l'ensemble de Mcanismes de scurit servant de contre-mesures Mauvaise comprhension de l'apptence pour le
l'entreprise. On peut avoir besoin d'attribuer des responsabilits efficientes et efficaces vis--vis des menaces risque informatique de l'entreprise
supplmentaires de gestion de la scurit certains niveaux des SI contre l'entreprise
pour faire face des problmes de scurit spcifiques. Obtenir des Identification proactive et rsolution des
orientations de la part du management sur l'apptence pour le risque problmes de risque, de scurit et de conformit
et sur l'approbation de tout risque informatique rsiduel.
que la direction gnrale a mis en place un service de scurit de l'information et de gestion des risques, dot du personnel appropri et couvrant l'ensemble de l'entreprise, responsable
de toute la scurit de l'information et de la gestion des risques. S'assurer, en interrogeant le personnel concern, que la ligne hirarchique du service de scurit de l'information et de
gestion des risques lui permet d'laborer, de mettre en uvre et, conjointement avec les cadres hirarchiques, de veiller efficacement au respect de la conformit vis--vis des
politiques, normes et procdures de scurit de l'information et de gestion des risques de l'entreprise
que les rles et responsabilits du service de scurit de l'information et de gestion des risques ont t officialiss et documents
que les responsabilits ont t attribues aux employs dots d'une exprience et de comptences appropries et, en matire de scurit de l'information, sous la direction d'un
responsable de la scurit de l'information
que les besoins en ressources en matire de gestion des risques et de scurit de l'information ont t rgulirement valus par le management pour s'assurer que les ressources
appropries sont fournies afin de rpondre aux besoins de l'entreprise
qu'un processus a t mis en place pour obtenir des recommandations de la direction gnrale concernant le profil de risque et l'acceptation de risques rsiduels importants. S'assurer
qu'il fonctionne correctement en examinant les situations rcentes.
ANNEXE II
71
72

PO4.9 Proprit des donnes et du systme Utilisateurs contrlant leurs donnes et leurs Donnes mtiers incorrectement scurises
Doter les mtiers de procdures et d'outils qui lui permettent de faire systmes Protection inapproprie des actifs informatiques
face leurs responsabilits de propritaires des donnes et des Responsabilit dfinie concernant la gestion des Exigences de protection des donnes mtiers non
systmes d'information. Les propritaires doivent prendre des mesures de scurit des donnes et systmes conformes aux exigences mtiers
dcisions concernant la classification de l'information et la protection
Processus efficace et opportun de gestion des Mesures de scurit inadaptes aux donnes et
de cette information en fonction de cette classification.
informations systmes
Rduction des pertes financires dues au vol Propritaires de processus mtiers ne prenant pas
d'actifs leurs responsabilits en matire de donnes

Vrifier et confirmer qu'une stratgie de classification des donnes et de proprit des systmes a t labore et communique.
S'assurer que cette stratgie a t applique aux principaux systmes applicatifs, l'architecture de l'entreprise et la communication des donnes internes et externes.
S'assurer que la stratgie de classification des donnes et de proprit des systmes prvoit la protection des actifs informatiques, permet une distribution et une utilisation efficaces des
applications d'entreprise et facilite la prise de dcisions efficaces en matire de scurit.
tudier le processus permettant d'enregistrer et de grer la classification des donnes et la proprit des systmes et dterminer si ce processus est appliqu systmatiquement.
PO4.10 Supervision Excution efficace et efficiente des rles et Buts et objectifs de l'entreprise non raliss
Mettre en place des pratiques adquates de supervision dans la responsabilits du service informatique Problmes de renouvellement du personnel et de
fonction informatique pour s'assurer que les rles et les Contrles appropris appliqus aux fonctions performance non identifis et non rsolus
responsabilits sont bien exercs, pour valuer si le personnel informatiques Dysfonctionnement des processus informatiques
possde suffisamment d'autorit et de ressources pour accomplir ses
Identification rapide des problmes de et mtiers
tches et responsabilits et pour procder, de manire gnrale, la
rvision des indicateurs cls de performance. renouvellement du personnel Surveillance inapproprie des contrles et
Identification rapide des problmes de objectifs
performance Principaux rles et responsabilits non exercs
S'assurer, par le biais d'entretiens, que des pratiques de supervision ont t mises en place, comprenant des recommandations et des formations en matire d'analyse des performances.
Examiner les archives pour valuer la frquence et l'ampleur des revues de dossiers et des valuations du personnel.
Dterminer si les revues sont associes un ensemble satisfaisant de critres et d'exigences de performance.
Vrifier et confirmer que les conclusions des revues de dossiers et des valuations du personnels font l'objet d'une remonte d'informations, d'une communication et d'un suivi
appropris.
PO4.11 Sparation des tches Fonctionnement efficace et efficient des processus Bouleversement inappropri des processus
Mettre en place une sparation des rles et des responsabilits qui et systmes mtiers critiques critiques
rduisent la probabilit qu'un seul individu puisse dtourner un Protection adapte des actifs informatiques Perte financire et dgts en termes d'image
processus critique. En outre, s'assurer que le personnel n'effectue que Rduction des risques de perte financire et de Vandalisme ou prjudices involontaires
les tches autorises relevant de sa fonction et de ses attributions.
dgts en termes d'image Non-conformit aux exigences externes de
sparation des systmes et processus mtiers
particulirement importants
Vrifier et confirmer que des normes ont t tablies pour appliquer et garantir la sparation approprie des tches et que ces normes sont rvises et modifies si ncessaire.
Dterminer si des normes ont t mises en place en matire d'affectation des rles et responsabilits.
Vrifier et confirmer qu'il existe un processus permettant d'identifier les postes et processus cls devant tre soumis une sparation des tches.
PO4.12 Recrutement informatique Capacit du personnel informatique rpondre Ressources en personnel informatique incapables
valuer rgulirement les besoins en personnel, ou l'occasion de aux besoins mtiers de rpondre aux besoins mtiers
changements majeurs au sein de l'entreprise, au niveau mtiers ou Contrle des cots Frais de personnel informatique interne et/ou
informatique pour s'assurer que le service informatique dispose de Taille approprie du service informatique externe excessifs
ressources suffisantes pour favoriser la ralisation des buts et
Comptences appropries au sein du service Ressources excessives ou insuffisantes au sein
objectifs de l'entreprise, de faon adquate et approprie.
informatique du service informatique
Manque de comptences adaptes au sein du
service informatique

Vrifier et confirmer que les qualifications et comptences informatiques disponibles et requises sont rgulirement examines et que leur impact sur le personnel informatique fait
l'objet d'une analyse, d'une remonte d'informations et d'actions si ncessaire
Examiner les principaux changements mtiers et oprationnels et dterminer si leur impact sur les qualifications, comptences et besoins en personnel fait l'objet d'une valuation et d'un
suivi.
valuer les stratgies de recrutement et vrifier si elles rpondent aux exigences de qualifications et de comptences.
ANNEXE II
73
74

PO4.13 Personnel informatique cl Personnel informatique cl suffisamment qualifi Comptences insuffisantes du personnel
Dfinir et identifier le personnel informatique cl (ex : personnel de Rduction de la dpendance vis--vis d'employs informatique cl
remplacement ou de secours) et viter de se fier un seul individu informatiques cls Recours des experts ne possdant des
pour raliser une tche professionnelle stratgique. Partage des connaissances connaissances que sur un seul sujet
Continuit des services informatiques Partage des connaissances ou plans d'volution
Fonctions informatiques stratgiques prises en de carrire inadapts
charge de faon fiable Tches et rles stratgiques non excuts
Plans d'volution de carrire

Vrifier et confirmer que le management dispose de procdures officielles pour la couverture en personnel des processus cls lorsqu'elle approuve des absences ou en est avertie.
Dterminer si le management contrle sa dpendance vis--vis des employs cls et si elle a envisag des actions d'urgence (ex : sources de recrutement alternatives, documentation des
connaissances cls, formation d'autres employs et transfert des responsabilits entre des employs cls et d'autres membres du personnel).
PO4.14 Procdures de gestion du personnel sous contrat Personnel sous contrat rpondant aux besoins de Dpendance accrue vis--vis d'individus cls
S'assurer que les consultants et autres personnes engages sous l'entreprise (sous contrat)
contrat qui sont en charge de la fonction informatique connaissent et Partage et conservation des connaissances au sein Disparits entre les attentes et le potentiel du
respectent les rgles de l'entreprise relatives la protection des actifs de l'entreprise personnel sous contrat
informatiques de l'entreprise, de faon ce que les termes des
Protection des actifs informatiques Travail ralis non conforme aux exigences
contrats passs avec eux soient respects.
Contrle des activits du personnel sous contrat mtiers
Pas d'acquisition de connaissances ou de
transfert de comptences de la part du personnel
sous contrat
Utilisation inapproprie et inefficace du
personnel sous contrat
Incapacit du personnel sous contrat respecter
les rgles de l'entreprise en matire de protection

des actifs informatiques
Frais juridiques lis des dsaccords sur les
perspectives de responsabilits oprationnelles et
finales
Inspecter les politiques et procdures dcrivant quand et comment tel ou tel type de tche peut tre externalis, et dterminer si elles sont appliques.
Inspecter les politiques et procdures concernant la responsabilit des sous-traitants en matire de scurit de l'information. Enquter pour dterminer si elles sont suivies (ex : vrifier si
les contrles des antcdents sont effectus, si les exigences de contrle d'accs logique et physique sont respectes, si l'identification personnelle est scurise et si les sous-traitants sont
informs que le management se rserve le droit de surveiller et d'inspecter l'utilisation de toutes le ressources informatiques, y compris la messagerie lectronique, les communications
vocales et tous les programmes et fichiers de donnes).
Examiner les politiques et procdures de slection des sous-traitants et vrifier si elles sont appliques.
PO4.15 Relations Efficacit de l'identification et de la rsolution des Accroissement du dcalage entre l'identification
Mettre en place et maintenir oprationnelle une structure de problmes et la rsolution des problmes
coordination, de communication et de liaison optimale entre la Harmonie entre les objectifs et approches et les Identification inapproprie des amliorations
fonction informatique et divers autres professionnels l'intrieur et mthodologies et objectifs mtiers Disparits entre les objectifs mtiers et les
l'extrieur de cette fonction, comme le conseil d'administration, la
Implication positive des parties prenantes politiques, recommandations et mthodologies
direction gnrale, les units oprationnelles, certains utilisateurs, les
fournisseurs, les responsables de la scurit, les responsables de la Proprit et responsabilit clairement dfinies en informatiques
gestion des risques, le groupe responsable de la conformit dans matire de gestion des relations
l'entreprise et les responsables chargs des prestations externes
(externalisation et sous-traitance).
Vrifier et confirmer qu'un processus d'identification des parties prenantes a t dfini et qu'un canal de communication et un plan de communication ont t tablis pour chacune d'entre
elles.
S'assurer, par le biais d'entretiens avec les principales parties prenantes, qu'elles sont satisfaites des communications des SI, que ces dernires sont efficaces et que la gestion des retours
d'informations des parties prenantes est approprie.
ANNEXE II
75
Examiner le cadre de rfrence des processus informatiques et dterminer s'il soutient le plan informatique stratgique et s'intgre dans le
processus mtiers, les processus informatiques et la gestion du portefeuille de l'entreprise.
Vrifier, par le biais d'entretiens, si ce cadre de rfrence est communiqu, excut et compris par les mtiers et les SI.
Vrifier et confirmer que le cadre de rfrence des processus informatiques a t intgr au systme de gestion de la qualit et au cadre de
contrle interne.
Vrifier et confirmer que le champ d'application, la composition, les responsabilits, etc. du Comit stratgique informatique sont dfinis,
que le comit est compos de membres du conseil d'administration et de membres ne sigeant pas ce mme conseil, chacun tant dot
d'une expertise spcifique.
S'assurer, par le biais d'entretiens, de comptes-rendus de runions et de rapports soumis au Conseil d'administration, que le Comit
stratgique informatique relve directement du Conseil d'administration concernant les questions de gouvernance et de stratgie
informatique.
Vrifier et confirmer que lencadrement suprieur de la DSI a identifi les processus utiliss pour surveiller, mesurer et communiquer les
performances du service informatique.
Confirmer l'existence d'un comit de pilotage informatique reprsent au niveau de la direction, des principaux secteurs d'activit mtiers,
de l'informatique et des principaux secteurs de support aux mtiers.
Vrifier et confirmer que la documentation officielle sur le rle et l'autorit du comit de pilotage informatique inclut les principaux
commanditaires au niveau de la direction.
tudier les documents tels que les comptes-rendus de runions et la charte du comit de pilotage informatique pour identifier les membres
du comit, leurs fonctions professionnelles respectives et la relation hirarchique entre le comit et la direction gnrale.
Vrifier et confirmer que le service informatique est dirig par un DSI ou une fonction similaire et que le niveau hirarchique est
proportionnel l'importance des SI.
S'assurer, par le biais d'entretiens et d'analyses des organigrammes, qu'aucun groupe d'utilisateurs ou division ne peut exercer une influence
abusive sur la fonction informatique (ex : relation hirarchique de la fonction informatique et son indpendance vis--vis d'une division ou
d'une unit oprationnelle, identification du mode de financement des projets).
S'assurer, par le biais d'entretiens et d'un examen de la documentation, que la fonction informatique dispose des ressources et du
financement appropris pour prendre en charge les fonctions mtiers (ex : tude de l'tude de faisabilit, plan informatique stratgique et
tactique pour les besoins en ressources).
Vrifier et confirmer l'existence d'analyses priodiques de la structure organisationnelle des SI, dans le but de s'assurer qu'elles rpondent
aux besoins de l'entreprise.
S'assurer auprs du responsable de l'administration des SI qu'un accs aux ressources externes est mis disposition si ncessaire.
S'assurer, par le biais d'entretiens avec le personnel informatique, qu'une fonction a t attribue chacun avec des tches informatiques
correspondantes (ex : dterminer si le personnel comprend la fonction et les tches qui lui ont t attribues et vrifier si les tches sont
ralises).
Vrifier et confirmer que des responsabilits ont t attribues aux rles (ex : vrifier que chaque rle dispose des responsabilits
ncessaires pour assurer le rle).
Vrifier et confirmer que les descriptions des rles ont t cres et prciser l'autorit et les responsabilits.
Vrifier et confirmer l'existence d'une fonction d'assurance qualit.
Dterminer le rle des fonctions d'assurance qualit (ex : processus de surveillance garantissant le respect des politiques, normes et
procdures de l'entreprise en matire d'assurance qualit ; rle de centre d'expertise pour l'laboration de politiques, normes et procdures
d'assurance qualit).
Vrifier et confirmer que le service d'assurance qualit est pourvu du personnel appropri et comptent.
Vrifier et confirmer que les membres de la direction gnrale ont mis en place des fonctions de gestion des risques et de scurit de
l'information responsables de leurs domaines respectifs.
Vrifier et confirmer que la ligne hirarchique du service de scurit et de gestion des risques lui permet d'laborer, de mettre en uvre et,
conjointement avec les cadres suprieurs, de veiller efficacement au respect de la conformit vis--vis des politiques et procdures de
l'entreprise.
Vrifier et confirmer qu'un processus a t mis en place pour obtenir des recommandations de la direction gnrale concernant le niveau de
risque acceptable associ aux SI.
Vrifier et confirmer que les rles et responsabilits du service de scurit de l'information et de gestion des risques ont t officialiss et
documents et que les responsabilits ont t attribues de faon approprie. Examiner la documentation et dterminer si les personnes
concernes s'acquittent de leurs rles et responsabilits conformment cette documentation.
Vrifier et confirmer que les besoins en ressources sont rgulirement valus et qu'ils sont satisfaits. Dterminer si les niveaux de dotation
en personnel sont appropris, par rapport aux rsultats des valuations des besoins en ressources.
S'assurer, par le biais d'entretiens et d'un examen de la documentation, qu'un inventaire des actifs informatiques a t cr, fait l'objet d'un
suivi et est tenu jour.
S'assurer, par le biais d'entretiens, que les superviseurs sont dots des comptences requises pour exercer leurs fonctions de supervision
(exemple : suivi des tches critiques, indicateurs cls de performance, valuations des performances du personnel et valuation des risques).
Examiner la procdure de remonte des informations et s'assurer qu'elle a t mise en uvre et qu'elle est applique de faon cohrente
(ex : consignation, suivi et analyse rguliers des problmes).
Vrifier et confirmer, au cours d'tudes rgulires sur le personnel, que les techniques d'encadrement sont values et que les mesures
requises sont prises pour garantir les comptences.
Vrifier et confirmer l'existence d'un processus permettant d'identifier les fonctions incompatibles.
Vrifier et confirmer que des mesures ont t prises pour remdier aux fonctions incompatibles.
Vrifier et confirmer que des procdures dterminent comment maintenir une sparation des tches approprie lorsque le personnel habituel
n'est pas disponible.

ANNEXE II
Vrifier si la sparation des tches est tudie lorsque les rles et responsabilits d'un poste sont crs ou mis jour et si les responsabilits
sont rattribues si ncessaire. Dterminer si les changements sont mis en uvre (ex : les descriptions de postes dfinissent clairement
l'autorit et la responsabilit).
Vrifier et confirmer que des contrles compensatoires ont t mis au point et mis en uvre si ncessaire (ex : s'assurer de l'efficacit des
contrles compensatoires, auprs des superviseurs ou de la direction informatique). Vrifier et confirmer que la direction examine
rgulirement les besoins en personnel compte tenu de la stratgie et de l'environnement mtier/informatique et qu'elle identifie les
insuffisances en termes de comptences et de ressources.
Vrifier et confirmer que la direction value les stratgies de recrutement (ex : personnel mixte mtiers/informatique, formation
pluridisciplinaire, rotation des postes) et analyse paralllement les besoins en personnel.
Vrifier et confirmer que la direction identifie rgulirement les processus cls, les comptences requises pour soutenir les processus et les
domaines cls en manque de postes faisant double emploi (ex : dterminer la disponibilit des personnes disposant des comptences, de
l'exprience et des connaissances appropries pour s'acquitter des rles critiques, inspecter la documentation rpertoriant les processus cls
et les personnes dsignes pour favoriser leur mise en uvre).
Vrifier et confirmer que la direction a envisag l'externalisation ou d'autres services d'appoint pour fournir des postes faisant double
emploi pour les processus cls (ex : tudier les contrats disponibles avec des tiers pour identifier l'existence de clauses de sous-traitance).
Confirmer l'existence et la tenue jour de listes de contacts cls, indiquant leur disponibilit, communiques au personnel concern en
temps utile. S'assurer que le personnel de remplacement bnficie d'une formation polyvalente.
Vrifier et confirmer que les politiques, procdures, rgles et responsabilits sont communiques au sous-traitant et que ce dernier est
conscient que la direction se rserve le droit de surveiller et d'inspecter l'utilisation de toutes le ressources informatiques.
Vrifier et confirmer qu'une personne comptente est charge d'tudier le travail du sous-traitant et la validation des paiements.
Vrifier et confirmer que la direction informatique a dfini les parties prenantes et les relations cls et que les rles et responsabilits sont
communiqus aux parties prenantes (ex : utilisateurs, fournisseurs, responsables de la scurit, responsables de la gestion des risques,
rgulateurs).
S'assurer, auprs de la direction, que des employs du service informatique, dots des qualifications appropries, sont chargs de grer les
relations (ex : inspecter les documents qui rpertorient les contacts du service informatique pour chaque partie prenante).
Vrifier et confirmer que des commentaires sont mis par les principales parties prenantes (ex : problmes, mesures prendre, rapports) et
dterminer si ces ractions sont prises en compte pour favoriser l'amlioration continue.

valuer les risques (ex : menaces, vulnrabilits potentielles, scurit, contrles internes) gnrs par l'absence d'un plan d'action visant
atteindre les objectifs stratgiques.
valuer les risques et les cots supplmentaires dans la situation o les SI ne sont pas organiss de faon optimale pour atteindre les
objectifs stratgiques.
valuer les risques (ex : menaces, vulnrabilits potentielles, scurit, contrles internes) dans la situation o un plan informatique
stratgique risque de ne pas tre excut efficacement.
valuer les risques (ex : menaces, vulnrabilits potentielles, scurit, contrles internes) en cas de confiance excessive dans le personnel
informatique cl.
valuer les cots supplmentaires dans la situation o les besoins en personnel et les stratgies de recrutement ne sont pas affins pour
atteindre les objectifs mtiers prvus et pour rpondre l'volution des circonstances.
valuer les cots supplmentaires dans la situation o le personnel effectue des tches interdites dans le cadre de sa fonction et de ses
attributions.
valuer les risques (ex : menaces, vulnrabilits potentielles, scurit, contrles internes) encourus si des activits incontrles
d'intervenants extrieurs risquent de porter atteinte aux actifs informatiques de l'entreprise.

PO5 Grer les investissements informatiques
78

Un cadre de rfrence est mis en place et tenu jour pour grer les programmes d'investissements informatiques. Il couvre les cots, les bnfices, les priorits budgtaires, un processus de
budgtisation formalis et une gestion conforme au budget. Les parties prenantes sont consultes pour identifier et contrler les cots et bnfices totaux dans le contexte des plans
stratgiques et tactiques informatiques et initier des mesures correctives lorsque c'est ncessaire. Le processus favorise le partenariat entre l'informatique et les parties prenantes mtiers,
facilite l'utilisation efficace et efficiente des ressources informatiques, et apporte transparence et responsabilit dans le cot total de proprit, la ralisation de bnfices pour l'entreprise et le
rendement des investissements informatiques.
PO5.1 Rfrentiel de gestion financire Comprhension de la valeur de l'apport des SI aux Priorits floues des projets informatiques
Mettre en place et maintenir oprationnel un rfrentiel financier pour mtiers, l'aide de critres d'investissement Processus inefficace pour la gestion financire
grer les investissements et les cots des services et actifs standardiss Budget informatique ne refltant pas les besoins
informatiques, par l'intermdiaire de portefeuilles d'investissements Priorits informatiques bases sur la contribution mtiers
informatiques, d'tudes de faisabilit et de budgets informatiques.
de la valeur des SI Faiblesse des contrles des budgets
Budgets clairs et approuvs informatiques
Amlioration de la capacit affecter les priorits Incapacit de la direction gnrale approuver
en fonction des tudes de faisabilit les budgets informatiques
Manque de soutien de la direction gnrale
Vrifier l'existence d'un rfrentiel de gestion financire, comprenant des processus et responsabilits, servant de base pour la gestion des cots, des bnfices et des budgets. Vrifier et
confirmer que les entres et sorties du rfrentiel financier ont t dfinies et que le management amliore rgulirement le rfrentiel en tenant compte des informations financires
disponibles.
Vrifier qu'un portefeuille des programmes d'investissement, de services et d'actifs informatiques a t cr et est tenu jour. Effectuer une analyse de haut niveau du portefeuille afin
d'en vrifier l'exhaustivit et l'harmonisation avec les plans informatiques tactiques et stratgiques.
Vrifier et confirmer l'existence d'un processus visant communiquer les aspects intressants du portefeuille en matire de cots et de bnfices, l'intention des processus appropris de
dfinition des priorits budgtaires (tudes de faisabilit), de gestion des cots et de gestion des bnfices.
S'assurer que les intrants (cots et bnfices) sont comparables et cohrents.
S'assurer que le budget informatique dfini inclut les projets, actifs et services.
PO5 Grer les investissements informatiques (suite)
PO5.2 Dfinition des priorits dans le budget informatique Priorits refltant les objectifs informatiques et les Gestion inefficace des ressources
Mettre en place un processus de prise de dcision pour dfinir les exigences de l'entreprise et transparentes vis--vis Incapacit optimiser les buts et objectifs
priorits dans l'attribution des ressources informatiques pour de toutes les parties prenantes Confusion, dmotivation et perte de flexibilit en
l'exploitation, les projets et la maintenance, dans le but de maximiser Utilisation cible des ressources raison de priorits floues
la contribution des SI l'optimisation du retour sur investissement du
Prise de dcision approprie, quilibre entre le Budget informatique non conforme la stratgie
portefeuille de l'entreprise qui gre les programmes d'investissements
informatiques et des autres services et actifs informatiques. cot, l'amlioration continue, la qualit et la informatique et aux dcisions d'investissement
prparation l'avenir
Vrifier et confirmer la cration d'un processus et d'un comit dcisionnel pour l'tablissement des priorits en matire de ressources et d'initiatives informatiques. S'assurer que les
responsabilits du comit ont t dfinies relativement aux autres comits.
Vrifier et confirmer que toutes les initiatives informatiques sont hirarchises dans des portefeuilles bass sur les tudes de faisabilit et les plans tactiques et stratgiques.
tudier les budgets allous et les plafonds pour s'assurer de leur cohrence et de leur prcision.
S'assurer, en inspectant les comptes-rendus de runions, que les dcisions d'tablissement des priorits ont t communiques et vrifier, par le biais d'entretiens, si les dcisions sont
analyses par les parties prenantes au budget.
Vrifier et confirmer qu'il existe un processus permettant d'identifier, de communiquer et d'appliquer les dcisions budgtaires importantes qui ont des rpercussions sur l'tude de
faisabilit, le portefeuille ou les plans stratgiques.
S'assurer que le Comit stratgique informatique et le Comit de direction ont ratifi les modifications apportes au budget informatique global pour les lments ayant un impact ngatif
sur les plans tactiques ou stratgiques de l'entit et qu'ils ont propos des actions visant rsorber cet impact.
ANNEXE II
79
80

PO5.3 Processus de budgtisation informatique Un processus dcisionnel efficace pour la Conflits de ressources
tablir et mettre en place des pratiques destines prparer et grer prvision et l'attribution des budgets Affectation inapproprie des ressources
un budget qui reflte les priorits tablies par le portefeuille de Panel d'options de financement officiellement financires des activits informatiques
l'entreprise qui gre les programmes d'investissements informatiques, dfini pour les activits informatiques Ressources financires non conformes aux
et qui prend en compte les cots rcurrents de fonctionnement et de
Cots informatiques identifis et classs objectifs de l'entreprise
maintenance de l'infrastructure actuelle. Ces pratiques doivent
favoriser le dveloppement d'un budget global informatique ainsi que Responsabilit des dpenses bien tablie Manque d'autonomie, entranant une perte de
celui de budgets de programmes individuels, avec une attention flexibilit
particulire pour les composantes informatiques de ces programmes. Soutien insuffisant de la direction gnrale
Ces pratiques doivent prvoir des rvisions et des rajustements concernant le budget informatique
rguliers et l'approbation du budget global et des budgets des
programmes individuels.

Vrifier et confirmer qu'une mthodologie a t mise en place pour tablir, modifier, valider et communiquer un budget informatique officiel.
Examiner le budget informatique pour vrifier si les lments importants (ex : sources de financement autorises, cots des ressources internes, cots tiers, dpenses d'investissement et
de fonctionnement) sont pris en compte lors de la cration du budget.
Vrifier et confirmer que des rserves budgtaires pour imprvus ont t identifies et que la justification de ces rserves pour imprvus a t approuve.
S'assurer que l'efficacit du processus de budgtisation est contrle (rpartition des cots, rpartition des cots des services et analyse des carts budgtaires) et tudier les rapports pour
s'assurer que les enseignements tirs sont consigns afin d'accrotre la prcision et la fiabilit des futurs budgets.
Vrifier et confirmer que les personnes participant au processus de budgtisation (ex : propritaires des processus, services et programmes, gestionnaires d'actifs) ont suivi une formation
approprie.
Vrifier et confirmer l'existence d'un processus valid et cohrent de cration de budget (ex : tudier les plans budgtaires, prendre des dcisions propos des enveloppes budgtaires et
compiler et communiquer les budgets informatiques globaux, la rpartition des cots des projets, la rpartition des cots des services et l'analyse des carts budgtaires).
PO5.4 Gestion des cots Identification prcise et opportune des carts Mauvais emploi des investissements
Mettre en place un processus de gestion des cots qui compare les budgtaires informatiques
cots rels aux dpenses budgtes. Les cots doivent tre suivis et Utilisation optimale et rentable des ressources Tarification inapproprie des services
communiqus dans un rapport. Lorsqu'il y a des carts, il faut les informatiques Contribution de la valeur des SI non transparente
mettre en vidence en temps voulu, valuer leurs consquences sur
Tarification cohrente des prestations de services
les programmes et, avec les responsables mtiers de ces programmes,
prendre des mesures pour y remdier ; si ncessaire, il faut aussi Contribution transparente de la valeur des SI
rvaluer l'tude de faisabilit du programme. Comprhension par les mtiers des cots et
bnfices rels des SI

Vrifier et confirmer qu'un cadre de rfrence a t dfini pour grer les cots lis aux SI et que les catgories de dpenses informatiques sont dtailles, appropries et correctement
classes.
S'assurer qu'il existe une sparation approprie entre les personnes qui saisissent, analysent et transmettent les informations financires et les responsables du budget informatique.
Examiner les chanciers tablis pour dterminer s'ils sont conformes aux exigences comptables et budgtaires et, dans le cadre des projets informatiques, s'ils sont structurs
conformment au calendrier des livrables.
Vrifier et confirmer qu'une mthode a t dfinie pour collecter les donnes permettant d'identifier les carts spcifis.
S'assurer que les systmes partir desquels les donnes sont collectes ont t identifis.
Dterminer si les informations fournies par les systmes sont compltes, prcises et cohrentes.
Dterminer le mode de consolidation des informations relatives aux cots, la faon dont elles sont prsentes diffrents niveaux de l'entreprise et aux parties prenantes, et si elles
permettent d'identifier, en temps utile, les actions correctives requises.
ANNEXE II
81
82

PO5.5 Gestion des bnfices Identification prcise des fluctuations des Mauvais emploi des investissements
Mettre en place un processus de surveillance des bnfices offerts par bnfices pendant et aprs la mise en uvre informatiques
la fourniture et la gestion de capacits informatiques appropries. La Informations prcises pour les dcisions relatives Tarification inapproprie des services
contribution des SI aux mtiers, soit en tant que composante des au portefeuille (poursuite, ajustement ou retrait de Contribution de la valeur des SI non transparente
programmes d'investissements informatiques, soit en tant que soutien
programmes) Perception incorrecte de la contribution de la
oprationnel habituel, doit tre identifie, approuve, surveille et
faire l'objet de rapports. Il faut faire une analyse critique des rapports, Tarification approprie des prestations de services valeur des SI
et s'il est possible d'amliorer la contribution des SI, il faut dterminer Contribution transparente des SI aux mtiers
des actions entreprendre, et agir. Lorsque des changements dans la Comprhension par les mtiers des cots et
contribution des SI ont des consquences sur un programme ou bnfices rels des SI
lorsque ces consquences viennent de modifications d'autres projets,
l'tude de faisabilit du programme doit tre rvalue.

Vrifier et confirmer que le processus de gestion des cots fournit suffisamment d'informations pour identifier, quantifier et qualifier les bnfices procurs par la fourniture de solutions
informatiques, la prestation de services informatiques et la gestion d'actifs informatiques.
Vrifier et confirmer que la rpartition des bnfices sur la dure permet d'effectuer une analyse srieuse des bnfices.
tudier le processus visant dvelopper des mtriques pour mesurer les bnfices (ex : obtenir des recommandations auprs d'experts externes, de leaders du secteur et de donnes
d'analyses comparatives).
Vrifier et confirmer l'existence d'un processus d'actions correctives relatif aux carts de bnfices.
ANNEXE II
Vrifier et confirmer qu'un rfrentiel de gestion financire, des processus et des responsabilits ont t dfinis et maintenus oprationnels
pour permettre l'estimation honnte, transparente, reproductible et comparables des cots et bnfices des SI, introduire dans le
portefeuille de programmes mtiers qui s'appuient sur les SI.
Dterminer si le rfrentiel de gestion financire fournit des informations pour permettre une prise de dcision efficace et efficiente
concernant le portefeuille et l'investissement informatique, s'il permet d'estimer les cots et bnfices des SI et s'il contribue la gestion des
portefeuilles de services et d'actifs informatiques. Dterminer si le rfrentiel de gestion financire et les processus fournissent
suffisamment d'informations financires pour favoriser le dveloppement d'tudes de faisabilit et faciliter le processus de budgtisation.
S'assurer que les investissements, les actifs informatiques et les services sont pris en compte dans la prparation des budgets informatiques.
Vrifier et confirmer que le budget informatique actuel fait l'objet d'un suivi par rapport aux cots rels et que les carts sont analyss.
Vrifier et confirmer que les informations fournies par le processus de budgtisation sont suffisantes pour analyser les cots des projets et
faciliter la rpartition des ressources informatiques.
Vrifier et confirmer qu'un processus dcisionnel efficace est mis en place afin de hirarchiser toutes les initiatives informatiques et de
rpartir les budgets en consquence.
Vrifier et confirmer qu'une mthodologie a t mise en place pour tablir, tenir jour et communiquer les modifications et la validation
d'un budget informatique officiel.
Vrifier et confirmer que les propritaires des processus, services et programmes et les chefs de projet et gestionnaires d'actifs ont reu des
instructions sur la faon d'apprhender les exigences budgtaires et de planifier les budgets.
S'assurer de l'existence d'un processus de budgtisation et vrifier si ce processus est rgulirement rvis et amlior.
Examiner le rfrentiel de gestion des cots et s'assurer qu'il dfinit tous les cots lis aux SI. S'assurer que les outils utiliss pour contrler
les cots sont efficaces et correctement utiliss (ex : comment les cots sont rpartis travers les budgets et les projets, comment les cots
sont apprhends et analyss, comment ils sont communiqus et par qui).
Vrifier et confirmer que la rpartition du budget au fil du temps est conforme aux projets informatiques et aux activits de soutien pour
permettre d'effectuer une analyse srieuse des carts budgtaires.
Vrifier et confirmer que le management de la gestion financire des SI a reu des instructions sur la faon de recueillir, de consolider et de
communiquer les donnes relatives aux cots.
Vrifier et confirmer que le niveau de direction appropri examine les rsultats de l'analyse des cots et valide les actions correctives.
Vrifier et confirmer que la responsabilit oprationnelle et la responsabilit finale d'obtention des bnfices, indiques dans l'tude de
faisabilit, ont t attribues.
Vrifier et confirmer que les mtriques permettant de surveiller la contribution des SI et des mtiers l'tude de faisabilit sont
rgulirement recueillies, communiques et analyses.
Vrifier et confirmer que les carts budgtaires identifis sont valids par les directions mtiers et informatique.

valuer les risques (ex : menaces, vulnrabilits potentielles, scurit, contrles internes) gnrs par les situations suivantes :
Les donnes saisies dans les tudes de faisabilit ne tiennent pas compte des portefeuilles des actifs informatiques et des services actuels
Les nouveaux investissements et la maintenance des portefeuilles n'influencent pas le prochain budget informatique
Les aspects cots et bnfices des projets ne sont pas communiqus aux processus de dfinition des priorits budgtaires, de gestion des
cots et de gestion des bnfices
La rpartition des ressources informatiques n'est pas hirarchise en consquence de la contribution des SI l'optimisation du retour sur
investissement
Les rvisions et rajustements rguliers et l'approbation du budget global et des budgets des programmes individuels n'ont pas lieu
Les carts de cots ne sont pas identifis en temps opportun et l'impact de ces carts n'est pas valu
Les possibilits d'amliorer la contribution des SI aux solutions mtiers ne sont pas prises en compte
Tous les bnfices ne sont pas identifis dans le cadre d'une analyse cots/bnfices, ce qui entrane une mauvaise hirarchisation des
projets et le rejet de projets qui auraient pu tre envisags

PO6 Faire connatre les buts et orientations du management
84

Le management dveloppe un cadre de contrle des SI pour l'entreprise, et dfinit et communique les politiques. Un programme de communication permanent approuv et soutenu par le
management est mis en place pour articuler la mission, les objectifs de fourniture de services, les politiques et les procdures, etc. Cette communication apporte son soutien aux objectifs
informatiques et s'assure qu'on est attentif aux risques, aux objectifs et aux orientations mtiers et informatique et qu'on les comprend. Ce processus s'assure de la conformit aux lois et
rglements qui le concernent.
PO6.1 Politique informatique et environnement de contrle Environnement complet de contrle des SI Mauvaise communication propos de la mission
Dfinir les lments d'un environnement de contrle des SI en ligne Ensemble complet de rgles informatiques de l'entreprise
avec la philosophie de management et le style de fonctionnement de Plus grande sensibilisation la mission de Mauvaise interprtation de la philosophie de
l'entreprise. Parmi ces lments figurent les attentes/exigences l'entreprise management
d'apport de valeur des investissements informatiques, l'apptence
Utilisation approprie des applications et services Actions non conformes aux objectifs mtiers de
pour le risque, l'intgrit, les valeurs thiques, la comptence du
personnel, les responsabilits oprationnelles et finales. informatiques l'entreprise
L'environnement de contrle doit tre bas sur une culture dont les Environnement de contrle des SI non
principes sont l'apport de valeur tout en grant les risques transparent
significatifs, l'encouragement la coopration entre services et au Problmes de conformit et de scurit
travail d'quipe, la promotion de la conformit et de l'amlioration
permanente des processus, et la bonne prise en main des anomalies de
fonctionnement (ou des checs) des processus.
Vrifier et confirmer l'existence d'une communication officielle de la direction le point de vue d'en haut (ex : page intranet ou newsletter du DSI, e-mails priodiques, vision
informatique ou principes directeurs) conue pour dfinir et grer l'environnement de contrle et de risque informatique et pour garantir son harmonisation avec l'environnement de
contrle et de risque gnral de l'entreprise.
Dterminer si la responsabilit oprationnelle et la responsabilit finale ont t attribues des individus concernant l'tablissement et le renforcement de la communication de la culture
de contrle.
Confirmer l'existence de rgles et de pratiques soutenant l'environnement de contrle (ex : rgles d'utilisation acceptable, contrle des antcdents).
Rechercher les preuves d'actions rgulires de sensibilisation et de formation ces rgles et pratiques.
Dterminer s'il existe un processus permettant de rvaluer rgulirement (au moins une fois par an) l'adquation de l'environnement de contrle et de l'apptence pour le risque pour
s'assurer qu'ils sont conformes aux nouvelles ralits de l'entreprise.
Vrifier et confirmer que les politiques de ressources humaines (ex : contrle des antcdents sur les candidats un emploi, formation et sensibilisation pour les nouvelles recrues, code
de conduite sign, consquences appropries d'un comportement contraire l'thique) soutiennent l'environnement de contrle des SI.
PO6 Faire connatre les buts et orientations du management (suite)
PO6.2 Cadre de rfrence des contrles et risques informatiques Cadre de rfrence complet des contrles et Divulgation d'informations confidentielles de
Dvelopper et maintenir jour un cadre de rfrence qui dfinit risques informatiques l'entreprise
l'approche globale de l'entreprise vis--vis des risques et des contrles Comprhension et sensibilisation aux contrles et Irrgularits non identifies
informatiques et qui est conforme l'environnement de contrle et de risques informatiques Pertes financires
politique des SI, ainsi qu'au cadre de rfrence des contrles et
Rduction de l'impact mtiers ngatif lorsque des Problmes de conformit et de scurit
risques de l'entreprise.
problmes prvus et imprvus surviennent
Vrifier et confirmer l'existence d'un cadre de rfrence officiel des risques et contrles informatiques, bas sur les meilleures pratiques et normes du secteur admises (ex : COSO,
COSO-ERM, COBIT).
Dterminer si ce cadre de rfrence des risques et contrles informatiques est conforme au cadre de rfrence des risques et contrles d'entreprise de lorganisation et s'il tient compte du
niveau de tolrance aux risques de l'entreprise.
Vrifier et confirmer que le cadre de rfrence des risques et contrles informatiques prcise son champ d'application et sa finalit et qu'il dcrit les attentes du management concernant
les lments contrler.
Vrifier et confirmer que la structure du cadre de rfrence des risques et contrles informatiques est bien dfinie et que les responsabilits ont t clairement tablies et attribues aux
personnes comptentes.
Vrifier et confirmer qu'un processus a t mis en place pour tudier rgulirement (de prfrence une fois par an) le cadre de rfrence des risques et contrles informatiques afin de
garantir son efficacit et sa pertinence.
PO6.3 Gestion des politiques informatiques Politiques et procdures adaptes l'entreprise Accroissement du nombre et de l'impact des
Dvelopper et tenir jour un ensemble de politiques l'appui de la Qualit au sein de l'entreprise failles de scurit
stratgie SI. Ces politiques doivent prciser leurs objectifs, comporter Utilisation approprie des applications et services Politiques inconnues ou rejetes
des rles et responsabilits, des processus de gestion des exceptions, informatiques Mauvaise comprhension des objectifs et
une approche conformit et des rfrences aux procdures, aux
Transparence et comprhension des cots, des orientations de la direction
standards et aux lignes directrices. Leur pertinence doit tre
rgulirement confirme et approuve. bnfices, de la stratgie et des niveaux de Politiques obsoltes ou incompltes
scurit des SI Mdiocrit de la culture scuritaire de
l'entreprise
Manque de transparence

Vrifier et confirmer qu'un ensemble hirarchis de politiques, normes et procdures a t cr et qu'il est conforme l'environnement de contrle et la stratgie informatique.
ANNEXE II
Vrifier et confirmer l'existence de politiques spcifiques portant sur des questions essentielles comme la qualit, la scurit, la confidentialit, les contrles internes, l'thique et les
droits de proprit intellectuelle.
Vrifier et confirmer qu'un processus de mise jour des politiques a t dfini et qu'il requiert, au minimum, une rvision annuelle.
Vrifier et confirmer que des procdures ont t mises en place pour assurer le suivi de la conformit et dfinir les consquences de la non-conformit.
Vrifier et confirmer que les responsabilits ont t dfinies et documentes concernant la formulation, l'laboration, la documentation, la ratification, la diffusion et le contrle des
politiques pour s'assurer que tous les lments du processus de gestion des politiques ont t affects des personnes responsables.
85
PO6 Faire connatre les buts et orientations du management (suite)
86

PO6.4 Dploiement des politiques, standards et procdures Protection approprie des actifs de l'entreprise Politiques, standards et procdures de l'entreprise
Prsenter les politiques informatiques tous les employs concerns Dcisions conformes aux objectifs mtiers de inconnus ou rejets
et veiller leur application, pour qu'elles fassent partie intgrante du l'entreprise Manque de communication vis--vis des
fonctionnement de l'entreprise. Gestion efficace des actifs de l'entreprise objectifs et orientations du management
Utilisation approprie des ressources Culture de contrle non conforme aux objectifs
informatiques et des services informatiques du management
Politiques mal comprises ou rejetes
Risque mtiers li au non-respect des politiques
et procdures
Vrifier et confirmer qu'un processus a t mis en place pour traduire les politiques et standards informatiques en procdures oprationnelles.
Vrifier et confirmer que les contrats de travail et les mcanismes d'encouragement sont aligns sur les politiques.
Vrifier et confirmer qu'un processus a t mis en place pour demander aux utilisateurs de confirmer explicitement qu'ils ont t informs des politiques, standards et procdures
informatiques qui les concernent, qu'ils les ont compris et accepts. Cette confirmation doit tre rpte rgulirement (par exemple, une fois par semestre).
Vrifier si des ressources suffisantes et comptentes sont disponibles pour soutenir le dploiement des politiques.
PO6.5 Communication des objectifs et des orientations Communication claire de la philosophie de Non-ralisation des objectifs informatiques
informatiques management Acceptation ou comprhension trs limite de la
S'assurer que les parties prenantes et les utilisateurs concerns Plus grande sensibilisation la mission de politique de l'entreprise
comprennent les objectifs et les orientations informatiques et mtiers l'entreprise Menaces pour l'entreprise non identifies en
dans l'ensemble de l'entreprise.
Comprhension et sensibilisation aux risques, la temps opportun
scurit, aux objectifs, etc. au sein de l'entreprise Mauvaise comprhension des objectifs et
Dcisions conformes aux objectifs mtiers de orientations du management
l'entreprise Manque de confiance dans la mission des SI
Faillite de la culture du contrle et de la scurit
Vrifier et confirmer l'existence de processus de gestion visant communiquer rgulirement les objectifs et l'orientation informatiques.
Vrifier, auprs d'un chantillon reprsentatif du personnel diffrents niveaux, que les objectifs informatiques ont t clairement communiqus et compris.
tudier les communications prcdentes et vrifier si elles portaient sur la mission, les objectifs de fourniture de services, la scurit, les contrles internes, la qualit, le code de
conduite/thique, les politiques et les procdures, etc.
ANNEXE II
valuer la frquence, le format et le contenu des messages communiqus par la direction (le point de vue den haut) pour dterminer s'ils
permettent de dfinir et de renforcer efficacement la culture du contrle, l'apptence pour le risque, l'thique, le code de conduite et
l'exigence d'intgrit du management.
Rechercher les preuves d'actions rgulires de sensibilisation et de formation aux rgles et pratiques qui concernent la prise en charge de
l'environnement de contrle (ex : code de conduite annuel ou formation annuelle l'thique, validation priodique des rgles d'utilisation
acceptable). valuer la comprhension, par les employs, de la philosophie de la direction informatique et de l'apptence pour le risque,
afin de dterminer dans quelle mesure elles sont conformes au management. Dterminer, par le biais de questionnements et d'observations,
si les risques cls et les exigences rglementaires qui ont un impact sur l'environnement de contrle informatique sont gnralement
compris ou si l'importance de respecter les rgles et procdures informatiques est gnralement comprise.
Dterminer si un cadre de rfrence des contrles et risques informatiques permet de dfinir l'approche globale de l'entreprise vis--vis des
risques et des contrles informatiques et s'il met en conformit l'environnement de contrle et de politique des SI et le cadre de rfrence
des contrles et risques de l'entreprise.
Dterminer si les responsabilits associes la mise en uvre et la gestion du cadre de rfrence des contrles et risques informatiques
sont assumes de faon approprie par les personnes comptentes. tudier les risques et contrles dfinis pour dterminer s'ils sont mme
de contrler la confidentialit, l'intgrit et la disponibilit des systmes d'information et des rseaux.
tudier les politiques informatiques pour connatre la frquence des mises jour et pour dterminer si une rvaluation a lieu au moins une
fois par an. Effectuer les modifications et les ajustements ncessaires et dterminer si les politiques informatiques actualises sont
communiques de faon approprie dans l'ensemble de l'entreprise.
S'assurer, par le biais d'entretiens, que les ressources ont t affectes aux personnes qui s'acquittent des rles et responsabilits relatifs la
formulation, l'laboration, la documentation, la ratification, la diffusion et le contrle des politiques informatiques.
S'assurer que des ressources suffisantes et comptentes ont t affectes pour prendre en charge le processus de dploiement, comprenant la
surveillance et la mise en pratique de la conformit. Examiner et vrifier, par le biais d'entretiens, que les procdures oprationnelles qui
soutiennent les standards et politiques informatiques ont t communiques, comprises et acceptes par le personnel concern.
tudier la documentation de validation et d'acceptation des rgles informatiques pour un chantillon d'employs afin de s'assurer qu'elle est
gre de faon cohrente et actualise rgulirement.
Vrifier les informations prouvant qu'une action de communication est mise en place pour articuler les objectifs informatiques et pour
s'assurer que le soutien de la direction est visible.
Vrifier et confirmer que le processus de communication est dot des ressources et comptences ncessaires pour garantir son efficacit.

Dterminer si l'absence d'une gestion approprie des politiques informatiques a gnr l'absence d'un contrle appropri des ressources
informatiques et la non-ralisation des objectifs mtiers.
Dterminer si l'absence d'actions appropries de communication, de surveillance et de mise en application des standards et politiques
informatiques a gnr l'absence de conformit ces standards et la non-ralisation des objectifs mtiers associs.
Dterminer si l'absence de sensibilisation l'orientation et aux objectifs informatiques a gnr la non ralisation des objectifs mtiers.

PO7 Grer les ressources humaines de l'informatique
88

Des collaborateurs comptents doivent tre recruts et fidliss pour la cration et la fourniture de services informatiques l'entreprise. Pour y arriver, il faut suivre des pratiques dfinies et
approuves en matire de recrutement, de formation, d'valuation, de promotion et de dpart. Ce processus est critique car les personnes constituent un actif important, et la gouvernance et
l'environnement de contrle interne dpendent normment de la motivation et de la comptence du personnel.
PO7.1 Recrutement et fidlisation du personnel Comptences informatiques optimises et Services informatiques pour les processus
S'assurer que les processus de recrutement du personnel informatique conformes aux objectifs de l'entreprise mtiers stratgiques non pris en charge de faon
sont en ligne avec les politiques et les procdures globales de Amlioration du recrutement et de la fidlisation approprie
l'entreprise (ex : embauche, environnement de travail favorable, des comptences informatiques adaptes pour Solutions informatiques inefficaces
orientation). Mettre en place des processus pour s'assurer que le
rpondre aux futures exigences mtiers Manque de comptences informatiques
personnel informatique est dploy comme il convient dans
l'entreprise et qu'il a les comptences ncessaires pour permettre appropries car la gestion des ressources
l'entreprise d'atteindre ses objectifs. humaines informatiques n'est pas adapte aux
conditions du march

Vrifier et confirmer l'existence d'un plan de gestion des RH informatiques qui reflte la dfinition des besoins en comptences et des qualifications professionnelles privilgies pour
rpondre aux besoins informatiques tactiques et stratgiques de l'entreprise. Ce plan doit tre actualis au moins une fois par an et doit inclure des plans d'action spcifiques de
recrutement et de fidlisation afin de rpondre aux besoins actuels et futurs. Il doit galement inclure les rgles d'application des procdures de congs ininterrompus, si applicables.
Vrifier et confirmer qu'un processus document de recrutement et de fidlisation du personnel informatique a t mis en place et qu'il correspond aux besoins identifis dans le plan des
RH informatiques.
S'assurer que les professionnels des RH examinent et valident rgulirement le processus de recrutement et de fidlisation du personnel informatique pour garantir l'harmonisation avec
les politiques de l'entreprise.
PO7.2 Comptences du personnel Employs dots d'une exprience et de Personnel informatique ne disposant pas des
Vrifier rgulirement que le personnel a les comptences ncessaires comptences appropries pour les tches qui leur comptences requises par les exigences mtiers
pour remplir son rle en fonction de son instruction, formation et/ou sont confies stratgiques
exprience. Dfinir les besoins en comptences informatiques Amlioration de la formation continue, de la Personnel informatique du de son volution
fondamentales et vrifier qu'ils sont satisfaits en utilisant des
contribution du personnel et de la satisfaction au professionnelle

programmes de qualification et de certification si c'est utile.
travail Augmentation du nombre d'incidents et d'erreurs
Amlioration permanente des comptences ayant un impact important
conformment aux besoins mtiers
tudier un chantillon de descriptions de postes pour obtenir une description complte et approprie des comptences et qualifications requises.
S'assurer de l'existence de processus excuts rgulirement pour rviser et actualiser les descriptions de postes.
Vrifier et confirmer que le management a identifi les besoins en comptences, comprenant les exigences spcifiques en matire d'tudes suivies, de formations croises et de
certification, pour rpondre aux besoins spcifiques de l'entreprise.
PO7 Grer les ressources humaines de l'informatique (suite)
PO7.3 Affectation des rles Communication et respect des politiques, des Actions et dcisions inappropries en raison d'un
Dfinir, surveiller et superviser des rfrentiels pour les rles, les pratiques et de l'thique de l'entreprise cadre d'orientation mal dfini
responsabilits et la rmunration du personnel, en incluant Responsabilits oprationnelles et responsabilits Augmentation du nombre d'erreurs et d'incidents
l'obligation d'adhrer aux procdures et politiques de l'entreprise, finales clairement dfinies pour les fonctions cls en raison d'une supervision insuffisante
son code d'thique et ses pratiques professionnelles. Le niveau de
Amlioration de l'harmonisation entre l'apport du Insatisfaction du personnel en raison d'une
supervision doit tre fonction de l'importance du poste et de l'tendue
des responsabilits attribues. personnel et les objectifs mtiers supervision et d'une gestion mdiocres

tudier un chantillon de descriptions des rles pour s'assurer qu'elles contiennent une dfinition approprie des responsabilits, des comptences et des exigences en matire de
conformit et de sensibilit la scurit.
tudier un chantillon des dclarations d'acceptation des descriptions de rles et des responsabilits pour le personnel informatique.
tudier les modalits d'embauche et vrifier la prise en compte des clauses de confidentialit, des droits de proprit intellectuelle, de responsabilits vis--vis de la scurit de
l'information, du contrle interne, des lois applicables et des exigences. Ces lments doivent tre conformes aux exigences de l'entreprise en matire de non-divulgation des
informations confidentielles.
tudier l'chantillon de descriptions de postes haut risque pour dterminer si l'ampleur du contrle et de la supervision requise est adapte chaque rle.
PO7.4 Formation Optimisation de la contribution et des Sensibilisation la scurit insuffisante,

Bien orienter les employs des SI l'embauche et leur dispenser la performances personnelles au succs de gnrant des erreurs ou des incidents
formation permanente ncessaire pour tenir jour leurs l'entreprise Connaissance insuffisante des produits, services
connaissances, comptences, capacits et leur sensibilisation au Transmission efficace et efficiente du rle de et pratiques
contrle interne et la scurit au niveau ncessaire pour permettre
chaque employ Comptences insuffisantes, entranant une
l'entreprise d'atteindre ses objectifs.
Prise en charge du perfectionnement technique et dgradation des services et une augmentation du
en matire de management, augmentation de la nombre d'erreurs et incidents
fidlisation du personnel
Augmentation de la contribution des employs
l'entreprise
Examiner le processus d'valuation de l'efficacit de la formation pour s'assurer que les exigences stratgiques en termes de sensibilisation et de formation sont prises en compte.
Inspecter le contenu des programmes de formation pour vrifier s'ils sont complets et adapts. Inspecter les mcanismes de diffusion pour dterminer si les informations sont transmises
tous les utilisateurs de ressources informatiques, y compris les consultants, les sous-traitants, les employs temporaires et, le cas chant, les clients et fournisseurs.
ANNEXE II
Inspecter le contenu des programmes de formation pour dterminer si tous les cadres de contrle interne et les exigences de scurit sont pris en compte, en fonction des contrles
internes et des politiques de scurit de l'entreprise (ex : impact du non-respect des exigences de scurit, utilisation adquate des ressources et infrastructures de l'entreprise, gestion des
incidents, responsabilit des employs en matire de scurit de l'information).
Vrifier et confirmer que les programmes et supports de formation sont rgulirement examins pour s'assurer de leur bien-fond.
tudier la politique de dtermination des besoins de formation. S'assurer que cette politique garantit que les besoins stratgiques de l'entreprise sont rpercuts dans les programmes de
formation et de sensibilisation.
89
90

PO7.5 Dpendance l'gard d'individus Activits informatiques stratgiques bnficiant Accroissement du nombre d'incidents et de leur
Dpendre le moins possible d'individus cls dans les secteurs d'un appui appropri et atteignant impact en raison de l'indisponibilit des
essentiels grce l'acquisition de connaissances (documentation), au systmatiquement leurs objectifs comptences indispensables pour excuter un
partage des connaissances, aux plans d'volution de carrire et aux Plan de secours mis en place en cas rle stratgique
personnels de remplacement.
d'indisponibilit du personnel cl Insatisfaction du personnel en raison de l'absence
Rduction du risque d'incidents par le personnel de plans d'volution de carrire et d'opportunits
informatique interne de promotions
Incapacit excuter les activits informatiques
stratgiques
Inspecter la documentation sur les employs occupant des fonctions cls, pour dterminer si l'on se fie certains individus pour mettre en uvre les processus stratgiques au sein du
service informatique.
Vrifier si les programmes de formation comportent des techniques permettant de minimiser les risques de dpendance excessive l'gard de ressources cls. Les programmes doivent
inclure des actions de formation croise, de la documentation sur les tches cls, la rotation des postes, le partage des connaissances et les plans d'volution de carrire pour les rles
stratgiques au sein de l'entreprise.
PO7.6 Procdures de scurit concernant le personnel Recrutement du personnel adapt Risque accru de menaces apparaissant au sein
Inclure des vrifications d'antcdents dans le processus de Prvention proactive concernant la divulgation des mme du service informatique
recrutement du personnel informatique. L'tendue et la frquence de informations et les normes de confidentialit Divulgation d'informations sur les clients ou
ces vrifications dpendent du niveau de criticit et/ou de sensibilit l'entreprise ou vulnrabilit accrue des actifs de
de la fonction et doivent s'appliquer aux employs, aux sous-traitants
l'entreprise
et aux fournisseurs.

Examiner les critres de slection relatifs la performance des vrifications d'antcdents et contrles de scurit.
S'assurer de la dfinition approprie des rles stratgiques, pour lesquels des contrles de scurit sont requis. Cela doit s'appliquer aux employs, sous-traitants et fournisseurs.
Vrifier et confirmer que les processus de recrutement incluent des vrifications des antcdents et des contrles de scurit. Examiner les documents de recrutement d'un chantillon
reprsentatif des employs informatiques pour dterminer si des contrles des antcdents ont t raliss et valus.
PO7.7 valuation des performances Amlioration des performances individuelles et Impossibilit d'identifier les activits inefficaces
Exiger des valuations appropries et rgulires par rapport des collectives et de la participation aux objectifs de Programme de formation inefficace
objectifs individuels tablis d'aprs les objectifs de l'entreprise, les l'entreprise Personnel insatisfait et mcontent, entranant des
standards en vigueur et les responsabilits spcifiques du poste. Les Amlioration de la satisfaction du personnel problmes de fidlisation et d'ventuels incidents
performances et le comportement des employs doivent tre
Amlioration des performances de management Dpart d'employs comptents et perte des
activement stimuls par l'accompagnement lorsque c'est appropri.
grce aux commentaires des employs et aux connaissances qu'ils avaient acquises propos de
processus d'valuation l'entreprise
Utilisation efficace du personnel informatique

Examiner un chantillon reprsentatif d'valuations des performances des employs pour dterminer si les critres d'tablissement des objectifs incluent les objectifs SMIRRO. Ceux-ci
doivent reflter les principales comptences, les valeurs de l'entreprise et les qualifications requises pour chaque rle. tudier le processus d'valuation des performances des employs
pour dterminer si les politiques et procdures lies l'utilisation et l'archivage d'informations personnelles sont claires et conforme la lgislation applicable.
tudier le processus de rmunration/valorisation pour dterminer s'il est conforme aux objectifs de performance et la politique de l'entreprise.
Examiner les plans d'amlioration des performances pour valuer la conformit aux politiques de l'entreprise et l'application homogne dans l'ensemble du service informatique. Les
plans d'amlioration des performances doivent inclure des objectifs spcifiquement dfinis, des dlais d'excution et un niveau appropri de mesure disciplinaire si aucune amlioration
n'est obtenue.
PO7.8 Changements de postes et dparts Poursuite efficace et efficiente des activits Accs interdit lorsque les employs quittent
Agir avec dtermination en ce qui concerne les mouvements de stratgiques l'entreprise
personnels, en particulier les dparts. Il faut organiser le transfert des Amlioration de la fidlisation du personnel Absence d'une continuit harmonieuse des
connaissances, rattribuer les responsabilits et supprimer les droits Un environnement informatique plus scuris activits stratgiques
d'accs, de faon minimiser les risques et garantir la continuit de
grce une restriction d'accs approprie et
la fonction.
opportune
tudier et vrifier si les procdures de dpart dans le cadre d'une rsiliation volontaire du contrat de travail sont documentes et contiennent tous les lments obligatoires, tels que le
transfert des connaissances ncessaires, la scurisation en temps utile de l'accs logique et physique, la restitution des actifs de l'entreprise et la ralisation d'entretiens de dpart.
Vrifier si les procdures de changement de poste sont documentes et contiennent tous les lments requis pour minimiser la perturbation des processus mtiers. Il peut s'agir, par
exemple, d'un parrainage professionnel, d'une phase de passage de tmoin ou d'une formation officielle de prparation. tudier les procdures de changement de poste pour dterminer si
elles sont suivies systmatiquement.
ANNEXE II
Demander aux RH de fournir une liste des utilisateurs dont le contrat a t rsili ou qui ont t muts (au cours des 6 derniers mois ou de l'anne coule).
91
Examiner le plan des RH SI pour s'assurer que les besoins des SI de l'entreprise sont dfinis. Ce plan doit s'appuyer sur les objectifs de l'entreprise
et il doit inclure des initiatives stratgiques, des exigences rglementaires applicables et les comptences informatiques associes requises.
S'assurer que les besoins actuels et futurs sont valus par rapport aux comptences actuellement disponibles et que les lacunes sont traduites en
plans d'action.
Examiner le plan de gestion des RH SI et dterminer s'il traite des pratiques de fidlisation au sein du service informatique, par exemple via
l'identification des comptences essentielles et rares, la prise en compte des valuations personnelles, la rmunration et les mesures incitatives, les
plans d'volution et les besoins de formation individuelle.
S'assurer que les descriptions de postes sont rgulirement rvises et qu'elles incluent l'ensemble des comptences et les qualifications du
personnel actuellement en poste. Comparer les comptences des employs en poste et les exigences des descriptions de postes. Examiner les plans
de formation professionnelle d'un chantillon d'employs pour dterminer si les plans de carrire sont adapts. Les plans de formation
professionnelle doivent inclure des incitations au perfectionnement des comptences, des possibilits de promotion et des mesures permettant de
rduire la dpendance vis--vis d'employs cls.
Examiner les descriptions de postes pour s'assurer que chacune d'entre elles est actualise et pertinente. Inclure le guide de l'employ ou les
contrats signs avec des tiers pour confirmer que les obligations des employs et du personnel externe sont clairement tablies et adaptes au rle
en question. Examiner la dclaration par laquelle l'employ accepte les conditions d'embauche, y compris sa responsabilit vis--vis de la scurit
de l'information, du contrle interne, du respect de la rglementation, de la protection des droits de proprit intellectuelle et la non divulgation des
informations confidentielles. Dterminer si le niveau de supervision appliqu aux fonctions haut risque est appropri. Examiner les procdures
qui rgissent les activits des fonctions haut risque pour dterminer si une autorisation du suprieur hirarchique est requise pour les dcisions
stratgiques et si elle a effectivement t donne.
Dterminer si une tude comparative approprie des activits de gestion des ressources humaines est effectue rgulirement par rapport des
entreprises similaires, des normes internationales appropries ou aux meilleures pratiques du secteur. Confirmer que le niveau de supervision est
adapt l'importance du poste et aux responsabilits attribues.
Sappuyer sur les contrles automatiques pour dtecter des modifications de droits d'utilisateurs privilgis.
S'assurer que le processus de formation du personnel est communiqu tous les nouveaux utilisateurs avant l'octroi d'un accs et une fois par an.
Dterminer si le contenu du programme de formation du personnel est complet et appropri (il doit porter, par exemple, sur l'enseignement des
exigences de l'entreprise en matire de contrle interne et de comportement thique).
Inspecter les mcanismes de diffusion pour dterminer si les informations sont transmises tous les utilisateurs de ressources informatiques, y
compris les consultants, les sous-traitants et les employs temporaires. Dans certains cas, elles doivent tre galement transmises aux clients et
fournisseurs.
S'assurer que le programme de formation du personnel inclut les processus de certification et de renouvellement de certification pour les rles
appropris.
Vrifier et confirmer que les programmes et supports de formation sont rgulirement examins pour s'assurer de leur bien-fond et incluent
l'impact sur toutes les comptences ncessaires.
Confirmer l'existence d'un processus permettant d'valuer l'excution et l'efficacit des exigences et des principaux programmes de sensibilisation
et de formation des employs.
Examiner les stratgies documentes visant rduire la dpendance vis--vis de certaines personnes pour les postes cls. Vrifier la prise en
compte de la sparation des tches. Examiner le processus visant identifier les postes adapts la rotation et confirmer l'existence d'une rotation.
Interroger les employs pour dterminer si le partage des connaissances existe.
Examiner les informations compiles d'valuation des performances pour dterminer si elles ont t compiles de faon prcise et complte.
S'assurer que ces informations sont utilises de faon approprie. Demander aux employs si le management fournit des informations appropries
sur les performances pendant et aprs l'valuation des performances. S'assurer que les performances sont values par rapport aux critres de
performance et aux objectifs de chaque personne, tablis pour le poste. Dterminer si le processus d'valuation des performances est appliqu de
faon cohrente et respecte les objectifs de performance et les politiques de l'entreprise.
tudier les processus et procdures de dpart pour s'assurer de leur application homogne dans l'ensemble de l'entreprise.
Vrifier le bien-fond des droits d'accs (accs logique et physique) concernant les changements de poste. Dterminer les effets sur la sparation
des tches et les contrles compensatoires si d'anciennes autorisations d'accs sont conserves pendant une priode de transition.
S'assurer que les comptes des employs ayant quitt l'entreprise ont t dsactivs et qu'un accs appropri a t accord aux utilisateurs muts.

valuer la dpendance de l'entreprise vis--vis d'employs cls pour garantir qu'aucune perte de capacits et de connaissances historiques ne se
produira.
Dterminer si des mesures appropries de contrle et de supervision sont en place pour garantir le respect des politiques et procdures de
management, du code d'thique, des pratiques professionnelles, des modalits de recrutement, des contrles internes, de la politique de scurit de
l'information et de la conformit aux obligations lgales.
valuer le niveau de sensibilisation aux exigences de scurit pour garantir la conformit aux obligations lgales, la protection des droits de
proprit intellectuelle, la rputation de l'entreprise et l'orientation stratgique.
Dterminer le bien-fond des programmes de formation du personnel pour s'assurer de la capacit de l'entreprise attirer et fidliser du personnel
qualifi.
valuer la dpendance vis--vis d'employs cls et la capacit du service informatique soutenir continuellement les processus mtiers, de faon
efficace et efficiente. Dterminer s'il existe une sparation des tches approprie pour les fonctions cls, afin de garantir le bon fonctionnement des
contrles critiques.
valuer le bien-fond des mcanismes de vrification de scurit pour les employs cls, pour s'assurer que le contrle des menaces gnres au
sein de l'entreprise, telles que le vol, la divulgation d'informations confidentielles et la mise en pril des actifs sensibles de l'entreprise, est pris en
main de faon approprie.
Dterminer s'il existe un processus d'valuation des performances bien dfini et appliqu de faon opportune et cohrente, et s'il se traduit par une
utilisation efficace et efficiente des ressources informatiques.
valuer le niveau d'adquation et de cohrence appliqu aux politiques et procdures de changement de poste pour s'assurer que les activits
stratgiques ne sont pas perturbes et qu'aucune personne non autorise n'accde aux environnements scuriss et aux actifs de l'entreprise.

PO8 Grer la qualit
Un systme de gestion de la qualit est dvelopp et actualis, ce qui implique des processus et des standards de dveloppement et d'achat prouvs. Ceci est rendu possible par la
planification, la mise en place et l'actualisation d'un systme de gestion de la qualit, et par des exigences, des procdures et des politiques de qualit clairement dfinies. Les exigences de
qualit sont nonces et communiques au travers d'indicateurs quantifiables et ralistes. L'amlioration permanente s'obtient par une surveillance continue, l'analyse des carts et leur
correction, et la communication des rsultats aux parties prenantes. La gestion de la qualit est essentielle pour s'assurer que l'informatique apporte de la valeur l'entreprise, une
amlioration continue et une transparence vis--vis des parties prenantes.
PO8.1 Systme de gestion de la qualit (SGQ) Harmonisation avec les exigences mtiers des SI Qualit insuffisante des services et solutions, se
Mettre en place et actualiser un SGQ qui propose une approche et satisfaction de ces exigences traduisant par des dfauts, du travail
standard, formelle et continue de la gestion qualit en ligne avec les Satisfaction des parties prenantes garantie supplmentaire et une augmentation des cots
exigences mtiers. Le SGQ doit identifier les exigences et les critres Environnement d'assurance qualit homogne, Activits d'assurance qualit au coup par coup et
qualit, les processus informatiques cls, leur ordre de succession et
compris et suivi par tous les employs donc peu fiables
leurs interactions, les politiques, critres et mthodes pour dfinir,
dtecter, corriger et prvenir les dfauts de conformit. Le SGQ doit Fonctionnement efficace, efficient et standardis Pas d'harmonisation avec les bonnes pratiques du
dfinir l'organisation de la gestion qualit, avec ses rles, ses tches des processus informatiques secteur et les objectifs mtiers
et ses responsabilits. Tous les domaines cls doivent dvelopper Responsabilit floue en matire de qualit, se
leurs plans qualit en ligne avec les critres et les politiques, et traduisant par une rduction de la qualit
enregistrer leurs donnes qualit. Surveiller et mesurer l'efficacit et
l'adoption du SGQ et l'amliorer si ncessaire.

Vrifier si le SGQ a t labor en fonction de propositions de la direction informatique, des autres parties prenantes et des cadres de rfrence concerns l'chelle de l'entreprise.
Vrifier si les conclusions de chaque tude de qualit sont communiques la direction informatique et aux autres parties prenantes dans un dlai permettant de prendre des mesures
correctives.
Dterminer si les plans de qualit des SI sont en harmonie avec les politiques et les critres de gestion de la qualit de l'entreprise.
ANNEXE II
93
PO8 Grer la qualit (suite)
94

PO8.2 Standards informatiques et pratiques qualit Harmonisation du SGQ avec les politiques et les Responsabilits non dfinies au sein des projets
Identifier et actualiser les standards, les procdures et les pratiques exigences mtiers et des services
pour les processus cls afin de guider l'entreprise vers l'objectif du Cohrence et fiabilit du plan gnral d'assurance Qualit insuffisante dans les processus
SGQ. Utiliser les bonnes pratiques de la branche comme rfrence qualit informatiques cls
lorsqu'on adapte et qu'on amliore les pratiques qualit de
Fonctionnement efficace et efficient du SGQ Non-conformit aux procdures et standards
l'entreprise.
Garantie accrue, pour la direction de l'ensemble de dfinis
l'entreprise, que les standards, politiques, Standards, politiques, processus et pratiques
processus, pratiques informatiques et la gestion du informatiques non conformes aux bonnes
risque informatique sont efficaces et efficients pratiques actuelles
Standards, politiques, processus et pratiques
informatiques incapables d'atteindre les objectifs
de l'entreprise

tudier les cadres de rfrence et standards informatiques pour dterminer s'ils sont adapts aux systmes, aux donnes et aux informations de l'environnement.
Examiner l'autorisation d'entorses aux standards informatiques pour valider le respect ou le non respect des standards obligatoires ou adopts.
Examiner les principales tapes des projets cls pour s'assurer que le SGQ a t appliqu.
Valider le processus d'application des modifications dans les standards obligatoires ou adopts au sein de l'entreprise.
PO8.3 Standards de dveloppement et d'acquisition Utilisation efficace et efficiente de la technologie Estimation imprcise des dlais et budgets des
Adopter et actualiser les standards pour tous les dveloppements et pour permettre la ralisation des objectifs mtiers projets
acquisitions qui suivent le cycle de vie du livrable dfinitif et qui dans les dlais Responsabilits mal dfinies au sein des projets
exigent un aval chaque tape cl selon des critres d'agrment Identification, documentation et excution Erreurs de dveloppement et de mise en uvre,
convenus. Parmi les questions prendre en compte : standards de
appropries des principales activits d'acquisition se traduisant par des retards, du travail
codification des logiciels, conventions de nommage, formats de
fichiers, standards de conception de schmas et de dictionnaires de et de dveloppement supplmentaire et une augmentation des cots
donnes, standards d'interfaces utilisateurs, interoprabilit, Mthode officiellement dfinie, standardise et Problmes d'interoprabilit et d'intgration
reproductible permettant de grer les acquisitions Problmes d'assistance technique et de
efficience des performances des systmes, capacit de mise

l'chelle, standards de dveloppement et de tests, validation par et dveloppements maintenance
rapport aux demandes, plans de tests et tests unitaires, de rgression Erreurs non identifies lors de la production
et d'intgration.
Vrifier si les standards de dveloppement et d'acquisition sont appliqus en cas de modification des ressources informatiques existantes (ex : pratiques de codage scuris, standards de
codification des logiciels, conventions de nommage, formats de fichiers, standards de conception de schmas et de dictionnaires de donnes, standards d'interfaces utilisateurs,
interoprabilit, efficience des performances des systmes, capacit de mise l'chelle, standards de dveloppement et de tests, validation par rapport aux demandes, plans de tests et
tests unitaires, de rgression et d'intgration).
Demander ou vrifier si les standards de dveloppement et d'acquisition procurent un niveau de contrle appropri pour les modifications apportes aux ressources informatiques
existantes.
Demander si des directives en matire de dveloppement et d'acquisition sont intgres dans les standards et les cadres de rfrence informatiques.
PO8.4 Orientation client Amlioration de la satisfaction des clients Disparits entre les attentes et la prestation
Orienter la gestion qualit vers les clients en dterminant leurs Gestion qualit conforme aux attentes des clients Mauvaise comprhension des attentes des clients
besoins et en alignant ces derniers sur les standards et les pratiques Rles et responsabilits clairement dfinis Incapacit ragir correctement aux conflits
informatiques. Dfinir les rles et les responsabilits concernant la avec les clients et aux commentaires des clients
rsolution de conflits entre l'utilisateur/client et l'informatique.
Processus inadapts ou inefficaces en matire de
rsolution des conflits avec les clients
Priorit inapproprie donne aux diffrents
services fournis
Dsaccords propos des livrables et dfauts de
qualit
Demander si les clients donnent leur point de vue sur le processus de gestion qualit. Examiner le processus pour vrifier si les avis sont obtenus rgulirement.
valuer l'efficacit des questionnaires, enqutes, fiches de commentaires, entretiens, etc., auprs des clients.
Demander si les clients donnent leur point de vue sur le processus de gestion qualit. Examiner le processus pour vrifier si les avis sont obtenus rgulirement.
tudier les rsultats du processus de suivi pour dterminer si les commentaires sont organiss et utiles l'amlioration du processus de gestion des rclamations.
Inspecter la documentation relative aux rles et responsabilits pour dterminer si ces derniers permettent de rgler efficacement les conflits lis aux rclamations des clients.
Vrifier et confirmer que les aspects de relations clientle sont inclus dans les programmes de formation.
PO8.5 Amlioration continue Amlioration de la qualit des services et Prestation de service inefficace et non matrise
Actualiser et communiquer rgulirement un plan gnral qualit qui solutions Dysfonctionnement des services
promeut l'amlioration continue de la qualit. Amlioration de l'efficacit et de l'efficience de la Anomalies de dveloppement
prestation/livraison
Amlioration du moral des employs et de la
satisfaction professionnelle

Vrifier si les conclusions de chaque tude de qualit sont communiques la direction informatique et aux autres parties prenantes dans un dlai permettant de prendre des mesures
correctives.
S'assurer que le programme de formation du personnel comprend des mthodologies efficaces d'amlioration continue.
Dterminer si les activits d'amlioration continue font l'objet d'une promotion active, sont gres efficacement et mises en uvre dans le cadre des standards, politiques, pratiques et
ANNEXE II
procdures de qualit.
Vrifier et confirmer qu'un plan de gestion qualit est dfini. Examiner le plan et la documentation pour confirmer le bien-fond du processus d'apprentissage et de partage des
connaissances.
95
96

PO8.6 Mesure, surveillance et revue qualit Membres du personnel sensibiliss aux Manque d'objectifs de qualit clairs et cohrents
Dfinir, planifier et mettre en place un systme de mesure pour performances qualit Actions prventives et correctives non
surveiller en continu la conformit au SGQ, ainsi que la valeur Rapports cohrents identifies
apporte par celui-ci. Le propritaire du processus doit mesurer, Rapports d'assurance qualit intgrs dans le SGQ Rapports de qualit incohrents
surveiller et enregistrer les informations pour pouvoir dcider des
de l'entreprise et facilitant ce dernier Incapacit des rapports contribuer au SGQ de
actions correctives et prventives appropries.
Valeur mesurable et relle du SGQ l'entreprise
Retour d'informations sur la conformit au SGQ et Manque d'objectifs clairement dfinis
sur son utilit Incohrence des rapports sur la qualit
Incapacit du SGQ optimiser les objectifs de
l'entreprise
SGQ pas pris au srieux ou non respect par
l'entreprise
Atouts et lacunes du SGQ non identifis
Non-conformit non identifie
Projets susceptibles de dpasser leurs dlais et
budgets et fournis avec une qualit mdiocre

Examiner les rapports de la direction sur les performances qualit (ex : tableau de bord et/ou tableau de bord quilibr) pour identifier l'volution des forces et faiblesses.
Dterminer si les mesures de qualit tiennent compte de la russite de la stratgie mtiers et informatique, des cots financiers, des indicateurs de risque et des donnes sectorielles
disponibles. Dterminer si le processus de surveillance permet de mettre en place des actions prventives et correctives.
Examiner attentivement le processus de gestion qualit pour vrifier s'il tient compte de la pertinence, de l'applicabilit, des dernires donnes sectorielles et de la valeur de la
contribution aux programmes d'amlioration continue au sein de l'entreprise.
ANNEXE II
Inspecter le SGQ pour s'assurer qu'il propose une approche standard et continue de la gestion qualit.
S'assurer que la direction informatique a valid le SGQ.
Examiner les bilans de performance priodiques pour dterminer si le programme d'analyse inclut tous les lments ncessaires.
tudier les rsultats des bilans de performance indpendants priodiques du SGQ.
Dterminer si les plans d'assurance qualit prvoient des contrles complmentaires en cas d'observations importantes et tudier ces
contrles complmentaires pour vrifier si l'action corrective a t efficace.
tudier les rsultats de l'tude comparative du SGQ pour dterminer si les directives sectorielles, les standards et les entreprises appropris
ont t inclus dans le comparatif.
Examiner l'autorisation de drogations aux standards informatiques pour valider le respect ou le non respect des exigences des parties
prenantes.
Examiner les principales tapes pour s'assurer que le SGQ est appliqu.
Examiner les normes de qualit et les impratifs de mesure des clients pour vrifier qu'ils sont complets (via des questionnaires, enqutes,
fiches de commentaires et entretiens).
tudier les rsultats du processus de suivi du SGQ pour dterminer si les commentaires sont organiss et utiles l'amlioration du
processus de gestion des rclamations.
Inspecter la documentation relative aux rles et responsabilits pour dterminer si ces derniers permettent de rgler efficacement les conflits
lis aux rclamations des clients.
Examiner le programme de formation pour vrifier l'existence d'informations sur l'assistance la clientle.
Examiner les bilans de performance priodiques pour dterminer si le programme d'analyse inclut les lments ncessaires du SGQ.
tudier les rsultats des bilans de performance indpendants priodiques du SGQ.
Dterminer si les mesures de qualit tiennent compte de la russite de la stratgie mtiers et informatique, des cots financiers, des
indicateurs de risque et des donnes sectorielles disponibles.
Dterminer si le processus de surveillance permet de mettre en place des actions prventives et correctives.
Examiner attentivement le processus du SGQ pour vrifier s'il tient compte de la pertinence, de l'applicabilit, des dernires donnes
sectorielles et de la valeur de la contribution au programme d'amlioration continue au sein de l'entreprise.
Dterminer la fiabilit des activits d'assurance qualit en valuant la conformit aux meilleures pratiques du secteur et les disparits entre
les procdures actuelles et les attentes de l'entreprise.

Dterminer le niveau de conformit aux pratiques de qualit et aux standards informatiques de l'entreprise pour valuer les carts qui
pourraient donner lieu une architecture systme incompatible, entranant une augmentation des cots et la non ralisation des buts et
objectifs du projet.
Dterminer si les standards de dveloppement et d'acquisition incluent des processus permettant d'estimer avec prcision les dlais et les
budgets des projets, pour garantir une utilisation efficace et efficiente des ressources mtiers et informatiques et la ralisation des buts et
objectifs stratgiques.
S'assurer que les processus de gestion qualit incluent des mcanismes de rsolution des conflits et la dtermination de l'homognit de la
comprhension vis--vis des attentes des clients et de la fonctionnalit du produit/processus.
Dterminer si les exigences du client sont en harmonie avec les standards informatiques.
Dterminer si la politique et les procdures d'amlioration continue permettent l'entreprise de conserver un avantage concurrentiel.
Dterminer si les processus de la qualit et les mcanismes de gnration de rapports permettent d'appliquer des actions correctives en
temps utile.

PO9 valuer et grer les risques informatiques
98

Un rfrentiel de gestion des risques est cr et maintenu niveau. Ce rfrentiel documente un niveau de risques informatiques commun et agr, des stratgies pour leur rduction et les
risques rsiduels. Tout impact potentiel d'un vnement imprvu sur les objectifs de l'entreprise est identifi, analys et valu. Des stratgies de rduction des risques sont adoptes pour
ramener le risque rsiduel un niveau acceptable. Le rsultat de l'valuation doit tre comprhensible par les parties prenantes et exprim en termes financiers pour permettre ces parties de
prconiser le niveau de risque tolrable.
PO9.1 Rfrentiel de gestion des risques informatiques Approche cohrente de la gestion des risques Risques informatiques et risques mtiers grs
Mettre en place un rfrentiel de gestion des risques informatiques informatiques sparment
aligns sur le rfrentiel de gestion des risques de l'entreprise. Gestion efficace des risques informatiques Non dtection de l'impact d'un risque
valuation permanente des menaces et des risques informatique sur l'entreprise
informatiques pesant sur l'entreprise Matrise des cots insuffisante en matire de
Approche largie de la gestion des risques gestion des risques
informatiques Chaque risque est considr comme une menace
distincte sans tre pris en compte dans un
contexte global
Soutien inefficace de la direction gnrale en
matire d'valuation des risques
Dterminer si le rfrentiel de gestion des risques informatiques est en harmonie avec le rfrentiel de gestion des risques de l'entreprise et s'il inclut des composants orients mtiers
pour la stratgie, les programmes, les projets et les activits. Examiner la classification des risques informatiques pour s'assurer qu'ils sont bass sur un socle commun de caractristiques
issues du rfrentiel de gestion des risques d'entreprise. Dterminer si l'estimation des risques informatiques est standardise et hirarchise et si elle tient compte de facteurs aligns sur
le rfrentiel de gestion des risques d'entreprise (impact, acceptation du risque rsiduel et probabilits).
S'assurer que les risques informatiques sont pris en compte dans l'laboration et la vrification des plans informatiques stratgiques.
PO9.2 tablissement du contexte du risque Utilisation efficace et efficiente des ressources Risques insignifiants considrs comme
tablir le contexte dans lequel s'applique le cadre d'valuation du pour la gestion des risques importants
risque pour s'assurer d'obtenir les rsultats appropris. Cela implique
Harmonie entre les priorits de gestion des risques Risques importants ne bnficiant pas de
de dterminer le contexte interne et externe de chaque valuation du et les besoins mtiers l'attention qu'ils mritent
risque, le but de l'valuation et les critres de cette valuation.
Focalisation sur les risques importants et Approche inapproprie de l'valuation des
significatifs risques
Hirarchisation des risques
Vrifier et confirmer qu'un contexte de risque appropri a t dfini conformment aux principes et aux rgles de gestion des risques d'entreprise et qu'il tient compte des processus
(systmes, gestion de projets, cycles de vie des applications logicielles, gestion des activits et services informatiques, etc.). Il convient galement de tenir compte des facteurs de risque
internes et externes.
Dterminer si le contexte de risque informatique est communiqu et compris.
PO9 valuer et grer les risques informatiques (suite)
PO9.3 Identification des vnements Approche cohrente de l'identification des Identification et focalisation sur des vnements
Identifier les vnements (menaces importantes et ralistes qui vnements risque risque insignifiants tandis que des vnements
exploitent une vulnrabilit applicable significative) qui peuvent Focalisation sur les vnements risque plus importants ne sont pas dtects
avoir un impact ngatif sur les objectifs ou les oprations de significatifs
l'entreprise, dont l'activit, les aspects rglementaires et lgaux, la
technologie, les partenaires commerciaux, les ressources humaines et
le secteur oprationnel. Dterminer la nature des consquences et
actualiser cette information. Enregistrer et tenir jour les donnes sur
les risques significatifs dans un registre des risques.

Examiner le processus permettant d'identifier les vnements potentiels et s'assurer que l'analyse tient compte de tous les processus informatiques. La conception du processus doit
couvrir les vnements internes et externes. L'identification des vnements potentiels peut inclure les rsultats des anciens audits, inspections et incidents identifis, grce des listes de
contrle, des ateliers et l'analyse de l'enchanement des oprations. Reprer les impacts identifis dans le registre des risques pour dterminer si ce dernier est complet, actualis et en
harmonie avec la terminologie du rfrentiel de gestion des risques d'entreprise.
Vrifier si des quipes pluridisciplinaires comptentes participent aux diffrentes activits d'identification des vnements et des consquences. Examiner un chantillon du registre des
risques pour dterminer l'importance des menaces, des vulnrabilits et de l'impact, et analyser l'efficacit du processus visant identifier, consigner et valuer les risques.
PO9.4 valuation du risque Amlioration de la planification et de l'utilisation Risques insignifiants considrs comme
valuer rgulirement la probabilit et les consquences de tous les des comptences et des ressources en matire de importants
risques identifis, en utilisant des mthodes qualitatives et gestion des risques informatiques Chaque risque est considr comme un
quantitatives. La probabilit et les consquences associes aux Crdibilit organisationnelle des quipes en vnement distinct sans tre pris en compte dans
risques inhrents et rsiduels doivent tre dtermines
charge de l'valuation des risques informatiques un contexte global
individuellement, par catgorie et par portefeuille.
Transfert des connaissances entre les gestionnaires Incapacit dcrire les risques importants au
des risques management
Mise en place d'une action de sensibilisation la Risques significatifs ventuellement non dtects
valeur des actifs informatiques Perte d'actifs informatiques
Atteinte la confidentialit ou l'intgrit des
actifs informatiques
Examiner le processus de gestion des risques pour dterminer si les risques inhrents et rsiduels sont identifis et documents.
ANNEXE II
Vrifier et confirmer que le processus de gestion des risques value les risques identifis de faon qualitative et/ou quantitative.
Inspecter les documents du projet et la documentation annexe pour valuer le bien-fond de l'valuation qualitative et quantitative des risques.
Examiner le processus pour dterminer si les sources d'information utilises dans l'analyse sont raisonnables.
Inspecter l'utilisation de l'analyse statistique et la dtermination des possibilits pour mesurer la probabilit de faon qualitative ou quantitative.
Vrifier et confirmer l'identification de corrlations entre les risques. Examiner les corrlations pour vrifier si elles prsentent des rsultats d'impact et de vraisemblance trs diffrents
dcoulant de ces relations.
99
PO9 valuer et grer les risques informatiques (suite)
100

PO9.5 Rponse au risque Gestion efficace des risques Rponses aux risques inefficaces
Dvelopper et tenir jour un processus de rponse au risque pour Approche cohrente de l'attnuation des risques Risques mtiers rsiduels non identifis
s'assurer que des contrles rentables rduisent en permanence Rentabilit de la rponse au risque Utilisation inefficace des ressources pour
l'exposition aux risques. Ce processus doit proposer des stratgies rpondre aux risques
comme l'vitement, la rduction, le partage et l'acceptation,
Confiance excessive dans les contrles
dterminer les responsabilits connexes et tenir compte des niveaux
de tolrance au risque. insuffisants existants

Dterminer si les rsultats de l'valuation des risques ont t affects une rponse d'attnuation pour viter, transfrer, rduire, partager ou accepter chaque risque et s'aligner sur les
mcanismes permettant de grer les risques dans l'entreprise.
PO9.6 Maintenance et surveillance d'un plan d'action vis--vis Gestion efficace des risques Contrles d'attnuation des risques ne
des risques valuation permanente des risques et menaces fonctionnant pas comme prvu
tablir les priorits et planifier les activits de contrle tous les pesant sur l'entreprise Contrles de compensation s'cartant des risques
niveaux pour mettre en place les rponses aux risques considres identifis
comme ncessaires, sans oublier l'valuation des cots et des
bnfices, et la responsabilit de leur mise en uvre. Obtenir
l'approbation pour les actions recommandes et l'acceptation de tous
les risques rsiduels, et s'assurer que les propritaires des processus
affects par le risque assument aussi la proprit des actions
entreprises. Surveiller l'excution des plans et signaler tout cart au
management.

Dterminer si les risques accepts sont officiellement reconnus et enregistrs dans un plan d'action vis--vis des risques.
valuer l'adquation des lments du plan de gestion des risques.

Vrifier et confirmer que l'excution, les points de situation et les disparits sont surveills.
Examiner les rponses aux risques pour vrifier l'existence d'approbations appropries.
Examiner les actions entreprises pour vrifier si la proprit est affecte et documente.
S'assurer que le plan d'action fait l'objet de mises jour et de rajustements efficaces.
ANNEXE II
Vrifier si les niveaux de tolrance au risque informatique sont aligns sur les niveaux de tolrance au risque d'entreprise. Dterminer si la
tolrance au risque d'entreprise est prise en compte dans l'laboration de la stratgie informatique et de la stratgie mtiers.
Vrifier s'il existe un processus visant appliquer les niveaux de tolrance au risque d'entreprise aux dcisions de gestion des risques
informatiques. Dterminer si des analyses comparatives des rfrentiels d'valuation des risques ont t effectues par rapport des
entreprises similaires, aux normes internationales concernes et aux meilleures pratiques du secteur.
Vrifier si les responsabilits oprationnelles et les responsabilits finales relatives aux risques sont comprises et acceptes. Vrifier si les
comptences appropries et les ressources ncessaires sont disponibles pour la gestion des risques.
Interroger les principaux employs concerns pour dterminer si le mcanisme de contrle, son but, ainsi que les responsabilits
oprationnelles et les responsabilits finales sont compris et appliqus.
Dterminer si les activits sont efficacement intgres dans les processus de gestion des SI.
Examiner si les impacts identifis sont intressants et significatifs pour l'entreprise ou s'ils sont surestims ou sous-estims. Dterminer si
les quipes pluridisciplinaires participent au processus d'analyse des vnements. Vrifier, par le biais d'entretiens et de rapports d'impact,
si les membres du groupe de travail sur l'identification des vnements bnficient d'une formation approprie sur le rfrentiel de gestion
des risques d'entreprise. Vrifier si les interdpendances et les probabilits sont identifies avec prcision lors de l'valuation de l'impact.
Examiner les corrlations pour vrifier si elles prsentent des rsultats d'impact et de vraisemblance trs diffrents dcoulant de ces
relations.
Examiner le processus de gestion des risques pour dterminer si les sources d'information utilises dans l'analyse sont raisonnables.
Inspecter l'utilisation de l'analyse statistique et la dtermination des possibilits pour mesurer la probabilit du risque de faon qualitative
ou quantitative.
Examiner le processus pour dterminer si les risques inhrents et rsiduels sont identifis et documents.
Inspecter le plan d'action vis--vis des risques pour dterminer s'il identifie les priorits, les responsabilits, les chanciers, les rsultats
escompts, l'attnuation des risques, les cots, les avantages, les mesures de performance et le processus d'analyse tablir.
Examiner les rponses aux risques pour vrifier l'existence d'approbations appropries. Examiner les actions entreprises pour vrifier si la
proprit est affecte et documente.
S'assurer que le plan de gestion des risques fait l'objet de mises jour et de rajustements efficaces.
Examiner et analyser les rsultats du plan d'action pour dterminer s'ils sont conformes aux recommandations du rfrentiel de gestion des
risques et s'ils refltent les modifications des objectifs mtiers. Analyser le plan pour vrifier s'il tient compte du partage, de la rduction et
de l'vitement des risques. Vrifier si les rponses aux risques inclure sont slectionnes en tenant compte des cots et des bnfices.

valuer la stratgie de gestion des risques informatiques pour dterminer si elle est en harmonie avec la stratgie de gestion des risques
d'entreprise et si elle est conforme l'apptence pour le risque de l'entreprise. S'assurer que la possibilit de risques non identifis, d'une
application inapproprie des ressources informatiques, du non-respect des exigences rglementaires et des objectifs de l'entreprise a t
tudie.
valuer la prcision et l'exhaustivit de l'identification des vnements, comprenant les risques non dtects, la compression inefficace des
cots, les risques non attnus, les niveaux de risque cumul non contrls, la perte d'actifs de l'entreprise, le tort caus la rputation, les
objectifs stratgiques non atteints et la non-conformit aux exigences rglementaires.
valuer l'efficacit du plan d'action vis--vis des risques pour rduire les risques travers l'entreprise et examiner la corrlation entre le
risque et l'attnuation.
Examiner les rsultats du plan d'action pour valuer son efficacit et vrifier si les propritaires sont ractifs et interviennent temps en
matire d'attnuation des risques.
Examiner les activits d'attnuation des risques appliques aux menaces prsentant un risque lev pour valuer l'efficacit de la
hirarchisation.

102

Un programme et un cadre de rfrence de gestion de projets sont mis en place pour la gestion de tous les projets informatiques. Ce cadre permet de s'assurer que tous les projets sont
correctement coordonns et que les priorits sont tablies. Il prvoit un plan matre, l'attribution de ressources, la dfinition des livrables, l'approbation par les utilisateurs, une approche de
livraison par tapes, une assurance qualit, un plan de tests formalis, des tests et une revue post-implmentation pour s'assurer que la gestion des risques et que l'apport de valeur
l'entreprise sont effectifs. Cette approche rduit les risques de cots non prvus et d'annulation de projets, amliore la communication en direction des mtiers et des utilisateurs finals ainsi
que leur implication, permet d'tre sr de la valeur et de la qualit des livrables du projet, et maximise leur contribution aux programmes d'investissements informatiques.
PO10.1 Cadre de rfrence pour la gestion de programme Une mthode optimise de gestion des tablissement inappropri des priorits du projet
Tenir jour le programme des projets, en relation avec le portefeuille programmes Approche dsorganise et inefficace des
des programmes d'investissements informatiques, en identifiant, Une mthode standardise, fiable et efficace de programmes du projet
dfinissant, valuant, slectionnant, initiant et contrlant ces projets, gestion des programmes travers l'entreprise Pas d'harmonisation entre le projet et les
et en tablissant leurs priorits respectives. S'assurer que les projets
Plus grande capacit se concentrer sur les projets objectifs du programme
servent les objectifs du programme. Coordonner les activits et
l'interdpendance de multiples projets, grer la contribution de tous cls au sein d'un programme
les projets aux rsultats attendus au sein du programme, et rsoudre
les problmes et les conflits lis aux ressources.
Examiner le cadre de gestion des programmes pour :

vrifier si sa conception permet d'valuer le portefeuille global de projets informatiques par rapport aux objectifs du programme
vrifier si le programme prcise les ressources ncessaires, y compris le financement, les chefs de projet, les quipes de projet, les ressources informatiques et les ressources mtiers, le
cas chant, et si l'quipe de gestion du programme attribue des responsabilits pour chaque projet, notamment en matire d'obtention des bnfices, de matrise des cots, de gestion
des risques et de coordination claire et non ambigu des activits du projet
Lorsque des responsabilits sont attribues, vrifier qu'elles ont t acceptes, que la mission et le primtre sont clairement tablis et que le responsable a suffisamment d'autorit et
de libert pour agir, qu'il dispose des comptences requises, de ressources proportionnes, d'une hirarchie des responsabilits clairement tablie, d'une bonne comprhension des
droits et obligations et de mesures de performance pertinentes.
Examiner les plans, politiques et procdures pour vrifier si l'quipe de gestion du programme :
dtermine les interdpendances entre les diffrents projets du programme
labore un chancier permettant de respecter les dlais du programme
identifie les parties prenantes au programme internes et externes l'entreprise
dtermine les niveaux appropris de coordination, communication et liaison avec les parties prenantes au programme
maintient la communication avec les parties prenantes pendant toute la dure du programme.
S'assurer que l'quipe de gestion du programme effectue rgulirement les tches suivantes :
Vrifier auprs des directions mtiers que le programme en cours, tel qu'il est conu, rpondra aux exigences mtiers et effectuer des ajustements si ncessaire
tudier l'avancement des diffrents projets et ajuster la disponibilit des ressources, si ncessaire, pour respecter les chances
valuer l'volution des marchs de l'informatique et des technologies pour dterminer si des ajustements du programme sont ncessaires pour viter des risques mergents, tirer parti
de solutions technologiques plus rcentes et plus efficaces ou profiter de rductions des cots lies l'volution du march.
PO10 Grer les projets (suite)
PO10.2 Cadre de gestion de projet Plus grande probabilit de russite du projet Diffrentes approches de gestion de projet au
Mettre en place et tenir jour un cadre de gestion de projets qui Rduction des cots relatifs la mise en place des sein de l'entreprise
dfinit aussi bien l'tendue et les limites de la gestion de projets que disciplines et des activits de gestion de projet Manque d'harmonisation avec la structure des
la mthode adopter et appliquer pour chaque projet entrepris. Ce Communication efficace des objectifs du projet, rapports de l'entreprise
cadre de rfrence et la mthode connexe doivent tre intgrs aux
des activits de gestion de projet et de Outils incohrents pour la gestion de projets
processus de gestion de programmes.
l'avancement du projet
Approche, outils et processus cohrents
Examiner les plans, politiques et procdures pour vrifier si le cadre de gestion de projets :
est en harmonie avec le cadre de gestion des programmes de l'entreprise et en fait partie intgrante
inclut un processus de contrle des modifications permettant de consigner, d'valuer, de communiquer et d'autoriser les modifications apportes au contenu du projet
est valu rgulirement pour vrifier son adquation compte tenu de l'volution des circonstances
inclut des recommandations sur le rle et l'utilisation d'un service existant ddi au programme ou au projet ou sur la cration d'une telle fonction pour un projet.
ANNEXE II
103
104

PO10.3 Approche gestion de projet Utilisation optimise des ressources pour la Confusion et incertitude provoques par des
tablir une approche de gestion de projet en rapport avec la taille, la gestion de projet approches de gestion de projet diffrentes au
complexit et les exigences rglementaires de chaque projet. La Rles et responsabilits clairement dfinis sein de l'entreprise
structure de gouvernance des projets peut comporter les rles, garantissant un engagement et une responsabilit Manque d'harmonisation avec la structure des
responsabilits oprationnelles et finales du commanditaire du
finale clairs pour les dcisions et les tches cls rapports de l'entreprise
programme, des commanditaires des projets, du comit de pilotage,
du bureau des projets et du chef de projet, ainsi que les mcanismes Harmonie optimise entre les objectifs du projet et Incapacit ragir, par des dcisions optimales
grce auxquels ils peuvent faire face ces responsabilits (comme le les objectifs mtiers et approuves, aux problmes rencontrs par le
reporting et les revues d'tapes). Vrifier que chaque projet Capacit ragir aux problmes rencontrs par le projet
informatique est dot d'un commanditaire assez haut plac pour tre projet et les rsoudre, de faon rapide et flexible
propritaire de la mise en oeuvre du projet au sein du programme
stratgique gnral.

Examiner les plans, politiques et procdures pour vrifier si :
avant le dbut de chaque projet, l'quipe de gestion du programme dfinit une structure de gouvernance de la gestion de projet adapte l'ampleur, la complexit et aux risques du
projet (notamment les risques juridique, rglementaire et de rputation). La structure de gouvernance de la gestion de projet doit attribuer les responsabilits oprationnelles et finales
du commanditaire du programme, du chef de projet et, si ncessaire, celles d'un comit de pilotage et d'un bureau de gestion de projets
l'quipe de gestion du programme attribue chaque projet informatique un ou plusieurs commanditaires assez haut placs pour grer la mise en uvre du projet au sein du
programme stratgique gnral. Cette attribution ne souffre d'aucune ambigut, les rles et responsabilits sont clairement dfinis et la responsabilit est accepte par les personnes
dsignes.
Vrifier et confirmer la mise en place de mcanismes efficaces permettant le suivi de l'excution du projet (ex : rapports rguliers, revues d'tape). Examiner les plans, politiques et
procdures pour vrifier si les mcanismes sont conus efficacement par l'quipe de gestion du programme et s'ils permettent d'identifier et de grer les carts en respectant les dlais.
PO10.4 Implication des parties prenantes Plus grande probabilit que le projet soit stimul Responsabilits oprationnelles et
Obtenir l'implication et la participation de toutes les parties prenantes par les bnfices mtiers et qu'il gnre des responsabilits finales mal dfinies pour garantir
concernes par la dfinition et la mise en uvre du projet l'intrieur bnfices mtiers la matrise des cots et la russite du projet
du programme global d'investissements informatiques. Comprhension commune des objectifs du projet Participation insuffisante des parties prenantes
entre les mtiers, les utilisateurs finals et la dfinition des besoins et l'examen des
l'informatique livrables
Implication des utilisateurs et adhsion de toutes Comprhension et distribution limites des
les parties prenantes au projet bnfices mtiers
que le cadre de gestion de projets prvoit l'implication et la participation des principales parties prenantes, dont le management du service utilisateur concern et les principaux
utilisateurs finals, la mise en place, la dfinition et l'autorisation d'un projet
que la participation des principales parties prenantes et des utilisateurs finals est recherche lors de la mise en place du projet, puis rvise au cours du cycle de vie du projet.
tudier les rapports du projet pour s'assurer que l'implication constante porte sur la validation du projet, la validation des phases du projet, les rapports de vrification du projet, la
reprsentation au comit directeur du projet, la planification du projet, le test des produits, la formation des utilisateurs, la documentation sur les procdures utilisateur et l'laboration
des supports de communication du projet.
Interroger les principales parties prenantes et les utilisateurs finals et tudier les rsultats des analyses ayant suivi la mise en uvre pour vrifier si cette implication a permis d'amliorer
la qualit et l'acceptation des livrables du projet.
PO10.5 nonc du primtre du projet Indication d'un point de comparaison permettant Mauvaise comprhension des exigences et des
Dfinir et documenter la nature et l'tendue du projet pour confirmer d'valuer l'avancement et, au final, la russite du objectifs du projet
et dvelopper parmi les parties prenantes une comprhension projet Incapacit des projets rpondre aux besoins de
commune du primtre du projet et la faon dont il est reli aux Responsabilits attribues et prcises, y compris l'entreprise et des utilisateurs
autres projets du programme global d'investissements informatiques.
celles des principales parties prenantes mtiers Mauvaise comprhension de l'impact de ce
Cette dfinition doit tre formellement approuve par les
commanditaires du programme et du projet avant que ce dernier ne Utilisation efficace des ressources pour les projets projet sur les autres projets connexes
dmarre. Prparation facilite d'un plan directeur du projet

Examiner les plans, politiques et procdures pour vrifier si :
ANNEXE II
le cadre de gestion de projets fournit aux parties prenantes une dfinition crite et claire de l'objectif, du primtre et de la valeur mtier de chaque projet, avant qu'elles ne
commencent travailler sur le projet, afin de crer une comprhension commune du primtre du projet parmi les parties prenantes
les exigences relatives au projet sont valides et acceptes par les principales parties prenantes et les commanditaires du programme et du projet au sein de l'entreprise et du service
informatique, en tenant compte ds le dbut de facteurs cls de succs et d'indicateurs cls de performance
toutes les modifications ultrieures apportes au primtre du projet sont documentes de faon approprie et valides par les parties prenantes.
105
106

PO10.6 Dmarrage d'une phase du projet Objectifs du projet cohrents et conformes la Manque d'harmonisation entre les projets et la
Valider le lancement de chaque phase importante du projet et en vision de l'entreprise vision de l'entreprise
informer toutes les parties prenantes. Fonder la phase de dmarrage Excution du projet s'appuyant sur l'tablissement Hirarchisation inapproprie des projets
sur les dcisions de la gouvernance des programmes. L'approbation de priorits carts non dtects par rapport au plan de projet
des phases suivantes doit se baser sur les revues et l'acceptation des
Phases du projet conformes la dfinition du global
livrables de la phase prcdente, ainsi que sur l'approbation d'une
tude de faisabilit mise jour lors de la prochaine revue majeure du projet Utilisation mdiocre des ressources
programme. Dans l'ventualit o des phases du projet se Capacit surveiller et communiquer
chevaucheraient, les commanditaires du programme et de chaque l'avancement du projet
projet devraient faire le point pour autoriser l'avancement du projet.
Examiner les plans, politiques et procdures pour vrifier si le cadre de gestion de projets prvoit la dsignation de responsables et d'utilisateurs finals des services informatiques et
mtiers concerns, chargs d'approuver et d'avaliser les livrables produits lors de chaque phase du projet (ex : analyse des besoins, conception, excution, test, mise en service) du cycle
de vie de dveloppement des systmes, avant le dmarrage de la phase suivante.
Vrifier et confirmer que le processus de validation s'appuie sur des critres d'acceptation clairement dfinis et valids par les principales parties prenantes avant de dbuter le travail sur
le livrable de la phase de projet et, au minimum, avant l'achvement des livrables d'une phase.
Examiner les plans, politiques et procdures pour vrifier si la validation et le lancement de cette phase tiennent compte des cots rels, des dlais et de l'avancement de la phase par
rapport aux valeurs budgtes.
Examiner les plans, politiques et procdures pour vrifier si les carts importants sont valus par rapport aux bnfices attendus du projet, valids par la fonction approprie de
gouvernance des programmes et reflts dans l'tude de faisabilit du programme.
Examiner les plans, politiques et procdures pour vrifier si, avant la mise en uvre, une valuation "stop-go" ralise officiellement permet d'affirmer que le projet est prt tre
excut. Cette valuation doit s'appuyer sur des facteurs cls de succs prdfinis, permettant de dterminer la qualit du systme et l'tat de prparation des fonctions mtiers et support
pour utiliser et grer le systme.
PO10.7 Plan projet intgr Plus grande probabilit que les principales tapes Erreurs non dtectes dans la planification et la
Mettre en place un plan projet intgr, formalis et approuv du projet soient respectes en termes de dlais, de budgtisation du projet
(couvrant les ressources mtiers et informatiques) pour guider la mise budget ou de champ d'application Manque d'harmonisation entre les projets et les
en uvre et le contrle du projet tout au long de son cycle de vie. Les Plus grande sensibilisation du management objectifs de l'entreprise et les autres projets
activits et les interdpendances de projets multiples dans un
propos d'un ventuel dcalage du projet dans le connexes
programme doivent tre comprises et documentes. Le plan de projet
doit tre tenu jour durant toute la dure du projet. Le plan projet et temps et capacit ragir rapidement carts non dtects par rapport au plan de projet
les modifications qui lui sont apportes doivent tre approuvs en Mcanisme permettant de partager le plan de
ligne avec le cadre de gouvernance des programmes et des projets. projet et les dtails de l'avancement, de faon
cohrente, l'intrieur et l'extrieur de l'quipe
de projet
Constatation et communication de l'tat
d'avancement du projet

Examiner les plans, politiques et procdures pour vrifier si le plan projet intgr fournit des informations permettant au management de contrler l'avancement du projet et qu'il prcise
le primtre, inclut les dtails des produits et livrables du projet, les ressources requises et les responsabilits, une rpartition des tches et des blocs de tches clairement tablis, des
estimations des ressources ncessaires, les tapes cls, les principales corrlations et l'identification d'un chemin critique.
Vrifier et s'assurer que le plan projet intgr et tous les plans connexes sont mis jour avec l'accord du propritaire du plan pour reflter l'avancement rel et les modifications
importantes constates lors des vrifications du plan directeur du projet.
Vrifier et confirmer que le plan de projet inclut un plan de communication visant signaler les modifications et les points de situation aux principales parties prenantes.
PO10.8 Ressources du projet Comptences et ressources rparties et attribues Pnuries de comptences et de ressources qui
Dfinir les responsabilits, les relations, l'autorit et les critres de de faon efficace et efficiente au sein du projet compromettent des tches dterminantes du
performances des membres de l'quipe du projet et prciser la base Dtection opportune des pnuries de ressources projet
sur laquelle on engagera et affectera des membres comptents et/ou Ressources du projet rparties conformment la Utilisation inefficace des ressources
des contractuels dans l'quipe du projet. L'achat de produits et de
politique d'achat de l'entreprise Conflits contractuels avec des ressources
services ncessaires chaque projet doit tre planifi et gr pour
favoriser l'atteinte des objectifs du projet en utilisant les pratiques externalises
d'achat de l'entreprise.

Vrifier et confirmer que les besoins en ressources sont identifis pour le projet et que les rles et responsabilits appropris sont clairement tablis, et que la remonte d'informations et
ANNEXE II
les autorits dcisionnaires sont valides et comprises.
Vrifier et confirmer que les rles sont identifis et dots du personnel appropri.
Vrifier et confirmer que des chefs de projet et un chef d'quipe expriments sont utiliss, et que leurs comptences sont adaptes l'ampleur, la complexit et aux risques du projet
entrepris.
Examiner les plans, politiques et procdures pour vrifier si les rles et responsabilits des autres parties intresses sont pris en compte et clairement dfinis (ex : les parties intresses
incluent, entre autres, l'audit interne, la conformit, les finances, le juridique, les achats et les RH).
107
Vrifier et confirmer que la responsabilit de l'achat et de la gestion des relations tierces de support systme et projet est clairement dfinie.
108

PO10.9 Gestion des risques du projet Identification prcoce d'ventuels points de Risques du projet non dtects
liminer ou rduire les risques spcifiques chaque projet au moyen blocage lors de l'tude de faisabilit et de la Absence d'actions d'attnuation des risques
d'un processus systmatique de planification, d'identification, validation du projet identifis
d'analyse, d'actions de rduction des risques, de surveillance et de Management capable d'identifier et de prvoir les Points de blocage du projet non dtects
contrle des domaines ou des vnements susceptibles de provoquer
incidents et les mesures correctives permettant de
des changements non souhaits. Les risques auxquels le processus de
gestion de projet et les livrables sont exposs doivent tre identifis et rduire l'impact des risques
consolids au niveau central. Responsables des risques et problmes facilement
identifiables
Surveillance des actions d'attnuation
Mthode cohrente et efficace de gestion des
risques au sein des projets, conformment au
rfrentiel de gestion des risques de l'entreprise

Vrifier et confirmer qu'un rfrentiel officiel de gestion des risques du projet a t mis en place.
Examiner les plans, politiques et procdures pour vrifier si la responsabilit de mettre en uvre le rfrentiel de gestion des risques du projet de l'entreprise au sein d'un projet a t
clairement attribue une personne dote des comptences appropries.
Examiner les plans, politiques et procdures pour vrifier si cette fonction peut tre assure par le chef de projet ou dlgue par ce dernier un autre membre de l'quipe de projet.
Vrifier et confirmer qu'une valuation des risques du projet a t effectue pour identifier les risques et problmes du projet.
Vrifier et confirmer que les risques du projet sont rvalus rgulirement, y compris lors du lancement de chaque phase importante du projet et dans le cadre des valuations lies des
demandes de modification majeure.
Examiner la documentation pour s'assurer que les responsables des risques et des problmes potentiels sont identifis, que les mesures d'vitement, de rduction ou d'acceptation des
risques (plans d'urgence) sont identifies pour ces risques, que les actions correctives ont t confies aux responsables, que les consquences financires sont prises en compte et que les
dlais d'excution des mesures adoptes sont respects.
Vrifier et confirmer qu'un journal des risques du projet et un journal des problmes rencontrs par le projet sont tenus jour et rgulirement examins.
PO10.10 Plan qualit du projet Harmonisation entre le plan qualit du projet et le Les livrables du projet ne rpondent pas aux
Prparer un plan de gestion qualit qui dcrit le systme qualit du rfrentiel qualit de l'entreprise besoins de l'entreprise et des utilisateurs
projet et comment il sera mis en place. Le plan doit tre formellement Plus grande probabilit que le systme mis en Disparits entre la qualit escompte et la qualit
revu et accept par toutes les parties prenantes, puis incorpor au plan uvre ou la modification du systme rponde aux fournie au sein des projets
projet intgr.
besoins de l'entreprise et des utilisateurs Mthode d'assurance qualit inefficace et
Niveau homogne d'activit d'assurance qualit fragmente
travers le projet, y compris concernant les tiers Les modifications ou le systme mis en uvre
ont un impact ngatif sur l'infrastructure et les
systmes existants
Examiner les plans, politiques et procdures pour vrifier si le plan qualit identifie clairement la proprit, les responsabilits, les processus et les mtriques pour permettre l'assurance
qualit des livrables du projet qui composent le systme qualit du projet.
Examiner les plans, politiques et procdures pour vrifier si le plan qualit dcrit les exigences, le cas chant, de validation et de vrification indpendantes de la solution technique et
mtier.
PO10.11 Contrle des changements du projet Priorits clairement dfinies en matire de gestion Matrise insuffisante du primtre, des cots et
Mettre en place un systme de contrle des changements pour chaque des conflits de ressources des dlais du projet
projet, de faon ce que toutes les modifications de ses Possibilit d'effectuer le suivi du primtre du Perte de l'orientation mtier
caractristiques de base (ex : cot, planning, primtre et qualit) projet Incapacit grer les ressources
soient dment analyses, approuves et incorpores au plan projet
Dcisions relatives aux modifications du projet
intgr en ligne avec le cadre de gouvernance des programmes et des
projets. prises en toute scurit et de faon efficace
Vrifier et confirmer l'existence d'une procdure de contrle des modifications permettant de grer, d'valuer, de justifier et de valider les modifications apportes au projet. valuer le
bien-fond de la demande de modification dans le cadre de cette procdure.
Examiner un chantillon des demandes de modification du projet pour dterminer si elles sont introduites par les personnes dsignes et si elles contiennent une description dtaille de
la modification, des risques connexes et des bnfices attendus.
Vrifier et confirmer que la documentation et le plan du projet et du programme sont mis jour pour tenir compte des modifications valides.
ANNEXE II
109
110

PO10.12 Planification du projet et mthodes d'assurance Exigences externes d'assurance (ex : audit Activits d'assurance non fiables
Identifier les tches d'assurance destines appuyer la validation de externe) satisfaites dans le respect des dlais et de Activits d'assurance inefficaces et/ou
systmes nouveaux ou modifis pendant la planification du projet, et faon rentable insuffisantes
les inclure dans le plan projet intgr. Les tches doivent fournir Facilitation de la validation externe des systmes Retards de validation et de mise en uvre
l'assurance que les contrles internes et les caractristiques de
ou des modifications de systmes
scurit satisfont les exigences prvues.
Confiance accrue des principales parties prenantes
dans le fait que le projet est sous contrle et qu'il
devrait gnrer des bnfices mtiers

Vrifier et confirmer que les normes et procdures de gestion de projet comportent des mesures tenant compte des exigences de conformit (ex : test des contrles internes et exigences
de scurit).
Examiner les normes et procdures de gestion de projet pour dterminer si elles comportent des mesures tenant compte des exigences de conformit. Examiner la documentation des
exigences relatives aux projets ayant des rpercussions sur la conformit pour dterminer si les parties prenantes concernes par la conformit participent au processus et si les exigences
sont valides.
Examiner la documentation des projets incluant des systmes associs des exigences d'homologation, d'assurance ou de validation afin de dterminer si des spcialistes comptents du
domaine concern ont particip au test des exigences et la validation des rsultats.
PO10.13 Mtrique, reporting et surveillance de la performance Amlioration de la satisfaction et de l'orientation Inefficacit de la notification de l'avancement
du projet client des projets et problmes non identifis
Mesurer la performance du projet selon les critres cls du projet Place importante accorde au client dans la culture Matrise insuffisante de l'avancement du projet
(primtre, planning, qualit, cot et risque). Identifier tout cart par du service informatique pour tous les projets Rduction de l'importance accorde aux attentes
rapport au plan. valuer les consquences d'un cart sur le projet et
informatiques des clients et aux besoins mtiers
sur l'ensemble du programme et rapporter les rsultats aux parties
prenantes cls. Recommander, mettre en place et surveiller les actions Identification rapide des carts par rapport au plan
correctrices lorsque c'est ncessaire, en accord avec le cadre de Rsultats positifs communiqus et valoriss pour
gouvernance des programmes et des projets. accrotre la confiance et l'implication des parties
prenantes
Vrifier et confirmer que les cadres de rfrence de gestion des SI, de gouvernance des projets informatiques et des programmes informatiques reposent sur l'existence de critres cls de
performances des projets informatiques, dont le primtre, le planning, la qualit, le cot et le niveau de risque.
Examiner les plans de projet initiaux pour dterminer si l'quipe de gestion du programme informatique recommande, met en uvre et surveille l'action corrective lorsqu'elle est
ncessaire. Les plans doivent tre conformes au cadre de gouvernance des programmes et des projets.
PO10.14 Clture du projet Plus grande probabilit que le projet gnrera les Non dtection de certaines lacunes en matire de
Exiger qu' la fin de chaque projet, les parties prenantes dterminent bnfices mtiers attendus et valids gestion de projet
si le projet a fourni les rsultats et bnfices prvus. Identifier et Identification d'amliorations en termes de gestion Opportunits manques relatives aux
communiquer toutes les activits exceptionnelles qui ont t de projet et de dveloppement des systmes pour enseignements tirs
ncessaires pour obtenir les rsultats du projet et les bnfices du
les futurs projets
programme prvus, et identifier et documenter les enseignements qui
en ont t tirs et qui pourront tre utiles des projets ou des Focalisation accrue sur l'excution des actions
programmes futurs. restant entreprendre pour raliser les bnfices
attendus

Vrifier et confirmer que les politiques et procdures informatiques comportent des tapes cls de clture du projet, dont une revue post-implmentation efficace.
Examiner la documentation d'un chantillon des revues post-implmentation pour dterminer l'efficacit de leur planification et de leur excution.
Examiner la procdure utilise pour identifier, communiquer et assurer les suivi des activits inacheves requises pour l'obtention des bnfices du programme et des projets. Examiner
la documentation post-implmentation pour dterminer si des activits inacheves sont identifies, communiques et termines.
Examiner la procdure utilise pour recueillir les enseignements tirs afin de dterminer si elle permet d'amliorer les projets ultrieurs. valuer l'implication des clients dans le
processus de revue et d'analyse.
ANNEXE II
111
Examiner la documentation du cadre de gestion des programmes pour s'assurer que le programme value correctement le portefeuille
complet des projets informatiques par rapport aux objectifs du programme. Le programme doit spcifier les ressources ncessaires, dont le
financement, les chefs de projet, les quipes de projet, les ressources informatiques et les ressources mtiers, le cas chant.
Examiner la documentation et effectuer le suivi des activits tout au long du processus pour s'assurer que l'quipe de gestion du programme
prcise galement les ressources ncessaires, dont le financement, les chefs de projet, les quipes de projet, les ressources informatiques et
les ressources mtiers, le cas chant.
Examiner la documentation et effectuer le suivi des activits tout au long du processus pour s'assurer que l'quipe de gestion du programme
attribue efficacement les responsabilits pour chaque projet et que, si tel est le cas, ces responsabilits sont acceptes et que le responsable a
suffisamment d'autorit et de libert pour agir, qu'il dispose des comptences requises, de ressources proportionnes, d'une hirarchie des
responsabilits clairement tablie, d'une bonne comprhension des droits et obligations et de mesures de performance pertinentes.
Examiner les plannings et autres documents pour dterminer si l'quipe de gestion du programme a efficacement identifi les corrlations
entre les diffrents projets du programme et mis au point un planning d'excution permettant de respecter l'chancier global du
programme.
Examiner les communications et autres documents pour dterminer si l'quipe de gestion du programme dsigne efficacement les parties
prenantes au programme au sein et en dehors de l'entreprise, si elle tablit des niveaux appropris de coordination, de communication et de
liaison avec ces parties prenantes et si elle communique constamment avec elles pendant toute la dure du programme.
Examiner les valuations rgulires et autres documents pour s'assurer que le cadre de gestion de projets est utilis de faon efficace, qu'il
fait partie intgrante de la mthode de gestion de programmes de l'entreprise, qu'il est conforme cette dernire et qu'il s'adapte
l'volution de la situation.
Examiner les principales tapes dcisives pour confirmer que les validations appropries ont t obtenues avant le lancement de la phase
suivante (ex : un comit de surveillance, compos de commanditaires et d'utilisateurs finals, qui s'assure que le champ d'application et les
exigences sont appropris).
Examiner la documentation pour s'assurer que l'quipe de gestion du programme attribue efficacement chaque projet informatique un ou
plusieurs commanditaires assez haut placs pour grer la mise en uvre du projet au sein du programme stratgique gnral, que cette
attribution ne souffre d'aucune ambigut, que les rles et responsabilits sont clairement dfinis et que la responsabilit est accepte par les
personnes dsignes.
Examiner les documents tels que les comptes-rendus de runions et les documents de validation pour s'assurer que l'quipe de gestion du
programme prvoit, de faon efficace, l'implication et la participation des principales parties prenantes, dont le management du service
utilisateur concern et les principaux utilisateurs, la mise en place, la dfinition et l'autorisation d'un projet.
Examiner les documents tels que les comptes-rendus de runions et les documents de validation et effectuer le suivi des activits tout au
long du processus pour s'assurer que l'implication et la participation constantes des principales parties prenantes pour le reste du cycle de
vie du projet sont efficacement exposes lors du lancement du projet et qu'une procdure de perfectionnement est utilise au cours du
processus.
S'assurer que le plan de communication du projet/programme est efficacement tenu jour pendant toute la dure du projet.
Examiner un chantillon des demandes de modification pour s'assurer que les parties prenantes les ont valides de faon approprie.
Examiner les plans, politiques et procdures pour vrifier si, de par sa conception efficace, le cadre de gestion de projets prvoit la
dsignation de responsables et d'utilisateurs finals des services informatiques et mtiers concerns, chargs d'approuver et d'avaliser les
livrables produits lors de chaque phase de projet du cycle de dveloppement des systmes, avant le dmarrage de la phase suivante.
Examiner la documentation pour s'assurer que la base du processus de validation permet de dfinir clairement des critres d'acceptation
valids par les principales parties prenantes avant de dbuter le travail sur le livrable de la phase de projet et, au minimum, avant
l'achvement des livrables d'une phase.
Examiner les plans, politiques et procdures pour vrifier si la validation et le lancement de cette phase permettent de tenir compte des
cots rels, des dlais et de la gestion de l'avancement, et d'valuer les carts importants par rapport aux bnfices attendus du projet.
Examiner les plans, politiques et procdures pour vrifier si la fonction approprie de gouvernance des programmes est suffisamment
performante pour valider les valuations des carts significatifs et si ces derniers apparaissent dans l'tude de faisabilit du programme.
Vrifier physiquement la documentation et rechercher les pistes d'audit pour s'assurer que le plan projet intgr permet la direction de
contrler l'avancement du projet.
Examiner les documents pour s'assurer que le plan de projet intgr et tous les plans connexes sont tenus jour avec l'accord du propritaire
du plan pour reflter l'avancement rel et les modifications importantes constates par rapport au cadre de gestion du programme.
Vrifier si l'organigramme du chef de projet ou le tableau RACI est complet.
Examiner l'valuation des risques du projet et les documents/comptes-rendus de runions connexes pour s'assurer que les risques (internes
et externes) sont grs et passs en revu au niveau adapt au sein de la structure de gouvernance des projets, tout au long du projet.
S'assurer que le plan de gestion des risques est intgr dans le plan de projet global.
Examiner les valuations et les rvaluations des risques, les valuations des demandes de modification et les autres documents connexes
pour s'assurer que les rvaluations priodiques sont efficaces et s'adaptent l'volution des risques au cours du projet.
S'assurer que les mises jour ncessaires du plan de gestion des risques sont effectues.
Examiner les documents, rechercher les pistes d'audit et effectuer le suivi des transactions ralises au cours du processus pour s'assurer que
la gestion des risques du projet est efficace et inclut des solutions de contournement pour les risques imprvus.
Examiner le journal des risques du projet et le journal des problmes rencontrs par le projet pour s'assurer qu'ils sont tenus jour et qu'ils
prcisent les actions correctives mises en place.
Examiner la documentation pour s'assurer qu'elle contient le primtre qui documente les objectifs du projet et les principaux livrables du
projet et qu'une procdure qualit a t dfinie.

ANNEXE II
valuer l'adquation du portefeuille global de projets pour dterminer s'il rpond convenablement aux objectifs mtiers.
Dterminer s'il existe des conflits de ressources, si les corrlations entre projets ne sont pas comprises et si les projets offrent un retour sur
investissements satisfaisant.
valuer la capacit de l'entreprise grer les ressources de faon efficace et efficiente.
valuer l'efficacit des diffrentes mthodes de gestion de projet au sein de l'entreprise en termes d'utilisation des ressources.
valuer la structure des rapports de l'entreprise pour dterminer si la sparation des tches est approprie.
valuer l'efficacit des outils de gestion de projet en termes de surveillance et de gnration de rapports.
valuer la conformit aux exigences rglementaires pour dterminer si les ressources sont utilises efficacement pour viter les
rpercussions ngatives sur les dlais, le planning et les performances.
valuer l'analyse du commanditaire du projet et la validation de l'nonc du primtre du projet pour s'assurer que les objectifs sont
clairement dfinis et conformes au programme d'investissements informatiques.
valuer le plan projet intgr valid et identifier les corrlations entre les diffrents projets, pour confirmer l'existence de la mise en uvre
et du contrle du projet tout au long de son cycle de vie.
Vrifier la validation des modifications apportes au plan projet intgr et leur conformit au cadre de gouvernance des programmes et des
projets pour identifier les rpercussions sur les cots, le planning et les performances.
Dterminer si le projet a mis en place une instance de gouvernance approprie pour tudier et valider les principales phases du projet.
valuer les pratiques de recrutement de l'entreprise pour dterminer si le dlai d'excution des procdures de recrutement permet
d'embaucher et d'affecter des employs et/ou des sous-traitants comptents pour grer les cots, les plannings et les performances des
projets.
valuer le plan de gestion qualit pour dterminer les niveaux cohrents d'assurance qualit travers le projet, y compris au niveau des
tiers.
Dterminer si les questions de gestion de la qualit ont t prises en compte suffisamment rapidement pour garantir la compression des
cots et la conformit au plan directeur du projet.
Dterminer si les modifications sont valides ou justifies et si elles rpondent aux buts et objectifs initiaux, y compris concernant les
rpercussions ngatives sur le budget, le planning et les performances.
Dterminer si les tches d'audit offrent un niveau appropri d'homologation des systmes pour fournir l'assurance que les contrles internes
et les caractristiques de scurit satisfont les exigences prvues.
Dterminer s'il existe des mcanismes efficaces de gnration de rapports permettant de surveiller l'avancement du projet.
Dterminer la capacit de la direction grer les risques du projet de faon efficace et efficiente.
valuer la clture du projet pour obtenir des informations facilitant l'excution de futurs projets de type ou de primtre similaire, afin de
dterminer les rpercussions sur les cots, le planning et les performances (ex : collecte des meilleures pratiques/enseignements retenus).

PAGE BLANCHE

ANNEXE III
ACQURIR ET IMPLMENTER (AI)
AI1 Trouver des solutions informatiques

AI2 Acqurir des applications et en assurer la maintenance
AI3 Environnement de test de faisabilit
AI4 Faciliter le fonctionnement et l'utilisation
ANNEXE III - ACQURIR ET IMPLMENTER (AI)

AI5 Acqurir des ressources informatiques
AI7 Installer et valider les solutions et les modifications
A NNEXE III - A CQURIR ET IMPLMENTER (AI)

AI Trouver des solutions informatiques
Le besoin d'une nouvelle application ou fonction impose une analyse avant achat ou cration pour s'assurer que les exigences mtiers seront satisfaites grce une approche efficace et
efficiente. Ce processus recouvre la dfinition des besoins, la prise en compte de sources alternatives, l'analyse de la faisabilit technique et conomique, l'analyse des risques et du rapport
cots/bnfices, et la dcision finale qui tranchera entre faire ou acheter. Toutes ces tapes permettent aux entreprises de minimiser les cots d'achat et de mise en place de solutions et de
s'assurer que celles-ci permettront l'entreprise d'atteindre ses objectifs.
AI1.1 Dfinition et actualisation des exigences mtiers techniques Toutes les exigences fonctionnelles et techniques Solution incorrecte slectionne partir d'une
et fonctionnelles importantes sont prises en compte lorsque des comprhension inapproprie des exigences
Identifier, classer par priorits, spcifier et valider les exigences solutions potentielles sont envisages Exigences importantes identifies tardivement,
mtiers techniques et fonctionnelles, qui couvrent l'tendue complte Ensemble complet et prcis d'exigences gnrant des frais lis au travail supplmentaire
de toutes les initiatives requises pour obtenir les rsultats escompts
fonctionnelles et techniques disponible avant le et des retards de mise en uvre
du programme d'investissement informatique.
dbut du dveloppement ou de l'acquisition
Exigences fonctionnelles et techniques dfinies de
faon efficiente et efficace
Solution choisie susceptible d'tre mise en uvre
plus rapidement et sans trop de travail
supplmentaire
Interroger les principaux employs concerns pour s'assurer que les exigences mtiers fonctionnelles et techniques ont t dfinies et qu'un processus d'actualisation a t valid.
Inspecter la documentation relative aux exigences et aux processus d'actualisation et s'assurer que sa conception est adapte l'importance, la complexit, aux objectifs et aux risques
de l'acquisition et qu'elle a t valide par le propritaire/commanditaire concern.
Interroger les principaux employs concerns pour s'assurer que toutes les exigences et les critres d'acceptation ont t pris en compte, recueillis, hirarchiss et enregistrs de faon
comprhensible par les parties prenantes et les commanditaires.
Interroger les principaux employs concerns pour s'assurer que les exigences techniques des applications et des infrastructures rpondent aux besoins des normes d'architecture de
l'information de l'entreprise et de l'orientation technique stratgique.
Examiner les plans, politiques et procdures pour identifier les exceptions/carts par rapport aux normes d'architecture de l'information de l'entreprise et l'orientation technique
stratgique.
ANNEXE III
115
AI1 Trouver des solutions informatiques (suite)
116

AI1.2 Rapport d'analyse de risques Identification prcoce des risques d'acquisition, ce Risques d'acquisition potentiellement importants
Identifier, valuer et analyser les risques associs aux exigences qui permet de rduire ou d'viter les rpercussions non identifis
mtiers et la conception des solutions en tant qu'lments du potentielles Management pas conscient des risques et
processus d'entreprise pour l'laboration des exigences. Plus grande sensibilisation du management vis-- incapable d'appliquer les contrles appropris
vis des risques potentiels Scurit des systmes mise en chec

Interroger les principaux employs concerns et examiner la documentation relative au projet pour confirmer l'utilisation d'une approche globale de l'analyse des risques de la solution
automatise.
S'assurer, par le biais d'entretiens, que les parties prenantes sont impliques, y compris les reprsentants des mtiers et des SI.
Vrifier et confirmer que des mcanismes appropris d'attnuation des risques sont pris en compte dans la conception de la solution et intgrs ds le dpart, si les risques auxquels
l'entreprise est confronte le justifient.
AI1.3 tude de faisabilit et formulation d'alternatives La solution la plus efficace et la plus efficiente Solution incapable de rpondre aux besoins
Mener une tude de faisabilit qui examine la possibilit de mettre en choisie pour l'entreprise Solution incapable de fonctionner comme prvu
place les exigences. Le management des mtiers, assist par Ressources disponibles pour mettre en uvre et Solution incapable de s'intgrer dans
l'informatique, doit valuer la faisabilit et les alternatives et faire des exploiter la solution choisie l'infrastructure existante
recommandations aux commanditaires mtiers.
Exigences importantes vrifies avant la promesse
d'acquisition
Prise de dcision relative la slection base sur
des justifications valables
Interroger les principaux employs concerns pour vrifier l'existence d'un processus d'tude de faisabilit qui dfinit les alternatives permettant de rpondre aux exigences mtiers
fonctionnelles et techniques (ex : une fonctionnalit rpondant aux besoins des exigences mtiers et techniques).
Vrifier et confirmer que le management et les principaux employs ont dfini les ressources utiliser et connaissent les points de contrle d'autorisation ou d'interdiction (go/no-go).
S'assurer, auprs des principaux employs concerns, que l'tude de faisabilit comprend l'analyse du rapport cots/bnfices pour chacune des alternatives identifies et des
fonctionnalits du systme.
AI1 Trouver des solutions informatiques (suite)
AI1.4 Dcision et approbation concernant les exigences et la Solution de nature satisfaire les exigences Solutions incapables de satisfaire les exigences
faisabilit mtiers mtiers
Vrifier si la procdure exige que les commanditaires mtiers Solution bnficiant de l'implication et de la Solutions alternatives non identifies
approuvent et avalisent les rapports sur les exigences mtiers participation des mtiers lors de la mise en uvre correctement
fonctionnelles et techniques et sur l'tude de faisabilit des tapes
Division mtier bnficiant d'une meilleure Aspects de la solution potentielle relatifs aux
cls prdtermines. La dcision finale quant au choix de la solution
et la procdure d'acquisition doit appartenir aux commanditaires comprhension de la nature de la solution et de processus mtiers et l'entreprise non pris en
mtiers. son impact sur les processus mtiers et sur compte de faon approprie
l'entreprise

Interroger les commanditaires mtiers pour s'assurer que des revues qualit sont effectues propos des rapports sur les exigences mtiers fonctionnelles et techniques et sur l'tude de
faisabilit et que les commanditaires mtiers connaissent les critres d'acceptation initiaux.
valuer la documentation projet sur un chantillon reprsentatif de projets pour s'assurer que les commanditaires mtiers ont valid les rapports sur la faisabilit et les exigences mtiers
fonctionnelles et techniques.
ANNEXE III
117
Examiner une slection de correspondances entre les commanditaires mtiers et les parties prenantes pour s'assurer que les exigences cls
(ex : dfinition des besoins des utilisateurs, formulation d'alternatives, identification de progiciels commerciaux, ralisation d'tudes de
faisabilit technologique, de faisabilit conomique, d'analyse des risques et de l'architecture de l'information) ont t apprhendes et
prises en compte.
Examiner une slection de documents relatifs aux exigences pour dterminer si un systme propos (nouveau ou modifi) a t clairement
dfini, examin et valid par crit par l'utilisateur comptent avant le dveloppement, la mise en uvre ou la modification du projet.
Examiner une slection de documents relatifs aux exigences techniques des applications et des infrastructures pour dterminer si l'exigence
est conforme l'orientation stratgique et aux normes d'architecture de l'information de l'entreprise (ex : plan de continuit des activits,
plan de reprise aprs sinistre, contraintes lgales et de scurit).
Examiner une slection de documents relatifs l'analyse des risques et dterminer si les risques mtiers et informatiques sont identifis,
examins, valus et compris par les mtiers et l'informatique et si les mesures de contrle interne et les pistes d'audit sont identifies dans
le cadre de l'analyse des risques (ex : risques pesant sur le plan de continuit des activits, le plan de reprise aprs sinistre, les contraintes
lgales et scuritaires).
Examiner une slection de documents relatifs l'analyse des risques pour dterminer si ces documents ont t valids par les principales
parties prenantes, y compris les reprsentants des mtiers et des SI.
Examiner une slection de rapports de projet, d'audit ou autres valuations et confirmer, par le biais d'entretiens avec les employs des
services conformit, audit, gestion des risques et scurit, si la conception des mcanismes de rponse aux risques tient compte d'un
quilibre adquat entre les contrles de dtection et de prvention.
Examiner la documentation sur les tudes de faisabilit pour s'assurer que les tudes de faisabilit technique et conomique rpondent aux
besoins des exigences mtiers et techniques.
Examiner une slection de documents sur les tudes de faisabilit pour s'assurer que le plan tient suffisamment compte de chaque tape du
cycle de vie d'acquisition ou de dveloppement et qu'il inclut des points de contrle d'autorisation ou d'interdiction (go/no-go).
Examiner une slection de documents sur les tudes de faisabilit technologique et conomique pour s'assurer que les cots et bnfices
identifiables relatifs chacune des alternatives et des fonctionnalits systme identifies ont t correctement pris en compte et intgrs
dans l'tude de faisabilit technologique et conomique requise.

valuer l'impact sur la dure et le cot du projet si les exigences ne rpondent pas aux besoins des utilisateurs.
valuer les risques (ex : menaces, vulnrabilits potentielles, scurit, contrles internes) qui n'ont pas t identifis car les initiatives de
dveloppement systme ne comprenaient pas d'analyses des risques performantes.
valuer l'impact sur la dure et le cot du projet si les initiatives de dveloppement systme ne sont pas conformes aux politiques, lois et
rglementations.
valuer les cots supplmentaires supports par un propritaire/commanditaire cl qui n'envisage pas d'alternative, ce qui se traduit par une
solution plus onreuse.
Identifier les dfaillances de la mthodologie du cycle de vie de dveloppement systme de l'entreprise.
Identifier les solutions qui ne rpondent pas aux besoins des utilisateurs.
Identifier les initiatives de dveloppement systme qui :
n'ont pas envisag d'alternatives, ce qui se traduit par une solution plus onreuse ;
n'ont pas envisag de progiciels commerciaux qui auraient pu tre implments plus rapidement et pour un cot infrieur ;
n'ont pas tenu compte de la faisabilit technologique des alternatives ou n'ont pas correctement envisag la faisabilit technologique de la
solution choisie et, par consquent, n'ont pas pu mettre en uvre la solution telle qu'elle avait t conue initialement ;
ont formul des hypothses errones dans l'tude de faisabilit conomique et, par consquent, ont choisi le mauvais plan d'action ;
n'ont pas tenu compte du modle de donnes d'entreprise ou de l'architecture de l'information et, par consquent, ont choisi le mauvais
plan d'action ;
n'ont pas procd des analyses des risques performantes et, par consquent, n'ont pas correctement identifi les risques (y compris les
menaces, vulnrabilits potentielles et impacts) ou n'ont pas identifi les contrles internes et de scurit appropris permettant de
rduire ou d'liminer les risques identifis.
Identifier les solutions qui :
ont t trop contrles ou n'ont pas t assez contrles car le rapport cot-efficacit du contrle et de la scurit n'a pas t
correctement tudi ;
ne disposaient pas de pistes d'audit adquates ;
n'ont pas tenu compte des problmes d'ergonomie et de conception conviviale, ce qui a entran des erreurs de saisie de donnes qui
auraient pu tre vites ;
n'ont pas respect les procdures relatives aux achats et ont, de ce fait, gnr des surcots pour l'entreprise.

AI2 Acqurir des applications et en assurer la maintenance
Les applications doivent tre rendues disponibles en fonction des exigences mtiers. Ce processus recouvre la conception des applications, les contrles applicatifs et les exigences de
scurit appropris qu'il faut y inclure, ainsi que leur dveloppement et leur configuration conformment aux standards. Cela permet aux entreprises de disposer des applications
informatiques qui conviennent pour supporter correctement les tches mtiers.
AI2.1 Conception gnrale Cots rduits Dpendance vis--vis des connaissances que
Traduire les exigences mtiers en spcifications gnrales Cohrence entre les exigences mtiers et les possdent des individus cls
d'acquisition de logiciels, en tenant compte des orientations rsultats de la conception gnrale Primtre de dveloppement non dfini
technologiques de l'entreprise et de l'architecture de l'information. Amlioration des dlais de livraison Solutions incapables de satisfaire les exigences
Faire approuver les spcifications de la conception par le
mtiers
management pour s'assurer que la conception gnrale rpond aux
exigences. Effectuer une rvaluation lorsque des anomalies Solutions non conformes au plan informatique
significatives techniques ou logicielles se produisent pendant le stratgique, l'architecture de l'information et
dveloppement ou la maintenance. l'orientation technologique
Cot lev des solutions fragmentes

S'assurer auprs des principaux employs du service informatique qu'une spcification de conception gnrale est dfinie et qu'elle traduit les exigences mtiers pour le dveloppement
logiciel.
Obtenir et tudier un chantillon des spcifications du projet pour dterminer si elles portent sur toutes les exigences mtiers.
Demander aux principaux employs du service informatique si l'approche conceptuelle du projet est conforme la norme de conception de l'entreprise.
Examiner la documentation sur la conception gnrale pour dterminer si les normes de conception de l'entreprise sont respectes.
Examiner la documentation du projet, telle que le plan de projet et le document d'orientation, pour dterminer si les rles et responsabilits des utilisateurs figurent bien dans le processus
de conception.
Confirmer l'avis du management concernant l'implication des utilisateurs auprs des utilisateurs et parties prenantes pour s'assurer que l'expertise et les connaissances de ces derniers
sont prises en compte dans le processus de conception des nouveaux systmes.
Examiner les documents justificatifs pour tablir des correspondances claires (titre et date compris).
S'assurer auprs des parties prenantes (informatique et mtiers) qu'elles ont approuv et valid la conception gnrale et que leurs propositions ont t intgres dans la conception (ex :
propritaires des processus, propritaires des informations, scurit, reprsentants des utilisateurs).
S'assurer auprs des parties prenantes (informatique et mtiers) que la conception gnrale constitue une solution que l'entreprise peut fournir, exploiter et grer (ex : commanditaire
informatique, commanditaires mtiers).
ANNEXE III
119
AI2 Acqurir des applications et en assurer la maintenance (suite)
120

AI2.2 Conception dtaille Cots rduits Traitement de transactions incorrectes

Prsenter en dtail les spcifications et les impratifs techniques des Encodage et maintenance efficaces de Augmentation des cots lie la restructuration
applications logicielles. Dfinir les critres d'acceptation de ces l'application du systme
impratifs. Faire approuver ces impratifs pour tre sr qu'ils Classement des fonctionnalits importantes selon Traitement inappropri des donnes des
correspondent la conception gnrale. Effectuer une rvaluation
leur priorit systmes applicatifs
lorsque des anomalies significatives techniques ou logicielles se
produisent pendant le dveloppement ou la maintenance. vitement de la redondance des donnes
Application rpondant aux exigences de facilit
d'utilisation

Inspecter le code et examiner la documentation associe aux entres et sorties de donnes pour dterminer si les mthodes adaptes de stockage, de localisation et d'extraction sont mises
en uvre conformment aux normes de dictionnaires de donnes.
Examiner la documentation sur l'architecture de l'information et les dictionnaires de donnes pour identifier les carts vis--vis des normes de dictionnaires de donnes dans la
conception des programmes.
Demander aux principaux employs concerns si les normes de dictionnaires de donnes sont utilises et comparer les performances relles des entres/sorties de donnes aux rponses
de ces employs.
S'assurer, auprs des principaux employs concerns, que la conception de la collecte des donnes sources est spcifie et qu'elle intgre des donnes stockes et informatises.
Inspecter le code et examiner les plans pour s'assurer que les donnes sont collectes et valides pour le traitement des transactions.
S'assurer auprs des principaux employs du service informatique que des dispositions sont prvues en termes de redondance, de reprise aprs incident et de sauvegarde, et qu'elles sont
incluses dans les spcifications dtailles du projet.
Examiner les procdures et le plan de sauvegarde pour dterminer s'ils rpondent de faon approprie aux exigences de disponibilit du nouveau systme et s'ils sont rentables.
Interroger les principaux employs du service informatique et examiner la documentation de projet concerne pour dterminer si les exigences en matire de fichiers, concernant le
stockage, la localisation et l'extraction des donnes, sont dfinies dans les spcifications dtailles du projet.
Examiner la documentation du projet pour dterminer si les meilleures pratiques sont prises en compte (disponibilit, contrle et auditabilit, scurit, configuration rseau requise, etc.).
Interroger les principaux employs et examiner la documentation de projet concerne pour dterminer si les tapes de traitement (dont les types de transaction), les rgles de traitement
(dont les transformations logiques) ou les calculs spcifiques sont dfinis et inclus dans les spcifications dtailles du projet.
Interroger les principaux employs et examiner la documentation de projet concerne pour dterminer si l'intgration du systme (sous-systmes existants ou planifis et progiciels
achets) et de l'infrastructure est continuellement prise en compte tout au long du cycle de vie du processus.
S'assurer auprs des principaux employs du service informatique que toutes les exigences de donnes de sortie identifies sont correctement dfinies.
Examiner la documentation dtaille sur la conception pour dterminer si les dtails pertinents de conception sont pris en compte (diffrents types de destinataires, utilisation, dtails
requis, frquence et mthode de gnration, etc.).

Examiner la documentation dtaille sur les exigences du projet pour dterminer si elle s'intresse la disponibilit, l'exhaustivit, l'intgrit et la confidentialit des donnes de
sortie, ainsi qu' l'impact des sorties de donnes vers d'autres programmes.
S'assurer auprs des principaux employs que l'interface entre l'utilisateur et l'application systme est dfinie et intgre dans les spcifications dtailles du projet.
Examiner les spcifications dtailles du projet pour s'assurer qu'elles se proccupent comme il convient des exigences de l'interface utilisateur.
Demander des informations sur les procdures de rvaluation de la conception des systmes qui s'intressent aux modifications de conception dcoulant d'anomalies significatives
logiques et/ou technologiques.
Examiner les documents tels que les rapports d'analyse de la conception des systmes ou les demandes de modification de la conception des systmes pour s'assurer que les procdures
de rvaluation de la conception des systmes sont respectes (ex : une modification de la conception des systmes doit tre approuve par les commanditaires mtiers et informatiques).
Examiner la documentation sur les spcifications dtailles du projet pour dterminer si elle a t prpare conformment aux normes de spcification acceptes du secteur et de
l'entreprise et conformment l'architecture de l'information.
S'assurer auprs des parties prenantes mtiers et informatiques que la conception fait l'objet d'un examen minutieux avant le dbut de la phase de dveloppement.
Examiner les spcifications dtailles du projet pour s'assurer qu'une inspection minutieuse de la conception est effectue pour toutes les parties prenantes et que la validation des parties
prenantes a t initie avant le dveloppement (ex : date et signature ou confirmation par e-mail).
AI2.3 Contrles applicatifs et auditabilit Cohrence des contrles applicatifs mis en place Contrles compensatoires coteux
Mettre en place des contrles mtiers, si ncessaire, dans les Intgrit des donnes garantie Problmes d'intgrit des donnes
contrles applicatifs automatiss, de faon ce que le traitement soit Possibilit de valider et de restaurer l'historique Disparits entre les contrles applicatifs et les
ralis avec exactitude, compltement, au bon moment, et qu'il soit des donnes de transaction si ncessaire menaces et risques rels
autoris et auditable.
Rsultats du traitement et rfrentiel ne
rpondant pas aux exigences de conformit
Examiner la documentation relative aux exigences de conception des contrles pour s'assurer que les contrles applicatifs automatiss sont dfinis en vertu des exigences de contrle des
processus mtiers.
Examiner la documentation relative aux exigences de conception des contrles et identifier les situations dans lesquelles les contrles d'autorisation, d'entre, de traitement, de sortie et
les contrles vis--vis de l'extrieur ne sont pas appropris.
Examiner les plans de mise en uvre des fonctions de contrle automatis dans les progiciels et s'assurer que les exigences de contrle des processus mtiers sont adquatement pris en
compte.
S'assurer, auprs des propritaires des processus mtiers et des responsables de la conception technique des SI, que les spcifications techniques de tous les contrles applicatifs
automatiss des applications dveloppes en interne ou achetes ont t valides.
Examiner les spcifications techniques de tous les contrles applicatifs automatiss des applications dveloppes ou achetes/cls en mains pour s'assurer qu'elles ont t valides.
S'assurer, auprs du personnel travaillant sur le projet, que des contrles automatiss ont t dfinis au sein de l'application et qu'ils favorisent la ralisation des objectifs des contrles
gnraux (scurit, intgrit des donnes, pistes d'audit, contrle d'accs, contrles d'intgrit des bases de donnes, etc.).
Inspecter les contrles applicatifs dans les progiciels dvelopps et achets, effectuer le suivi des transactions et examiner la documentation pour s'assurer que les objectifs des contrles
gnraux (scurit, intgrit des donnes, pistes d'audit, contrle d'accs, contrles d'intgrit des bases de donnes) sont adquatement pris en compte.
Examiner la documentation du projet pour s'assurer que les spcifications techniques ont t values par rapport aux objectifs et aux normes de gestion des risques, de contrle et
d'audit interne.
Examiner la documentation du projet pour dterminer si les effets des contrles compensatoires en dehors du domaine des logiciels applicatifs ont t pris en compte.
Examiner les constatations de l'analyse de haut niveau ralise pour s'assurer que les objectifs des contrles gnraux et des contrles applicatifs automatiss sont atteints (ex :
disponibilit, scurit, prcision, exhaustivit, opportunit, autorisation et auditabilit).
ANNEXE III
121
122

AI2.4 Scurit et disponibilit des applications Contrles scuritaires de dtection et prventifs Violations de la scurit non dtectes
Faire appel aux exigences de scurit et de disponibilit des mis en place selon les besoins Contrles de compensation coteux
applications en rponse aux risques identifis, en ligne avec la Disponibilit, intgrit et confidentialit des Disparits entre les contrles de scurit
classification des donnes de l'entreprise, l'architecture de donnes garanties envisags et les menaces et risques rels
l'information, l'architecture de la scurit de l'information et la
Disponibilit des systmes maintenue pour la
tolrance aux risques.
gestion des processus mtiers
Interroger les principaux employs concerns pour dterminer s'ils savent comment les solutions pour la scurit et la disponibilit de l'infrastructure seront intgres dans l'application.
Examiner les plans d'acquisition, d'implmentation et de test des applications pour s'assurer que la scurit et la disponibilit des applications ont t prises en compte dans
l'environnement intgr.
Vrifier et confirmer que le plan de disponibilit a t valid par les responsables techniques.
S'assurer que les parties prenantes concernes ont valid la documentation.
Interroger les commanditaires mtiers et examiner la documentation de revue de projet pour valuer la comprhension et l'adquation du plan de disponibilit ; demander si le plan est
susceptible de rpondre aux exigences de scurit et de disponibilit.
AI2.5 Configuration et implmentation des logiciels applicatifs Systme acquis configur pour rpondre aux Altration de l'orientation mtiers
acquis exigences dfinies par les mtiers Incapacit appliquer efficacement les futures
Configurer et implmenter les logiciels applicatifs acquis afin Systme acquis conforme l'architecture existante mises jour
d'atteindre les objectifs mtiers. Rduction de la disponibilit du systme et de
l'intgrit des informations
Interroger les propritaires des processus mtiers et les principaux employs concerns pour dterminer si leurs suggestions et leurs recommandations ont t sollicites et rpercutes
dans la personnalisation et la configuration des applications. Identifier les situations dans lesquelles les suggestions des propritaires des processus mtiers n'ont pas t sollicites.
S'assurer auprs des principaux employs que le logiciel applicatif a t personnalis et configur l'aide des meilleures pratiques, d'aprs les conseils des fournisseurs et conformment
aux normes d'architecture internes.
Examiner les meilleures pratiques fournies par les fournisseurs, les comparer la stratgie de mise en uvre et identifier les configurations et personnalisations incorrectes.
S'assurer auprs des principaux employs concerns que les procdures de test mises en place prvoient la vrification des objectifs de contrle des logiciels applicatifs acquis (ex :
fonctionnalits, interoprabilit avec les applications et l'infrastructure existantes, efficience des performances des systmes, intgration, tests de capacit et de surcharge, intgrit des
donnes).
Examiner la documentation sur les tests d'intgration et unitaires et tudier les procdures de test pour vrifier l'adquation des tests.
S'assurer auprs des principaux employs concerns que tous les manuels d'utilisation et d'exploitation sont complets et/ou mis jour si ncessaire. Rechercher un exemple de
personnalisation des manuels d'utilisation et d'exploitation pour confirmer les mises jour de la documentation.
AI2.6 Mises jour majeures des systmes existants Disponibilit systme stable Disponibilit systme rduite
Suivre un processus de dveloppement similaire celui du Prservation de la confidentialit, de l'intgrit et Confidentialit, intgrit et disponibilit
dveloppement de nouveaux systmes dans l'ventualit de de la disponibilit des donnes traites compromises des donnes traites
modifications majeures des systmes existants qui ont pour Contrle de la qualit et des cots pour les Insuffisance de la matrise des cots pour les
consquences des modifications significatives de conception et/ou
dveloppements dveloppements majeurs
des fonctionnalits actuelles.
Prservation de la compatibilit avec
l'infrastructure technique
Interroger les principaux employs et examiner la documentation approprie pour s'assurer que l'tude d'impact des principales mises niveau a t effectue en tenant compte des
critres objectifs spcifis (ex : exigences mtiers), des risques encourus (ex : impact sur les systmes et processus existants ou sur la scurit), de la justification des cots-bnfices et
d'autres exigences.
Examiner la documentation approprie pour identifier les carts par rapport aux processus standard de dveloppement et d'implmentation.
Interroger les commanditaires mtiers et les autres parties prenantes concernes et examiner la documentation approprie pour dterminer si les accords et autorisations ont t obtenus
pour le processus de dveloppement et d'implmentation.
AI2.7 Dveloppement d'applications Satisfaction garantie des besoins de l'entreprise, Gaspillage des ressources
S'assurer que les nouvelles fonctionnalits automatises se des clients et des utilisateurs Perte de l'orientation sur les exigences mtiers
conforment aux spcifications de conception, aux standards de Capacit grer et hirarchiser les ressources Nombreux dysfonctionnements
dveloppement et de documentation, aux exigences d'assurance Logiciels applicatifs gnrant des capacits pour Incapacit grer efficacement les applications
qualit et aux normes d'approbation. S'assurer que tous les aspects
l'entreprise
lgaux et contractuels sont identifis et pris en compte dans les
applications dveloppes par des tiers. Application rpondant aux exigences de facilit
d'utilisation
S'assurer auprs des principaux employs concerns que toute l'activit de dveloppement a t mise en place pour garantir le respect des normes de dveloppement et que les logiciels
dvelopps sont bass sur des spcifications adoptes pour rpondre aux exigences mtiers, fonctionnelles et techniques.
Examiner la documentation approprie (conception, revue de code, revue de projet, etc.) pour identifier les exceptions aux spcifications et aux normes.
Se procurer la documentation d'valuation des logiciels dvelopps et l'analyser pour s'assurer de sa pertinence.
S'assurer auprs des principaux employs concerns que les applications des responsables techniques et des responsables d'exploitation sont prtes et aptes un transfert vers
ANNEXE III
l'environnement de production.
Parcourir le code et identifier les problmes et exceptions.
Interroger les principaux employs concerns pour s'assurer de la conformit avec toutes les obligations et exigences.
Examiner les obligations contractuelles et les conditions d'octroi de licences relatives aux dveloppeurs tiers.
123
124

AI2.8 Assurance qualit des logiciels Approche globale en matire de tests Qualit mdiocre des logiciels
Dvelopper un plan d'assurance qualit, le doter de ressources et le Tests effectus refltant les processus et les Nouveau test des logiciels dvelopps
mettre en uvre de faon obtenir la qualit spcifie dans la exigences mtiers Tests incapables de reflter les processus mtiers
dfinition des exigences et dans les politiques et les procdures Logiciels accepts officiellement actuels
qualit de l'entreprise.
Donnes des tests mal utilises et mettant en
pril la scurit de l'entreprise
Tests insuffisants
Inobservation des exigences de conformit

S'assurer auprs des principaux employs concerns que le plan qualit des logiciels a t dfini et qu'il prvoit la spcification des critres de qualit, des processus de validation et de
vrification, ainsi que la dfinition du mode de contrle de la qualit.
Examiner le plan pour identifier les critres rpertoris ci-dessus et s'assurer que les revues d'assurance qualit sont effectues par des personnes extrieures l'quipe de dveloppement.
S'assurer auprs des principaux employs concerns qu'une procdure de surveillance de la qualit des logiciels a t labore et mise en place.
Examiner la documentation approprie pour s'assurer que cette procdure s'appuie sur les exigences du projet, les politiques de l'entreprise, les procdures de gestion qualit et les
critres d'acceptation.
S'assurer auprs des principaux employs concerns que toutes les exceptions relatives la qualit sont identifies et que des mesures correctives sont prises.
Examiner la documentation relative aux revues, rsultats, exceptions et corrections d'assurance qualit pour s'assurer que les revues d'assurance qualit sont rptes si ncessaire.
AI2.9 Gestion des exigences des applications Exigences officiellement dfinies et attentes de Modifications non autorises
Effectuer un suivi individuel de chaque exigence (y compris de celles l'entreprise clairement tablies Modifications pas appliques aux systmes
qui ont t rejetes) au cours de la conception, du dveloppement et Conformit aux procdures tablies de gestion des souhaits
de l'implmentation, et approuver les modifications apportes changements Disparits entre les attentes et les exigences
certaines exigences selon un processus tabli de gestion des
Une approche standardise approuve, permettant
changements.
de modifier les applications de faon efficace
Vrifier et confirmer que les modifications apportes aux exigences individuelles sont surveilles, analyses et approuves par les parties prenantes concernes.
Examiner la documentation approprie pour s'assurer que toutes les modifications et l'tat des modifications sont enregistrs dans le systme de gestion des changements.
Identifier et signaler les modifications qui ne font pas l'objet d'un suivi.
AI2.10 Maintenance des applications Conformit aux procdures tablies de gestion des Modifications non autorises
Dvelopper un plan stratgique pour la maintenance des applications. changements Modifications pas appliques aux systmes
Une approche standardise approuve, permettant souhaits
de modifier les applications de faon efficace Disparits entre les attentes et les exigences
Disponibilit systme rduite

Interroger les principaux employs concerns pour s'assurer qu'une procdure efficace et efficiente relative aux activits de maintenance des logiciels applicatifs a t labore pour
garantir l'application uniforme de toutes les modifications et qu'elle peut tre mise en uvre rapidement et efficacement.
Examiner la documentation associe cette procdure pour s'assurer qu'elle tient compte des questions importantes(planification et contrle de la mise disposition, planification des
ressources, correction des bugs et des erreurs, amliorations mineures, mise jour de la documentation, modifications d'urgence, interdpendance avec d'autres applications et avec les
infrastructures, stratgies de mise niveau, conditions contractuelles comme l'assistance et les mises jour, rexamen priodique par rapport aux besoins mtiers, risques et exigences de
scurit).
S'assurer auprs des principaux employs concerns que tous les changements lis la maintenance sont conformes la procdure officielle de gestion des changements, notamment
concernant l'impact sur l'infrastructure et les applications existantes.
Examiner la documentation approprie pour s'assurer que les modifications sont hirarchises afin d'identifier celles dont la gestion pourrait tre optimise sous la forme d'un
redveloppement officiel. Identifier tout cart par rapport la procdure officielle de gestion des changements.
Interroger les principaux employs concerns pour s'assurer que les modifications appliques en dehors de la procdure officielle de gestion des changements ont t contrles et
valides.
Examiner la documentation approprie pour identifier les modifications qui n'ont pas t contrles ni valides.
Interroger les principaux employs concerns pour s'assurer que des valuations rgulires des caractristiques et de l'ampleur des activits de maintenance permettent d'identifier les
volutions anormales.
Examiner la documentation sur les rsultats analytiques pour s'assurer que tous les problmes de performance ou de qualit sous-jacents sont correctement analyss et signals.
S'assurer auprs des principaux employs concerns que toutes les activits de maintenance ont t effectues avec succs et srieusement.
Inspecter les activits de maintenance pour s'assurer qu'elles englobent toutes les tches et toutes les phases, y compris la mise jour des interdpendances et de la documentation
d'utilisation, des systmes et d'exploitation.
Identifier toutes les modifications apportes aux conditions contractuelles, aux orientations mtiers ou aux autres mises niveau qui n'ont pas t prises en compte.
ANNEXE III
125
Examiner la documentation de conception du projet pour s'assurer que la conception est cohrente avec les plans mtiers, stratgies,
rglementations applicables et plans informatiques.
Se procurer un exemple de document de validation du projet et l'examiner pour dterminer si les projets ont t valids par l'assurance
qualit et si la conception gnrale a t correctement approuve par les parties prenantes mtiers et informatique (commanditaires du
projet).
Confirmer auprs de la DSI et examiner la documentation approprie pour dterminer si l'chantillon de spcifications techniques du projet
est conforme l'orientation technologique de l'entreprise et l'architecture de l'information.
Examiner les procdures et le plan d'intgration pour s'assurer de leur adquation.
Examiner la documentation du projet pour dterminer si l'impact de la nouvelle implmentation sur les applications et l'infrastructure
existantes a t valu et si les mthodes d'intgration appropries ont t prises en compte.
Examiner la documentation de fin d'tape pour s'assurer que toutes les activits de dveloppement ont t surveilles et que les demandes
de modification et les revues de conception et de performance qualit ont fait l'objet d'un suivi et ont t prises en compte dans les
discussions officielles de fin d'tape. S'assurer galement que les parties prenantes ont t pleinement reprsentes et que les revues de fin
d'tape incluent des critres de validation. Inspecter les journaux d'incidents, examiner la documentation et les validations pour vrifier
l'adquation des activits de dveloppement et identifier les carts.
Examiner la documentation de conception pour s'assurer que des solutions et mthodes appropries de scurit et de disponibilit sont
conues pour rpondre correctement aux exigences dfinies et pour exploiter ou accrotre les capacits d'infrastructure existantes.
Examiner la documentation d'assurance qualit et les journaux d'incidents pour s'assurer que toutes les exceptions significatives de qualit
sont identifies et que des mesures correctives sont prises. Examiner la documentation relative aux revues, rsultats, exceptions et
corrections d'assurance qualit pour s'assurer que les revues d'assurance qualit sont rptes si ncessaire.
Se procurer les demandes de modification et les examiner pour s'assurer qu'elles sont classes par catgories et priorits. S'assurer auprs
des principaux employs concerns que l'impact de toutes les demandes de modification a t valu.
Examiner les documents de contrle des modifications pour s'assurer que les modifications appliques en dehors de la procdure officielle
de gestion des changements ont t contrles et valides et pour identifier les modifications qui n'ont pas t contrles ni valides.
Inspecter les documents relatifs l'analyse des risques et dterminer si les risques mtiers et informatiques sont identifis, examins,
valus et compris par les mtiers et l'informatique et s'assurer que des lments indiquent que toutes les parties prenantes sont impliques.
Examiner les documents sur l'tude de faisabilit pour s'assurer que la faisabilit technique et la faisabilit conomique ont t prises en
compte de faon approprie.
Examiner la documentation sur les revues qualit, la comparer avec les critres d'acceptation initiaux et identifier les exceptions ou les
carts par rapport ces critres.
Examiner la documentation de fin d'tape pour s'assurer qu'une validation a t obtenue pour les dmarches proposes et/ou les
commentaires ncessitant une analyse de faisabilit plus approfondie.

Identifier les spcifications de conception qui ne correspondent pas aux besoins des utilisateurs.
Identifier les exigences de gestion des donnes qui ne sont pas conformes aux rgles du dictionnaire de donnes de l'entreprise.
Identifier les nouveaux projets de modification ou de dveloppement systme qui contiennent des exigences incorrectement dfinies en
termes de fichiers, de programmes, de slection des donnes source, de saisie, d'interface homme-machine, de traitement et de sortie et/ou
contrlabilit.
Identifier les conceptions dans lesquelles la scurit et la disponibilit n'ont pas t correctement prises en compte.
Identifier les dfauts de conception en matire d'intgrit des donnes.
Identifier les dfauts relatifs aux exigences du plan de test.
Identifier les anomalies significatives logiques et/ou techniques qui se sont produites pendant le dveloppement ou la maintenance du
systme, qui n'ont pas entran une rvaluation de la conception du systme et qui, par consquent, n'ont pas t corriges ou ont
occasionn la cration de correctifs inefficaces et onreux.

AI3 Acqurir une infrastructure technique et en assurer la maintenance
Les entreprises disposent de processus pour l'acquisition, la mise en place et la mise niveau de leur infrastructure technique. Cela exige une approche planifie de l'acquisition, de la
maintenance et de la protection de l'infrastructure en accord avec les stratgies technologiques adoptes et de disposer d'environnements de dveloppement et de test. On est ainsi sr de
disposer d'un support technique permanent pour les applications mtiers.
AI3.1 Plan d'acquisition d'une infrastructure technique Planification technologique cohrente Pas de modle d'acquisition
laborer un plan d'acquisition, de mise en place et de maintenance de Scurit optimise des systmes Infrastructure technologique incohrente
l'infrastructure technique qui rponde aux besoins fonctionnels et Utilisation quilibre du matriel informatique et Technologie incapable de rpondre aux besoins
techniques dfinis des mtiers, et qui soit en accord avec les des logiciels mtiers
orientations technologiques de l'entreprise.
Harmonisation avec le plan informatique Scurit de l'information mise en pril
stratgique, l'architecture de l'information et
l'orientation technologique
Planification financire optimise

S'assurer auprs du personnel qu'un plan d'acquisition, de mise en uvre et de mise niveau de l'infrastructure technologique a t cr et qu'il rpond aux exigences mtiers
fonctionnelles et techniques.
Examiner le plan pour s'assurer qu'il est conforme l'orientation technologique de l'entreprise et que tous les aspects cls sont pris en compte.
Vrifier et confirmer qu'un processus a t dfini et mis en uvre pour crer et appliquer un plan d'acquisition d'infrastructure conforme l'orientation technologique de l'entreprise.
Inspecter le plan d'acquisition d'infrastructure pour identifier les domaines dans lesquels les aspects cls, tels que les exigences, les risques, la transition et la migration, n'ont pas t pris
en compte.
Examiner l'valuation financire pour vrifier son exactitude et son exhaustivit.
ANNEXE III
127
AI3 Acqurir une infrastructure technique et en assurer la maintenance (suite)
128

AI3.2 Protection et disponibilit des ressources de Planification technologique cohrente Perturbation du traitement de la production
l'infrastructure Scurit optimise des systmes Contournement non dtect des contrles d'accs
Mettre en place des mesures de contrle interne, de scurit et Utilisation quilibre du matriel informatique et Accs non autoris des logiciels sensibles
d'auditabilit au cours de la configuration, de l'intgration et de la des logiciels Besoins mtiers non pris en charge par la
maintenance du matriel et des logiciels systme pour protger les
Confidentialit et intgrit des donnes technologie
ressources et assurer la disponibilit et l'intgrit. Ceux qui
dveloppent et intgrent les composants d'infrastructure doivent maintenues dans toutes les tapes du systme
clairement dfinir les responsabilits d'utilisation des composants
sensibles. Leur utilisation doit tre suivie et value.

S'assurer auprs des principaux employs concerns que tous les logiciels et les donnes d'infrastructure sont sauvegards avant les tches d'installation et/ou de maintenance. Inspecter
les journaux de sauvegarde pour s'assurer que les logiciels et les donnes d'infrastructure ont t effectivement sauvegards.
S'assurer auprs des principaux employs concerns que tous les logiciels applicatifs sont tests avant d'tre installs dans un environnement distinct de la production (mais
suffisamment similaire). Examiner les procdures et les spcifications des tests pour s'assurer que les tests portent sur la fonctionnalit, la scurit, la disponibilit et l'intgrit, et qu'ils
tiennent compte des recommandations du fournisseur.
Examiner la configuration des logiciels pour s'assurer que les aspects cls ont t pris en compte, notamment la modification des mots de passe par dfaut, le paramtrage initial des
applications en matire de scurit et les autres paramtres par dfaut du fournisseur.
Vrifier et confirmer que l'accs temporaire accord des fins d'installation est surveill et que les mots de passe sont modifis immdiatement aprs l'installation. Inspecter les
paramtres de scurit des applications pour s'assurer de leur conformit.
S'assurer auprs des principaux employs concerns que seuls les logiciels pour lesquels l'entreprise possde une licence approprie sont tests et installs et que les logiciels sont
installs conformment aux directives des fournisseurs. Identifier les situations dans lesquelles les directives du fournisseur n'ont pas t respectes et s'assurer que ce dernier a t
consult concernant les rpercussions potentielles.
S'assurer auprs des principaux employs concerns qu'un groupe indpendant (ex : bibliothcaire) bnficie d'un accs pour le dplacement des programmes et des donnes entre les
bibliothques. Le cas chant, examiner l'accs utilisateur au systme de gestion des bibliothques.
Localiser tous les utilisateurs dots d'un accs permettant d'archiver ou d'extraire des programmes et des donnes des bibliothques pour vrifier leurs formulaires initiaux de demande
d'accs et s'assurer que l'accs a t autoris par un cadre suprieur comptent.
Demander aux employs si les procdures de recette sont appliques l'aide de critres d'acceptation objectifs et si ces critres garantissent que les performances du produit sont
conformes aux spcifications et aux exigences adoptes. Examiner les spcifications adoptes et/ou les exigences de niveaux de service et les comparer avec les procdures de recette en
identifiant les domaines dans lesquels les procdures ne sont pas correctement suivies.
S'assurer auprs des principaux employs concerns que les activits de maintenance des lments d'infrastructure sensibles sont journalises et rgulirement contrles par un cadre
suprieur comptent.
Examiner les journaux de maintenance et s'assurer que tous les lments ont t enregistrs. Examiner la documentation approprie (ex : le tableau d'analyse des journaux et les rapports
priodiques de scurit du systme) pour s'assurer que les journaux sont rgulirement analyss.
AI3 Acqurir une infrastructure technique et en assurer la maintenance (suite)
AI3.3 Maintenance de l'infrastructure Contrats de maintenance contrls Perturbation du traitement de la production

Dvelopper une stratgie et un plan pour la maintenance de Procdures de maintenance efficaces Accs non autoris des logiciels sensibles
l'infrastructure et s'assurer que les modifications sont contrles Gestion oprationnelle du changement pour le Technologie incapable de rpondre aux besoins
conformment la procdure de gestion des changements de remplacement des logiciels mtiers
l'entreprise. Inclure des revues priodiques en fonction des besoins
Violation des contrats de licence
mtiers, de la gestion des correctifs, des stratgies de mise niveau,
des risques, de l'valuation des vulnrabilits et des exigences de
scurit.
S'assurer auprs des principaux employs concerns que la maintenance du processus logiciel de base install utilise la mme procdure que les mises jour d'application, le cas chant.
Examiner la maintenance planifie des logiciels systme et identifier les carts par rapport la procdure standard de mise jour des applications et/ou les exceptions aux procdures et
consignes des fournisseurs.
S'assurer auprs des principaux employs concerns que la documentation des logiciels systme est gre et tenue jour l'aide de la documentation du fournisseur, pour toutes les
activits de maintenance des systmes.
Examiner la documentation approprie et identifier les domaines dans lesquels elle est incomplte ou obsolte.
Interroger les principaux employs concerns pour vrifier le processus ou la mthode utilis pour connatre, en temps utile, la disponibilit des mises niveau et/ou des correctifs
proposs par les fournisseurs (ex : accord spcifique avec le fournisseur, adhsion un groupe d'utilisateurs du produit, abonnement une revue professionnelle).
Examiner un exemple de logiciel systme et s'assurer que les mises niveau et/ou correctifs ont t appliqus en temps utile.
Identifier tous les carts et/ou les exceptions.
Interroger les principaux employs concerns pour vrifier si le volume d'activit de maintenance ralise, la vulnrabilit de l'infrastructure non prise en charge et les futurs risques et
lacunes de scurit sont rgulirement passs en revue.
Effectuer une valuation de ces bilans et noter les domaines dans lesquels les risques identifis par l'valuation n'ont pas t abords par les principaux employs concerns.
Examiner les journaux de suivi de la maintenance et les outils de retour d'exprience pour s'assurer que les rsultats de ces bilans sont communiqus au comit informatique ou un
groupe quivalent et qu'ils sont pris en compte dans le processus de planification de l'infrastructure.
AI3.4 Environnement de test de faisabilit Mesures efficaces pour justifier le remplacement Perturbation de l'activit
Mettre en place des environnements de tests et de dveloppement des logiciels Vandalisme
pour favoriser une faisabilit efficace et efficiente et pour tester Dtection des erreurs et des problmes avant qu'ils
l'intgration des composants de l'infrastructure. ne se rpercutent sur le traitement de la production
ANNEXE III
S'assurer auprs des principaux employs concerns qu'une approche conforme aux plans informatiques stratgiques est conue pour permettre la cration d'environnements de tests et
de simulation adapts et la vrification de la faisabilit des acquisitions ou dveloppements prvus.
129
Examiner les plans d'acquisitions d'infrastructure pour s'assurer qu'ils ont t contrls et valids et que les risques, les cots et bnfices et
la conformit technique ont t pris en compte. Inspecter les plans pour s'assurer qu'ils ont t approuvs par le comit informatique ou
quivalent.
S'assurer auprs des principaux employs concerns que toutes les exigences de scurit associes aux procdures d'installation et de
maintenance des logiciels applicatifs ont t prises en compte et que tous les risques nouveaux ont t valus et traits.
S'assurer auprs des responsables de la formation et des principaux employs qui utilisent les composants d'infrastructure sensibles qu'une
formation approprie a t dispense.
S'assurer auprs des principaux employs concerns qu'un plan et une stratgie sont en place pour orienter la maintenance de l'infrastructure
conformment aux procdures de gestion des changements. Inspecter la documentation approprie relative aux plans pour s'assurer qu'elle
porte sur tous les aspects des exigences de maintenance de l'infrastructure (demandes de changement, correctifs, mises niveau,
rparations, etc.). S'assurer galement que la stratgie et le plan sont en harmonie avec l'orientation technologique de l'entreprise, qu'ils sont
contrls en temps utile et valids par les dirigeants comptents.
S'assurer que la mthode utilise pour sparer les environnements systme dans les phases de dveloppement et de test est approprie.
S'assurer qu'un environnement de tests a t cr et qu'il tient compte de la configuration des fonctionnalits, du matriel et des logiciels,
des tests d'intgration et de performance, de la migration d'un environnement un autre, du contrle des versions, des donnes et des outils
de tests, et de la scurit.

Identifier les problmes de performance qui ont des rpercussions sur les performances gnrales du systme.
Identifier les problmes de maintenance prventive qui ont des rpercussions sur les performances gnrales du systme.
Identifier les dysfonctionnements, en matire de configuration, d'installation et de maintenance des logiciels systme (dont la slection de
paramtres logiciels inappropris), qui ont port atteinte la scurit des donnes et des programmes stocks sur le systme.
Identifier les dysfonctionnements, en matire de test des logiciels systme, qui pourraient porter atteinte la scurit des donnes et des
programmes stocks sur le systme.
Identifier les dysfonctionnements de la procdure de contrle des modifications des logiciels systme qui pourraient porter atteinte la
scurit des donnes et des programmes stocks sur le systme.

AI4 Faciliter le fonctionnement et l'utilisation
Les connaissances sur les nouveaux systmes sont rendues disponibles. Ce processus impose de produire de la documentation et des manuels pour les utilisateurs et pour l'informatique, et de
proposer des formations pour assurer une bonne utilisation et un bon fonctionnement des applications et de l'infrastructure.
AI4.1 Planification pour rendre les solutions exploitables Manuels d'utilisation et d'exploitation cohrents Changements trop tardifs
Dvelopper un plan pour identifier et documenter tous les aspects Soutien de la formation des utilisateurs Disparits entre les attentes et la capacit
techniques, d'exploitation et d'utilisation, de faon ce que toutes les Optimisation de la qualit de service Priorit inadapte donne aux diffrents services
personnes charges de l'exploitation, de l'utilisation et de la fournis
maintenance des solutions automatises puissent exercer leurs
Budgets et ressources inappropris pour
responsabilits.
remdier aux disparits

S'assurer auprs des principaux employs concerns que les procdures d'exploitation et les manuels d'utilisation (y compris l'aide en ligne) ont t dfinis et documents avant la mise
en uvre d'infrastructures ou de systmes automatiss nouveaux ou mis niveau.
Inspecter la documentation approprie pour vrifier la responsabilit de la production des procdures de gestion, des procdures utilisateurs et des procdures oprationnelles relatives
aux infrastructures ou systmes automatiss nouveaux ou mis niveau.
AI4.2 Transfert de la connaissance au secteur mtier Transfert des connaissances au sein de l'entreprise Changements trop tardifs
Transfrer la connaissance aux responsables mtiers pour leur Qualit homogne dans toutes les quipes Disparits entre les attentes et la capacit
permettre d'assumer la proprit des systmes et des donnes et concernes Priorit inadapte donne aux diffrents services
d'exercer la responsabilit de la livraison de services et de la qualit, Soutien efficace des mtiers fournis
du contrle interne et de l'administration des applications.
Manuels d'utilisation favorisant les processus Budgets et ressources inappropris pour
mtiers remdier aux disparits

Interroger les principaux employs concerns pour s'assurer que le management connat parfaitement la procdure permettant de prendre possession du systme et de le faire fonctionner
(ex : autorisation d'accs, gestion des droits, sparation des tches, contrles mtiers automatiss, sauvegarde/restauration, scurit physique, archivage des donnes source).
Examiner les supports de formation et d'implmentation pour dterminer si la procdure dfinie inclut le contenu requis.
Interroger les principaux employs concerns pour s'assurer que le management connat le mcanisme de retour d'exprience et est en mesure de l'utiliser pour valuer l'adquation de la
documentation d'assistance, des procdures et de la formation correspondante.
Interroger le personnel des directions mtiers pour valuer sa capacit utiliser le systme efficacement.
ANNEXE III
Inspecter les principales fonctions systme avec le personnel des directions mtiers pour identifier les domaines dans lesquels une formation supplmentaire serait utile.
Examiner et valuer les supports de formation pour identifier les sujets non traits ou mal expliqus.
131
AI4 Faciliter le fonctionnement et l'utilisation (suite)
132

AI4.3 Transfert des connaissances aux utilisateurs finaux Transfert des connaissances aux parties prenantes Utilisation incohrente du systme
Transfrer les connaissances et les comptences pour permettre aux Formation efficace et efficiente Documentation insuffisante
utilisateurs finaux d'utiliser le systme avec efficacit et efficience au Optimisation du fonctionnement et de l'utilisation Confiance accrue envers les principaux
bnfice des processus mtiers. du systme employs
Problmes rencontrs lors des activits
quotidiennes
Formation ne rpondant pas aux besoins des
utilisateurs
Service d'assistance surcharg
Interroger les principaux employs propos de la sensibilisation du groupe d'utilisateurs et de leur connaissance du processus permettant d'utiliser efficacement le systme applicatif au
bnfice des processus mtiers (ex : formation et perfectionnement des comptences, supports de formation, manuels d'utilisation, manuels de procdure, aide en ligne, service
d'assistance, identification des utilisateurs cls, valuation).
Interroger les principaux employs concerns pour s'assurer que l'utilisateur connat le mcanisme de retour d'exprience et est en mesure de l'utiliser pour valuer l'adquation de la
documentation d'assistance, des procdures et de la formation correspondante.
AI4.4 Transfert des connaissances vers le personnel de Transfert des connaissances aux parties prenantes Documentation insuffisante
l'exploitation et du support Formation efficace et efficiente Confiance accrue envers les principaux
Transfrer les connaissances et les savoir-faire pour permettre au Optimisation du fonctionnement et du support employs
personnel de l'exploitation et du support technique de travailler avec systme Problmes rencontrs lors des activits
efficacit et efficience, de fournir l'assistance et la maintenance
Approches dfinies officiellement pour toutes les quotidiennes
ncessaires au systme et l'infrastructure associe.
tapes de dveloppement des applications Formation ne rpondant pas aux besoins de
l'exploitation ou du support technique

Service d'assistance surcharg
Interroger les principaux employs propos de la sensibilisation du personnel d'exploitation et du support technique et de sa connaissance du processus permettant de travailler avec
efficacit et efficience, de fournir l'assistance et la maintenance ncessaires au systme d'applications et l'infrastructure associe, en maintenant les niveaux de services requis (ex :
formation et perfectionnement des comptences, supports de formation, manuels d'utilisation, manuels de procdure, aide en ligne, scnarios du service d'assistance).
Interroger les principaux employs concerns pour s'assurer que le personnel d'exploitation et du support technique connat le mcanisme de retour d'exprience et est en mesure de
l'utiliser pour valuer l'adquation de la documentation d'assistance, des procdures et de la formation correspondante.
Dterminer si les employs du service d'exploitation et du support technique participent l'laboration et la gestion de la documentation d'exploitation et de support technique.
Identifier les domaines dans lesquels les procdures de soutien oprationnel ne sont pas intgres dans les procdures de soutien oprationnel existantes.
ANNEXE III
Pour un chantillon de projets de fourniture de solutions, inspecter la documentation pour dterminer si des manuels d'utilisation et de
procdures d'exploitation sont disponibles.
valuer les connaissances du management pour dterminer si les membres du management ont dirig la cration de procdures de gestion
pour leurs secteurs d'activit (ex : autorisation d'accs, gestion des droits, sparation des tches, contrles mtiers automatiss,
sauvegarde/restauration, scurit physique, archivage des donnes source). S'assurer que ces procdures sont intgres dans les procdures
de gestion et de contrle existantes et mener une enqute pour dterminer si le management est conscient des anomalies.
Inspecter les applications nouvelles ou mises niveau avec les directions mtiers pour identifier les domaines dans lesquels une formation
supplmentaire est ncessaire. Examiner et valuer les supports de formation utiliss.
Inspecter un chantillon de documents de retour d'exprience pour dterminer si les mcanismes de retour d'exprience appropris ont t
utiliss pour laborer la documentation d'assistance, les procdures et la formation correspondante.
valuer la participation des utilisateurs la cration de procdures utilisateur pour leurs secteurs d'activit (ex : formation et
perfectionnement des comptences, supports de formation, manuels d'utilisation, manuels de procdure, aide en ligne, service d'assistance,
identification des utilisateurs cls, valuation). S'assurer que ces procdures sont intgres dans les procdures de contrle et d'utilisation
existantes (ex : entres/sorties systme, intgration systme, messages d'erreur) et mener une enqute pour dterminer si les utilisateurs sont
conscients des anomalies.
Inspecter les infrastructures et applications nouvelles ou mises niveau avec le personnel de la direction de l'exploitation et du support
technique pour identifier les domaines dans lesquels une formation supplmentaire serait utile. Examiner et valuer les supports de
formation pour dterminer s'ils sont appropris.
valuer la participation du personnel d'exploitation et du support technique la cration de procdures d'exploitation et de support
technique pour leurs secteurs d'activit (ex : formation et perfectionnement des comptences, supports de formation, manuels d'utilisation,
manuels de procdure, aide en ligne, scnarios du service d'assistance). S'assurer que ces procdures (ex : sauvegarde,
redmarrage/restauration, diffusion des rapports/rsultats, rparations d'urgence, paramtres/commande de l'oprateur, remonte des
problmes) sont intgres dans les procdures existantes du personnel d'exploitation et de support technique. Mener une enqute pour
dterminer si les membres du personnel d'exploitation et de support technique sont conscients des anomalies.

valuer le cot et l'inefficacit oprationnelle d'une formation inadapte et/ou de procdures d'utilisation et d'exploitation inappropries.
Identifier les lacunes des manuels d'utilisation, d'exploitation et de formation.

AI5 Acqurir des ressources informatiques
134

On a besoin d'acqurir des ressources informatiques. Elles comprennent les personnes, le matriel, le logiciel et les services. Cela exige de dfinir et d'appliquer des procdures de
recrutement et dachat, la slection des fournisseurs, l'tablissement d'arrangements contractuels, et l'acte lui-mme de se procurer ces ressources. C'est ainsi qu'on peut assurer l'entreprise
toutes les ressources informatiques requises au bon moment et au meilleur cot.
AI5.1 Contrle des achats Relations avec les fournisseurs optimises Inconstance des fournisseurs concernant la
Dvelopper et suivre un ensemble de procdures et de standards Excellente contribution aux processus mtiers et satisfaction des exigences
conformes au processus gnral et la stratgie d'acquisition de informatiques Vulnrabilits commerciales et contractuelles en
l'entreprise pour acheter l'infrastructure, les installations, les Achats favorisant la ralisation des objectifs matire d'achats
matriels, logiciels et services informatiques dont l'entreprise a
mtiers et informatiques fixs Solutions automatises non conformes aux plans
besoin.
court terme et long terme de l'entreprise
Qualit insuffisante des logiciels dans les
solutions achetes
Manque de matrise des cots

Interroger les principaux employs concerns pour s'assurer que la procdure d'achats informatiques et la stratgie d'acquisition sont conformes aux procdures et politiques
d'approvisionnement de l'entreprise (ex : exigences lgales, conformit la politique d'achats informatiques de l'entreprise, exigences en matire de licences et de crdit-bail, clauses de
mise niveau technologique, implication des divisions mtiers, cot total de possession, plan d'acquisition pour les achats de grande ampleur, enregistrement des actifs).
Inspecter les politiques et procdures de gestion de projet pour valuer la conformit aux politiques et procdures d'achat de l'entreprise.
AI5.2 Gestion des contrats fournisseurs Buts et objectifs des relations investisseurs Manque de matrise des cots
Mettre en place, pour tous les fournisseurs, une procdure pour clairement dfinis Disparits entre les attentes de l'entreprise et les
tablir, modifier et mettre un terme aux contrats. Cette procdure doit Gestion efficace de l'acquisition des ressources comptences des fournisseurs
recouvrir, au minimum, les responsabilits lgales, financires et Excellente contribution aux processus mtiers et Cots des services supports non dfinis
civiles, ainsi que celles qui sont lies la documentation, la
informatiques Services incapables de reflter les exigences
performance, la scurit, la proprit intellectuelle et la

rsiliation (y compris les clauses pnales). Tous les contrats doivent mtiers
tre examins par des conseillers juridiques ainsi que toutes les Manque de soutien oprationnel
modifications.
Interroger les principaux employs concerns pour s'assurer que les politiques et standards sont mis en place pour passer des contrats avec les fournisseurs. Ces politiques et standards
doivent porter sur les responsabilits des clients et fournisseurs, les contrats de service (CS) des fournisseurs, la surveillance des CS et les rapports correspondants, les procdures de
transition, les procdures de notification et de remonte d'informations, les normes de scurit, les exigences de contrle et de gestion des enregistrements, et les pratiques d'assurance
qualit obligatoires des fournisseurs. Les contrats doivent galement inclure les aspects juridiques, financiers, organisationnels, documentaires, relatifs aux performances, la scurit,
l'auditabilit, la proprit intellectuelle et la responsabilit oprationnelle et finale.
AI5 Acqurir des ressources informatiques (suite)
AI5.3 Choix des fournisseurs Contribution aux nouvelles ides et pratiques Slection inapproprie des fournisseurs
Choisir les fournisseurs en suivant une procdure officielle et Participation permanente aux objectifs de Soutien inappropri pour la ralisation des
quitable pour garantir la meilleure adaptation durable aux exigences l'entreprise au-del des CS des fournisseurs objectifs de l'entreprise
spcifies. Celles-ci doivent tre optimises l'aide des propositions Disparits entre les exigences et la capacit des
de fournisseurs potentiels.
fournisseurs

Interroger les principaux employs concerns pour s'assurer que la procdure d'achats informatiques et la stratgie d'acquisition sont conformes aux procdures et politiques
d'approvisionnement de l'entreprise (ex : exigences lgales, conformit la politique d'achats informatiques de l'entreprise, exigences en matire de licences et de crdit-bail, clauses de
mise niveau technologique, implication des divisions mtiers, cot total de possession, plan d'acquisition pour les achats de grande ampleur, enregistrement des actifs).
Inspecter les politiques et procdures de gestion de projet pour valuer la conformit aux politiques et procdures d'achat de l'entreprise.
Vrifier et confirmer que les procdures d'achat de logiciels incluent les droits et obligations de toutes les parties et en assurent l'application (ex : proprit et concession de licences
touchant aux droits de proprit intellectuelle ; garanties de maintenance ; procdures d'arbitrage ; modalits de mise niveau ; adquation aux besoins, notamment en matire de
scurit, dpt de garantie et droits d'accs). Pour un chantillon d'achats de logiciels, inspecter la documentation approprie et dterminer si les modalits contractuelles incluent les
droits et obligations de toutes les parties.
Vrifier et confirmer que les procdures d'achat de ressources de dveloppement incluent les droits et obligations de toutes les parties et en assurent l'application (vrifier, par exemple,
la proprit et la concession de licences touchant aux droits de proprit intellectuelle ; l'adquation aux besoins, notamment en matire de mthodologies de dveloppement ; les
langages, les tests, les processus de gestion de la qualit dont les critres de performance requis, les revues de performance, les conditions de rglement, les garanties, les procdures
d'arbitrage, la gestion des ressources humaines et la conformit aux politiques de l'entreprise).
Dterminer si des conseils juridiques ont t obtenus sur les contrats d'acquisition de ressources de dveloppement concernant la proprit et la concession de licences touchant aux
droits de proprit intellectuelle.
Pour un chantillon d'achats de ressources de dveloppement, inspecter la documentation approprie et dterminer si les modalits contractuelles incluent les droits et obligations de
toutes les parties.
Vrifier et confirmer que les procdures d'achat d'infrastructures, d'installations et de services connexes incluent les droits et obligations de toutes les parties et en assurent l'application
(ex : niveaux de service, procdures de maintenance, contrles d'accs, scurit, revues de performance, conditions de paiement et procdures d'arbitrage).
Pour un chantillon d'achats d'infrastructures, d'installations et de services connexes, inspecter la documentation approprie et dterminer si les modalits contractuelles incluent les
droits et obligations de toutes les parties.
Vrifier et confirmer que les demandes d'informations et les demandes de proposition sont values conformment aux critres et processus valids.
Dterminer si la gestion des pices justificatives est efficace.
ANNEXE III
135
AI5 Acqurir des ressources informatiques (suite)
136

AI5.4 Acquisition de ressources informatiques Gestion des incidents efficiente et efficace Mises jour logicielles non disponibles au
Protger et veiller au respect des intrts de l'entreprise dans tous les Systmes fonctionnant comme prvu et non sujets moment souhait
accords contractuels d'acquisition, y compris les droits et obligations aux dysfonctionnements Logiciels incapables de soutenir les processus
de toutes les parties dans les clauses contractuelles en rapport avec Possibilit de remdier aux incidents dans des mtiers
l'acquisition des logiciels, des ressources de dveloppement, des
dlais appropris Impossibilit d'appliquer les modifications
infrastructures et des services.
d'applications comme prvu
Systme sujet aux problmes et incidents,
entranant la perturbation des activits

Dterminer si tous les contrats d'acquisition sont vrifis.
tudier les contrats, les comparer la documentation rglementaire et dterminer s'ils sont conformes la politique de l'entreprise.
Dterminer si les acquisitions sont contrles et valides par le personnel comptent et si des conseils juridiques sont obtenus.
Inspecter la documentation relative au contrle et la validation des contrats.
Demander si des procdures communes sont mises en place et utilises pour l'acquisition de logiciels, d'infrastructures et d'installations.
Inspecter les processus pour dterminer s'ils fonctionnent efficacement.
Demander si les droits et obligations de toutes les parties prenantes l'achat sont valus dans les processus d'acquisition. Ces droits et obligations peuvent inclure :
l'autorisation
les niveaux de service
les procdures de maintenance
les contrles d'accs
la scurit
les revues de performance
les conditions de paiement
les procdures d'arbitrage.
Pour un chantillon reprsentatif d'achats, dterminer si les droits et obligations de toutes les parties sont valus.
Vrifier si la procdure d'achat tient compte de tous les droits et obligations, qui peuvent inclure :
la proprit et la concession de licences touchant aux droits de proprit
la maintenance
les garanties et procdures d'arbitrage

les modalits de mise niveau
l'adquation aux besoins, notamment en matire de scurit
le dpt de garantie et les droits d'accs.
Dterminer si les exigences d'tablissement de rapports de gestion relatifs aux acquisitions sont prises en compte.
Vrifier si une procdure de recette et d'valuation de la qualit a t tablie et utilise pour tous les achats et dterminer si cette procdure est efficacement applique tous les achats,
avant le paiement.
Vrifier si tous les achats de logiciels et de matriel informatique sont enregistrs.
Slectionner un chantillon reprsentatif d'achats et s'assurer qu'ils sont consigns dans les registres des actifs.
ANNEXE III
Pour un chantillon d'achats rcents, dterminer si la mthode de slection a tenu compte des risques spcifiques de l'achat (ex : satisfaction
des exigences mtiers fonctionnelles et techniques, prise en compte des risques identifis dans le rapport d'analyse des risques, conformit
aux dcisions d'achat).
Examiner les preuves d'autorisations au niveau des principaux points de dcision pour un chantillon d'achats informatiques, y compris la
preuve des autorisations de lencadrement suprieur sur les sections non conformes aux politiques standard.
Pour un chantillon de contrats, dterminer si seuls les fournisseurs autoriss ont t utiliss.
Pour un chantillon de contrats fournisseurs et de contrats d'acquisition, comparer les demandes d'informations et les demandes de
proposition et dterminer si les critres tablis ont t respects.
Vrifier et confirmer que les procdures d'achat de logiciels incluent les droits et obligations de toutes les parties et en assurent l'application
(ex : proprit et concession de licences touchant aux droits de proprit intellectuelle ; garanties de maintenance ; procdures d'arbitrage ;
modalits de mise niveau ; adquation aux besoins, notamment en matire de scurit, dpt de garantie et droits d'accs). Pour un
chantillon d'achats de logiciels, inspecter la documentation approprie et dterminer si les modalits contractuelles incluent les droits et
obligations de toutes les parties.
Vrifier et confirmer que les procdures d'achat de ressources de dveloppement incluent les droits et obligations de toutes les parties et en
assurent l'application (vrifier, par exemple, la proprit et la concession de licences touchant aux droits de proprit intellectuelle ;
l'adquation aux besoins, notamment en matire de mthodologies de dveloppement ; les langages, les tests, les processus de gestion de la
qualit dont les critres de performance requis, les revues de performance, les conditions de rglement, les garanties, les procdures
d'arbitrage, la gestion des ressources humaines et la conformit aux politiques de l'entreprise).
Dterminer si des conseils juridiques ont t obtenus sur les contrats d'acquisition de ressources de dveloppement concernant la proprit
et la concession de licences touchant aux droits de proprit intellectuelle.
Vrifier et confirmer que les procdures d'achat d'infrastructures, d'installations et de services connexes incluent les droits et obligations de
toutes les parties et en assurent l'application (ex : niveaux de service, procdures de maintenance, contrles d'accs, scurit, revues de
performance, conditions de paiement et procdures d'arbitrage).
Pour un chantillon d'achats d'infrastructures, d'installations et de services connexes, inspecter la documentation approprie et dterminer si
les modalits contractuelles incluent les droits et obligations de toutes les parties.
Vrifier et confirmer que les demandes d'informations et les demandes de proposition ont t values conformment aux critres et
processus valids. Dterminer si la gestion des pices justificatives est efficace.

valuer l'impact sur la dure et les cots en cas d'achat informatique non conforme la politique d'achat de l'entreprise.
valuer l'impact sur la dure et les cots en cas d'achat informatique non conforme aux exigences mtiers, lgales et contractuelles.
valuer les consquences juridiques d'un processus de slection des fournisseurs et acquisitions qui ne serait pas conforme aux exigences
lgales et contractuelles.

138

Tous les changements, y compris la maintenance et les correctifs d'urgence, concernant l'infrastructure et les applications de l'environnement de production doivent tre grs et contrls de
faon formelle. Les changements (y compris ceux qui s'appliquent aux procdures, processus, paramtres systmes et services) sont journaliss, valus et autoriss avant mise en place, et
confronts aux rsultats attendus ds leur mise en uvre. Cela rduit les risques de consquences ngatives pour la stabilit ou l'intgrit de l'environnement de production.
AI6.1 Standards et procdures de changement Une approche standardise approuve, permettant Affectation inapproprie des ressources
Mettre en place des procdures formelles de gestion des changements de grer les changements de faon efficace et Pas de suivi des changements
pour traiter de faon standardise toutes les demandes de efficiente Contrle insuffisant des changements d'urgence
modifications (y compris maintenance et correctifs) des applications, Changements contrls et valids de faon Plus grande probabilit que des changements
procdures, processus, paramtres systmes et services, et des plates-
cohrente et coordonne non autoriss soient introduits dans les systmes
formes sur lesquelles ils s'appuient.
Mesure des performances et perspectives mtiers cls
officiellement dfinies Incapacit respecter les exigences de
conformit
Changements non autoriss
Disponibilit systme rduite

Vrifier et confirmer que les processus et procdures permettant de grer les demandes de modification (y compris maintenance et correctifs) s'appliquent aux applications, procdures,
processus, paramtres systme et services, ainsi qu'aux plates-formes sur lesquelles ils s'appuient.
Examiner le cadre de gestion des changements pour dterminer s'il inclut :
la dfinition des rles et responsabilits
la classification (ex : entre l'infrastructure et les logiciels applicatifs) et la hirarchisation de tous les changements
l'valuation de l'impact, l'autorisation et la validation
le suivi des changements
le mcanisme de contrle des versions
l'impact sur intgrit des donnes (ex : toutes les modifications des fichiers de donnes effectues par le biais du systme et des applications plutt que par une intervention humaine
directe)
la gestion des changements, de l'initiative jusqu'au contrle et la clture de la procdure
la dfinition des procdures de restauration
l'utilisation de procdures de changement d'urgence
la planification de la continuit des activits
l'utilisation d'un systme de gestion des enregistrements

les pistes d'audit
la sparation des tches
Vrifier et confirmer que les processus et procdures relatifs aux prestataires de services sous contrat (ex : infrastructure, dveloppement d'applications, fournisseurs de services
applicatifs, services partags) sont inclus dans la procdure de gestion des changements.
Dterminer si les processus et les procdures incluent les modalits contractuelles et les contrats de service (CS).
AI6 Grer les changements (suite)
AI6.2 valuation de l'impact, choix des priorits et autorisation Une approche standardise approuve, permettant Consquences indirectes non intentionnelles
valuer toutes les demandes de changements de faon structure pour d'valuer l'impact de faon efficace et efficiente Effets ngatifs sur la capacit et les
dterminer l'impact sur le systme en exploitation et sur ses Perspectives d'impact des changements performances de l'infrastructure
fonctionnalits. S'assurer que les changements sont classs par officiellement dfinies, en fonction du risque Gestion des priorits insuffisante en matire de
catgories, par priorits et qu'ils sont autoriss.
mtiers et de la mesure des performances changements
Procdure de modification cohrente

Vrifier et confirmer que la procdure de gestion des changements permet aux propritaires des processus mtiers et l'informatique de demander des modifications de l'infrastructure,
des systmes ou des applications.
Vrifier et confirmer que les changements demands sont classs par catgories (ex : infrastructures, systmes d'exploitation, rseaux, systmes applicatifs, logiciels applicatifs
achets/cls en main).
Interroger les principaux employs concerns pour s'assurer que les changements demands sont classs par priorits en fonction de critres prdfinis (ex : besoins mtiers et techniques
conduisant au changement et exigences lgales, rglementaires et contractuelles).
Vrifier et confirmer que les demandes de changement sont values et documentes l'aide d'une mthode structure tenant compte de l'analyse d'impact sur l'infrastructure, les
systmes et les applications.
Vrifier et confirmer que les incidences juridiques et contractuelles, ainsi qu'en termes de scurit et de conformit, sont prises en compte dans le processus d'valuation du changement
demand et que les propritaires des processus mtiers sont impliqus.
Vrifier et confirmer que chaque changement demand est officiellement valid par les propritaires des processus mtiers et par les parties prenantes techniques des SI.
Examiner un chantillon reprsentatif des demandes de gestion des modifications pour s'assurer qu'elles ont t correctement values, classes par priorits et contrles.
ANNEXE III
139
140

AI6.3 Modifications d'urgence Une approche standardise approuve, permettant Incapacit rpondre efficacement aux besoins
Mettre en place un processus pour dfinir, susciter, tester, de grer les changements de faon efficace et de modifications d'urgence
documenter, valuer et autoriser les modifications d'urgence qui ne efficiente Suppression inapproprie de l'autorisation
suivent pas le processus de changement tabli. Mesure des performances et perspectives de d'accs supplmentaire
modifications d'urgence officiellement dfinies Application de modifications non autorises,
Procdure cohrente de modification d'urgence mettant en pril la scurit et gnrant un accs
non autoris aux donnes de l'entreprise
Vrifier et confirmer que la procdure globale de gestion des changements inclut des procdures de modification d'urgence (ex : dfinir, susciter, tester, documenter, valuer et autoriser
les modifications d'urgence).
Examiner la documentation relative un chantillon reprsentatif de modifications d'urgence et, en interrogeant les principaux employs concerns, dterminer si les modifications
d'urgence sont mises en uvre conformment la procdure de gestion des changements.
Interroger les principaux employs concerns pour s'assurer que les mesures d'accs d'urgence sont autorises, documentes et annules une fois la modification applique.
Vrifier et confirmer qu'une revue post-implmentation des modifications d'urgence est effectue.
AI6.4 Suivi et compte-rendu des changements Une approche standardise approuve, permettant Affectation insuffisante des ressources
Mettre en place un systme de suivi et de reporting pour documenter de grer les changements de faon efficace et Absence de consignation et de suivi des
les modifications refuses, communiquer la situation des efficiente modifications
modifications autorises et en cours, et finaliser les modifications. Mesure des performances et perspectives Dtection inexistante des modifications non
S'assurer que les modifications autorises sont mises en uvre
officiellement dfinies autorises appliques l'environnement de
comme prvu.
Procdure de modification cohrente production

Vrifier et confirmer qu'une procdure tablie permet aux demandeurs et aux parties prenantes de suivre la situation des demandes au cours des diffrentes tapes de la procdure de
gestion des changements.
Vrifier et confirmer que le systme de suivi et de reporting surveille l'tat des demandes de changement (ex : refuse, autorise mais pas entreprise, autorise, en cours).
Vrifier et confirmer que le management contrle et surveille l'tat dtaill des changements et l'tat gnral (analyse d'anciennet des demandes de changement).
Vrifier et confirmer que les changements initis et valids sont clturs en temps utile, en fonction de leur priorit.
AI6.5 Clture et documentation des changements Une approche standardise approuve, permettant Dpendance accrue vis--vis d'individus cls
Chaque fois qu'on met en place des changements, mettre jour les de documenter les changements Documents de configuration ne refltant pas la
systmes associs, la documentation utilisateur et les procdures. Perspectives officiellement dfinies configuration actuelle du systme
Procdures cohrentes de modification et de Manque de documentation relative aux
documentation processus mtiers
Absence de mises jour suite aux changements
de matriel et de logiciels
Vrifier et confirmer que la documentation relative aux changements (ex : procdures d'exploitation, informations sur la configuration, documentation des applications, crans d'aide,
supports de formation) est tenue jour.
Vrifier et confirmer que la documentation relative aux changements (ex : documentation utilisateur et systme pr-implmentation et post-implmentation) est conserve.
Vrifier et confirmer que la documentation sur les processus mtiers est mise jour par rapport aux changements appliqus au matriel et aux logiciels.
ANNEXE III
141
Pour un chantillon de modifications, s'assurer que les lments suivants ont t valids par les parties prenantes concernes (propritaires
des processus mtiers et DSI) :
Demande de changement
Description du changement
Accs au programme source
Application de la modification par le programmeur
Demande de dplacement de la source dans l'environnement de test
Ralisation du test de recette
Demande de compilation et mise en production
Dtermination et acceptation de l'impact global et spcifique sur la scurit
laborer un processus de distribution.
Examiner la documentation relative au contrle des modifications pour s'assurer qu'elle contient les lments suivants :
Date du changement demand
Noms des demandeurs
Validation de la demande de changement
Validation du changement effectu (service informatique)
Validation du changement effectu (utilisateurs)
Date de mise jour de la documentation
Date de la mise en production
Validation du changement par le service d'assurance qualit
Acceptation par le service d'exploitation
Pour un chantillon de modifications, examiner la documentation pour vrifier l'existence d'un mcanisme de contrle des versions.
Pour un chantillon de modifications relatives aux prestataires de services sous contrat, examiner les changements mis en uvre et
dterminer s'ils sont conformes aux instructions fournies par le prestataire.
Examiner un chantillon de modifications et dterminer si les demandes ont t classes par catgories.
Examiner un chantillon de modifications et dterminer si elles ont t classes par priorits en fonction de critres prdfinis.
Examiner un chantillon de modifications et dterminer si elles ont t values selon une mthode structure (ex : incidences juridiques,
contractuelles, en termes de scurit et de conformit, sont prises en compte et les propritaires des processus mtiers sont impliqus).
Examiner un chantillon de modifications d'urgence et s'assurer qu'elles ont t appliques conformment au cadre de gestion des
changements. S'assurer que les procdures ont t respectes pour autoriser, documenter et annuler l'accs une fois la modification faite.
Examiner un chantillon de modifications d'urgence et dterminer si une revue post-implmentation a t ralise une fois les modifications
appliques. tudier les incidences sur la maintenance ultrieure du systme applicatif, l'impact sur les environnements de tests et de
dveloppement, la qualit de dveloppement des logiciels applicatifs, la documentation et les manuels, ainsi que l'intgrit des donnes.
Inspecter le systme de suivi et de reporting et s'assurer que la documentation tient compte des modifications refuses, de l'tat des
modifications valides et en cours et des modifications termines, et s'assurer auprs des utilisateurs que l'tat est jour.
Examiner un chantillon de rapports de situation des changements pour dterminer si une piste d'audit est utilise pour suivre les
changements, de leur origine leur achvement.
Examiner un chantillon de rapports de situation des changements pour dterminer si des mesures de performance sont utilises pour aider
le management contrler et surveiller les oprations.
Examiner un chantillon de modifications pour dterminer si la documentation s'y rapportant a t conserve pendant la priode d'archivage
approprie.
Examiner les manuels des processus mtiers pour dterminer s'ils ont t mis jour pour tenir compte des fonctionnalits nouvelles ou
amliores des logiciels et du matriel.
Slectionner un chantillon de modifications et valuer la qualit de la coordination avec les tiers.
Confirmer le processus d'valuation des performances de la procdure de gestion des changements. valuer toutes les amliorations
potentielles identifies qui se sont traduites par des recommandations la DSI en vue d'amliorer la procdure de gestion des changements.

valuer l'impact sur la dure et les cots de l'absence de standards et procdures officiels de gestion des changements (ex : affectation
inapproprie des ressources, rles et responsabilits mal dfinies, failles de scurit, absence de procdures de restauration, absence de
documentation et de pistes d'audit, formation inadquate).
valuer l'impact sur la dure et les cots de l'absence d'une valuation d'impact officielle permettant de classer les changements par
priorits et des les autoriser.
valuer l'impact sur la dure et les cots de l'absence de standards et procdures officiels de modifications d'urgence (ex : compromission
de la scurit, impossibilit de supprimer correctement les autorisations d'accs supplmentaires, accs non autoris aux donnes de
l'entreprise).
valuer l'impact de l'absence de suivi et de reporting des changements (ex : affectation insuffisante des ressources, gestion des priorits
insuffisante, absence de consignation et de suivi des modifications, dtection inexistante des modifications non autorises apportes
l'environnement de production).
valuer l'impact du manque de documentation systme et utilisateur (ex : dpendance accrue vis--vis d'individus cls, documents de
configuration ne refltant pas la configuration actuelle du systme, manque de documentation relative aux processus mtiers, absence de
mises jour suite aux changements de matriel et de logiciels).
valuer l'impact de l'absence d'valuation de la procdure de changement (ex : incapacit des systmes rpondre aux besoins des
utilisateurs finaux, absence de contrle des ressources et des cots concernant les changements, altration de l'orientation mtiers
concernant les changements, impossibilit de rpondre aux attentes du management en termes de retour sur investissements, indisponibilit
des nouveaux systmes pour les processus mtiers).

AI7 Installer et valider les solutions et les modifications
Il faut mettre en exploitation les nouveaux systmes lorsque la phase de dveloppement est acheve. Cela exige d'effectuer les bons tests sur les donnes dans un environnement ddi, de
dfinir les instructions de dploiement et de migration, un planning de livraison et la mise en production proprement dite, et des revues post-implmentation. Cela garantit que les systmes
oprationnels sont en phase avec les attentes et les rsultats recherchs.
AI7.1 Formation Dveloppement cohrent de nouvelles Incapacit dtecter rapidement les problmes
Former le personnel des services utilisateurs concerns et l'quipe de comptences lis aux systmes ou leur utilisation
production informatique conformment au plan de formation dfini et Formation optimise pour un rendement Manque de connaissances pour effectuer les
aux supports associs ; cette tape doit faire partie intgrante de tous professionnel efficace et efficient tches et activits requises
les projets de dveloppement, de mise en place ou de modification
Familiarisation avec les systmes nouveaux ou Erreurs suite au lancement de nouveaux projets
des systmes d'information.
modifis

Vrifier et confirmer qu'un plan de formation est intgr dans le plan directeur du projet global pour les projets de dveloppement.
Vrifier et confirmer (ex : en interrogeant les principaux employs concerns ou en inspectant le plan de projet) que le plan de formation identifie les groupes concerns et en tient
compte (ex : utilisateurs finaux, oprations informatiques, formation au dveloppement d'applications informatiques et l'assistance technique, fournisseurs de service).
Vrifier et confirmer que des stratgies de formation alternatives sont envisages pour garantir la slection d'une mthode rentable et son intgration dans le cadre de formation.
Vrifier et confirmer l'existence d'un processus permettant de s'assurer de la conformit au plan de formation.
Examiner la documentation relative la formation pour dterminer la conformit au plan de formation (ex : liste des employs invits se former, liste des participants, formulaires
d'valuation pour la ralisation des objectifs d'apprentissage et autres retours d'exprience).
Vrifier et confirmer l'existence d'un processus de surveillance de la formation pour obtenir des retours d'exprience pouvant gnrer des amliorations potentielles du systme.
Vrifier et confirmer que les changements planifis sont surveills, pour garantir que les exigences de formation sont prises en compte et que des plans adapts sont crs.
ANNEXE III
143
AI7 Installer et valider les solutions et les modifications (suite)
144
GUIDE DAUDIT DES SI : U

AI7.2 Plan de test Participation des parties prenantes cls Insuffisance des tests raliss par des scripts de
Constituer un plan de test bas sur des standards applicables Rduction des interruptions d'activit test automatiss
l'ensemble de l'entreprise, qui dfinissent des rles, des occasionnes par la dfaillance du traitement Problmes de performance non dtects
responsabilits et des critres d'entre/sortie. S'assurer que le systme Manque de matrise des cots sur les activits de
programme est valid par les parties concernes.
test
Rles et responsabilits non dfinis en matire
de tests
Vrifier et confirmer qu'un plan de test est labor et document conformment au plan qualit du projet et aux normes organisationnelles et qu'il est communiqu aux propritaires des
processus mtiers concerns et aux parties prenantes des SI.
Vrifier et confirmer que le plan de test s'appuie sur une valuation des risques du projet et que toutes les exigences de tests fonctionnels et techniques sont prises en compte.
Vrifier et confirmer que le plan de test identifie les ressources permettant d'effectuer les tests et d'en analyser les rsultats.
UTILISATION
S'assurer que les parties prenantes sont consultes propos des incidences du plan de test en termes de ressources.
TILISATION DE
Vrifier et confirmer que le plan de test prvoit la prparation des tests (et du site ddi), les besoins de formation, l'installation ou la mise jour d'un environnement de tests dfini, la
planification/performance/documentation/conservation des scnarios de tests, la gestion, la correction et le signalement des erreurs et problmes, et la validation officielle.
Pour un chantillon de plans de test, inspecter la documentation pour dterminer si les phases de test appropries sont excutes.
Vrifier et confirmer que le plan de test dfinit clairement des critres permettant de mesurer la russite de l'excution de chaque phase de test et que les entretiens avec les propritaires
des processus mtiers et les parties prenantes des SI sont pris en compte pour dfinir les critres de russite.
Dterminer si le programme met en place des mesures correctives lorsque les critres de russite ne sont pas remplis (ex : en cas de dysfonctionnement important d'une phase de test, le
programme fournit des recommandations sur la faon de passer la phase suivante, d'arrter le test ou de reporter la mise en uvre).
Vrifier et confirmer que les plans de test sont valids par les parties prenantes, y compris les propritaires des processus mtiers et les SI, suivant le cas. Exemples d'autres parties
DE C
prenantes : responsables du dveloppement d'applications, chefs de projet, utilisateurs finaux des processus mtiers.
COBI
OBIT
T
AI7.3 Plan d'implmentation Une approche standardise approuve, permettant Affectation inapproprie des ressources pour
laborer un plan d'implmentation prvoyant des solutions de de mettre en uvre les modifications de faon garantir la mise en uvre efficace des
remplacement et de restauration. Obtenir l'approbation des parties efficace et efficiente modifications
concernes. Mesure des performances et perspectives Failles de scurit
officiellement dfinies
Reprise efficace en cas d'chec de
l'implmentation
Pour un chantillon reprsentatif de projets, s'assurer que le plan d'implmentation a t contrl et valid.
Vrifier et confirmer qu'un plan d'implmentation a t cr et qu'il inclut une stratgie d'implmentation globale, l'ordre des tapes d'implmentation, les besoins en ressources, les
corrlations, les critres selon lesquels le management valide la mise en production, les exigences de vrification des installations et la stratgie de transition pour le soutien de la
production.
Slectionner un chantillon reprsentatif de projets et s'assurer que le plan d'implmentation est conforme au plan de gestion des changements mtiers.
Vrifier et confirmer que les tiers s'engagent participer chaque tape de l'implmentation.
Vrifier et confirmer que les processus de remplacement et de reprise sont identifis et documents dans le plan d'implmentation.
AI7.4 Environnement de tests Interruptions limites de l'activit en production Insuffisance des tests raliss l'aide de scripts
Dfinir et laborer un environnement de tests scuris, reprsentatif de test automatiss
de l'environnement d'exploitation prvu en matire de scurit, de Problmes de performance non dtects
contrles internes, de pratiques d'exploitation, d'exigences de qualit Scurit des systmes mise en chec
et de confidentialit des donnes, et de charge de travail.
Vrifier et confirmer que l'environnement de tests est configur pour reflter l'environnement de production (les facteurs incluent la charge de travail/contraintes, les systmes
d'exploitation, les logiciels applicatifs ncessaires, les systmes de gestion de bases de donnes, l'infrastructure rseau et informatique).
Vrifier et confirmer que l'environnement de tests n'est pas en mesure d'interagir avec les environnements de production.
Vrifier et confirmer l'existence d'une base de donnes test.
Dterminer l'existence et la qualit d'un processus de nettoyage des donnes lors de la cration d'une base de donnes test.
ANNEXE III
valuer les mesures de protection et l'autorisation d'accs l'environnement de tests.
Vrifier et confirmer l'existence d'une procdure permettant de grer l'archivage ou l'limination des rsultats des tests, et s'assurer que cette procdure est respecte.
Vrifier et confirmer que la procdure d'archivage respecte ou dpasse les exigences de conformit ou rglementaires.
145
146

AI7.5 Conversion des systmes et des donnes Composants inappropris dtects et retirs de la Anciens systmes indisponibles lorsqu'ils sont
Planifier la conversion des donnes et la migration des infrastructures production ncessaires
dans le cadre des projets de dveloppement de l'entreprise (pistes Nouveau systme fonctionnant comme prvu et Manque de fiabilit du systme et des rsultats
d'audit, restaurations, remplacements, etc.). soutenant les processus mtiers de conversion
Interruptions de traitement en dcoulant
Problmes d'intgrit des donnes

Confirmer (ex : en interrogeant les principaux employs concerns ou en inspectant les politiques et procdures) l'existence de plans de conversion de donnes et d'allgement des
infrastructures et tenir compte des lments suivants : matriel informatique, rseaux, systmes d'exploitation, logiciels, donnes de transaction, fichiers matres, sauvegardes et archives,
interfaces avec les autres systmes internes et externes, procdures, documentation systme, etc.
Interroger les principaux employs concerns propos de la planification et de l'tat d'avancement de la conversion/mise en service.
Vrifier et confirmer qu'une sauvegarde est effectue avant la conversion, que les pistes d'audit sont conserves et qu'il existe un plan de secours et de reprise.
UTILISATION
TILISATION DE
AI7.6 Test des modifications Objectifs atteints en termes de performance des Gaspillage des ressources
Tester les modifications de faon indpendante, conformment au systmes Dtrioration de la scurit globale
plan de test dfini et avant la migration vers l'environnement Matrise efficace des cots Rpercussion des changements sur la
d'exploitation. S'assurer que le plan tient compte de la scurit et des Confiance accrue des clients disponibilit et les performances des systmes
performances.
DE C
COBI
OBIT
Vrifier et confirmer que le test des modifications est labor de faon indpendante (sparation des tches) et ralis uniquement dans l'environnement de tests.
Vrifier et confirmer l'existence de scripts de tests pour respecter les exigences de scurit et de performance.
T
S'assurer, par le biais d'entretiens, que des plans de remplacement ou de restauration sont labors et tests avant que les modifications soient appliques en production.
AI7.7 Test de recette dfinitive Interruptions limites de l'activit en production Problmes de performance non dtects
S'assurer que les propritaires des processus mtiers et les parties Protection des flux de donnes critiques Mtiers rejetant les capacits fournies
prenantes des SI valuent le rsultat de la procdure de test, comme le Identification des carts par rapport la qualit de
prconise le plan de test. Corriger les erreurs significatives identifies service attendue
dans la procdure de test, aprs avoir effectu la squence de tests
Application rpondant aux exigences de facilit
identifis dans le plan de test et tous les tests de rgression
ncessaires. Suite l'valuation, valider l'envoi en production. d'utilisation
S'assurer que les parties prenantes cls sont prises en compte dans les activits de test de recette dfinitive.
Vrifier et confirmer que, lors des phases de recette dfinitive, les critres de russite sont identifis dans le plan de test.
Vrifier et confirmer l'existence d'une documentation approprie pour le contrle et l'valuation.
Demander aux principales parties prenantes si la documentation et la prsentation des rsultats des tests de recette dfinitive sont complets et fournis en temps utile.
ANNEXE III
147
148

AI7.8 Transfert en production Une approche standardise approuve, permettant Manquements au principe de sparation des
Aprs les tests, contrler le passage du systme modifi de transfrer les modifications en production de tches
l'exploitation, en veillant ce qu'il reste conforme au plan faon efficace et efficiente Systmes exposs la fraude ou autres actes
d'implmentation. Obtenir l'autorisation des parties prenantes Mesure des performances et perspectives malveillants
(utilisateurs, propritaire du systme, direction de l'exploitation, etc.).
officiellement dfinies Aucun retour possible la version prcdente du
Lorsque cela est possible, excuter le systme en parallle avec
l'ancien systme pendant une certaine priode et comparer le Procdure de modification cohrente systme applicatif
comportement et les rsultats.
Examiner les procdures de transfert des programmes pour s'assurer qu'il existe un processus officiel ncessitant une validation documente des responsables utilisateurs et du
dveloppement systme.
S'assurer que le processus de validation identifie les dates de transfert des nouveaux systmes, applications ou infrastructure vers la production, ainsi que celles du retrait des anciens
systmes, applications ou infrastructures.
UTILISATION
Vrifier et confirmer que le processus de validation prvoit une autorisation documente officielle de la part des propritaires des processus mtiers, des tiers et des parties prenantes des
TILISATION DE
SI suivant le cas (ex : groupe de dveloppement, groupe de scurit, gestion des bases de donnes, groupe d'exploitation et d'assistance utilisateur).
Confirmer l'existence de procdures permettant de mettre jour les copies de la documentation systme et le plan d'urgence appropri.
Interroger les principaux employs concerns sur les procdures permettant de mettre jour toutes les bibliothques de programmes source et les procdures d'tiquetage et d'archivage
des versions antrieures.
Interroger les principaux employs concerns sur les procdures obligatoires permettant d'obtenir les supports utiliss pour l'implmentation, auprs du service charg des tests de
recette.
Interroger les principaux employs concerns pour vrifier si la distribution automatique des logiciels est matrise et si des contrles du processus de distribution sont effectus pour
s'assurer que l'environnement de destination correspond une version et une implmentation standard correctes.
DE C
valuer l'efficacit du contrle pour s'assurer que les logiciels sont uniquement distribus vers les destinations autorises et correctement identifies.
Interroger les principaux employs concerns pour vrifier s'ils conservent un journal officiel prcisant les logiciels et les lments de configuration distribus, les destinataires, le lieu
COBI
o ils ont t implments et les dates auxquelles ils ont t mis jour.
Interroger les principaux employs concerns sur les procdures permettant de mettre jour rapidement toutes les copies des programmes et les procdures permettant de fournir
OBIT
l'avance les instructions/ordres d'implmentation, sur tous les sites concerns.
T
AI7.9 Revue post-implmentation Une approche standardise approuve relative aux Incapacit constater que les systmes ne
Mettre en place des procdures conformes aux standards de gestion revues post-implmentation rpondent pas aux besoins des utilisateurs finaux
des changements organisationnels pour exiger une revue post- Procdure de contrle cohrente et transparente Retour sur investissement ne rpondant pas aux
implmentation, comme indiqu dans le plan d'implmentation. Utilisation efficace des ressources de l'entreprise attentes du management
Satisfaction accrue de l'utilisateur final
Interroger les principaux employs concerns pour s'assurer que des procdures post-implmentation ont t mises en place.
Interroger les principaux employs concerns pour s'assurer que les propritaires des processus mtiers et la DSI participent la slection des mtriques pour mesurer la russite, la
satisfaction des exigences et l'obtention des bnfices.
Interroger les principaux employs concerns pour s'assurer que la forme de la revue post-implmentation est conforme au processus de gestion des changements organisationnels et que
les propritaires des processus mtiers et les tiers sont impliqus, suivant le cas.
Interroger les principaux employs concerns pour s'assurer que les exigences relatives la revue post-implmentation imputable aux mtiers et l'informatique externes sont prises en
compte.
Interroger les principaux employs concerns pour s'assurer qu'il existe un plan d'action visant rgler les problmes identifis dans la revue post-implmentation et que les propritaires
des processus mtiers et la DSI participent l'laboration de ce plan d'action.
ANNEXE III
149
Examiner le plan de formation pour dterminer s'il identifie clairement les objectifs d'apprentissage, les ressources, les tapes cls, les
corrlations et les tches du chemin critique. S'assurer que le plan de formation envisage des stratgies de formation alternatives en fonction
des besoins mtiers.
Examiner la documentation du plan de formation pour :
s'assurer qu'elle dsigne les employs qui doivent bnficier d'une formation ;
s'assurer que la formation a t dispense au moment opportun ;
s'assurer qu'une mthode rentable est slectionne et utilise (ex : formation du formateur, reconnaissance professionnelle de l'utilisateur
final, formation via intranet) ;
s'assurer que les retours d'exprience (ex : formulaires d'valuation, fiches de commentaires) sont recueillis et utiliss pour identifier les
domaines dans lesquels le systme pourrait tre amlior ;
s'assurer que les modifications prvues ont tenu compte des exigences de formation.
s'assurer qu'elle est conforme au plan qualit du projet et aux normes organisationnelles correspondantes.
s'assurer que les plans de test ont t communiqus aux propritaires des processus mtiers concerns et aux parties prenantes des SI.
Examiner la documentation de test pour dterminer si les tests ont t effectus en fonction de l'valuation des risques du projet. S'assurer
que toutes les exigences de tests techniques et fonctionnels sont prises en compte (ex : performance, charge de travail, facilit d'utilisation,
tests pilotes et tests de la scurit) et que le plan de test a rpondu toutes les exigences relatives la validation interne ou externe.
Examiner la documentation de test pour dterminer si les ressources ont t identifies pour effectuer le test et valuer les rsultats (ex :
cration d'environnements de tests et membres du personnel affects au groupe test, y compris l'ventuel remplacement provisoire de ces
employs dans les environnements de production ou de dveloppement).
Examiner un chantillon des scripts de tests pour s'assurer qu'ils tiennent compte de chaque critre de test, de faon approprie.
Pour un chantillon de projets de dveloppement systme, d'implmentation ou de modification, examiner la documentation de test pour
dterminer si les phases de test appropries ont t excutes (ex : test unitaire, test de systme, test d'intgration, test de recette utilisateur,
test de performance, test de contrainte, test de conversion des donnes, test de scurit, test de disponibilit oprationnelle).
Pour un chantillon de plans de test, inspecter la documentation pour dterminer si :
les critres d'valuation du succs de chaque phase de test sont pris en compte
les plans de test sont valids
la base de donnes test utilise uniquement des donnes nettoyes et est protge contre la divulgation.
S'assurer de l'adquation des plans de conversion et s'assurer de l'exhaustivit et de l'intgrit des rsultats de la conversion auprs des
propritaires de donnes.
Examiner et valuer la documentation relative aux plans de remplacement ou de restauration.
S'assurer que les journaux d'erreur incluent des pistes d'audit pour faciliter la correction des bugs et l'application des mesures correctives au
moment opportun.
Contrler les activits de test de recette dfinitive pour dterminer si le primtre couvrait tous les composants et tenait compte des critres
d'acception.
tudier les rsultats des tests de recette et valuer l'efficacit de leur interprtation et de leur prsentation.
Examiner les rsultats des tests pour s'assurer qu'une validation officielle a lieu avant le transfert en production.
Examiner les bibliothques de programmes source pour s'assurer qu'ils sont mis jour en tenant compte des versions en cours et que les
versions prcdentes sont clairement tiquetes et conserves pendant un laps de temps raisonnable.
valuer l'efficacit du contrle pour s'assurer que les logiciels sont uniquement distribus vers les destinations autorises et correctement
identifies.
Inspecter le journal et s'assurer qu'une procdure a t mise en place pour garantir son intgrit et son exhaustivit.
Inspecter physiquement les instructions/ordres d'implmentation dans les archives.
Slectionner un chantillon de projets de dveloppement systme, d'implmentation ou de modification et inspecter la documentation
relative aux changements pour dterminer si l'aval du management est donn pour s'assurer que la modification est autorise, teste et
correctement documente avant l'envoi du logiciel en production.
Inspecter l'environnement d'archivage et examiner physiquement la documentation et les versions archives.
valuer l'efficacit du processus de transmission des modifications en s'assurant que seules les modifications autorises, testes et
documentes sont acceptes en production.
valuer l'efficacit du processus en s'assurant que les logiciels implments sont identiques ceux qui ont t tests.
Slectionner un chantillon de demandes de version et inspecter la documentation pour dterminer si la prparation des supports s'appuie
uniquement sur des demandes de version officielles.
S'assurer de l'efficacit des procdures de restauration ou d'inversion.
S'assurer qu'une piste d'audit de distribution tient compte des logiciels et des lments de configuration distribus, des destinataires, du lieu
o ils ont t implments et des dates auxquelles ils ont t mis jour
S'assurer que la distribution automatique des logiciels est uniquement effectue vers des destinations autorises et correctement identifies.
S'assurer que les procdures post-implmentation identifient, valuent et prcisent dans quelle mesure les exigences mtiers ont t
satisfaites, les bnfices attendus ont t obtenus, le systme est considr comme utilisable, les attentes des parties prenantes internes et
externes sont respectes, des impacts inattendus sur l'entreprise ont pu se produire, les risques cls sont attnus, et les processus de gestion
des changements, d'installation et de validation ont t excuts de faon efficace et efficiente.
Vrifier et confirmer que les exigences relatives la revue post-implmentation imputable aux mtiers et l'informatique externes sont
prises en compte.
Pour un chantillon de projets de dveloppement systme ou d'implmentation, s'assurer que les exigences mtiers et informatiques
externes (ex : audit interne, gestion des risques d'entreprise, conformit rglementaire) sont intgres dans la revue post-implmentation.

ANNEXE III
Slectionner un chantillon de projets de dveloppement systme ou d'implmentation et s'assurer que la revue post-implmentation inclut
un plan d'action visant rsoudre les problmes identifis. S'assurer que les propritaires des processus mtiers et la DSI participent
l'laboration des plans d'action.
valuer l'efficacit du processus de vrification de russite ou d'chec des changements.
valuer l'inventaire de la configuration pour dterminer si les changements sont contrls et accepts.
Identifier :
toutes les modifications effectues sans validation
toutes les modifications non justifies
les bibliothques actuelles (source et objet) ne refltant pas les modifications les plus rcentes
les variations de la procdure de contrle des changements
valuer l'impact de modifications inefficaces ou inappropries.
valuer l'impact de modifications tardives ou diffres.

valuer le cot et l'inefficacit oprationnelle d'une formation insuffisante (ex : incapacit dtecter rapidement les problmes, manque de
connaissances pour effectuer les tches).
valuer l'impact de l'absence d'un plan de test (ex : insuffisance des tests raliss par des scripts de test automatiss, incapacit dtecter
les problmes de performance, manque de matrise des cots, rles et responsabilits non dfinis).
Dterminer si le plan d'implmentation a t contrl et valid par les principales parties prenantes pour s'assurer de l'existence d'un
engagement appropri tout au long du projet.
S'assurer de l'existence d'un environnement de test qui reflte l'environnement de production et qui fournit un tat de situation future fiable
concernant les modifications apportes aux oprations mtiers.
valuer l'exhaustivit du plan de conversion des donnes pour s'assurer qu'il inclut des pistes d'audit, des procdures de restauration et des
procdures de remplacement.
valuer les modifications testes de faon indpendante, conformment au plan de test dfini et avant le transfert en production
valuer les plans de test et s'assurer qu'ils incluent un test permettant de respecter les exigences de scurit et de performance.
valuer les rsultats du processus de test pour identifier les erreurs ncessitant une application opportune de mesures correctives, avant le
transfert en production.
valuer l'impact de l'absence d'un plan post-implmentation.

PAGE BLANCHE

ANNEXE IV
DLIVRER ET SUPPORTER (DS)
DS1 Dfinir et grer les niveaux de services

DS3 Grer la performance et la capacit
DS4 Assurer un service continu
DS6 Identifier et imputer les cots
DS7 Instruire et former les utilisateurs
DS8 Grer le service d'assistance client et les incidents
ANNEXE IV- DLIVRER ET SUPPORTER (DS)

DS9 Grer la configuration
DS10 Grer les problmes
DS11 Grer les donnes
DS12 Grer l'environnement physique
DS13 Grer l'exploitation
A NNEXE IV- D LIVRER ET SUPPORTER (DS)

DS1 Dfinir et grer les niveaux de services
Une communication efficace entre les responsables informatiques et les clients mtiers propos des services demands est facilite par des accords sur les services informatiques et sur les
niveaux de services, et par leur dfinition et leur documentation. Ce processus inclut aussi la surveillance et le compte-rendu en temps utile aux parties prenantes du respect des niveaux de
services convenus. Il permet l'alignement entre les services informatiques et les exigences mtiers qui s'y rapportent.
DS1.1 Rfrentiel pour la gestion des niveaux de services Objectifs informatiques et responsabilits du Disparits entre les attentes et les capacits, se
Dfinir un cadre de rfrence qui propose un processus formalis de service informatique clairement dfinis et traduisant par des conflits
gestion des niveaux de services entre les clients et les fournisseurs. conformes aux objectifs mtiers Clients et fournisseurs ne comprenant pas leurs
Ce cadre doit veiller l'alignement continu avec les exigences Amlioration de la communication et de la responsabilits
mtiers et avec les priorits pour faciliter une comprhension
comprhension entre les clients mtiers et les Priorit inadapte donne aux diffrents services
commune entre clients et fournisseur(s). Il doit comporter des
processus de rcolte des exigences en matire de services, des prestataires de services informatiques fournis
dfinitions des services, des contrats de services (CS), des accords sur Renforcement de l'homognit en matire de Service d'exploitation inefficace et coteux
les niveaux oprationnels (ANO) et des sources de financement. Ces niveaux de services, de dfinition des services et
lments doivent tre rpertoris dans un catalogue de services. Le de fourniture et soutien des services
rfrentiel doit dfinir l'organisation de la gestion de niveau de
service, s'intresser aux rles, tches et responsabilits des
fournisseurs de services internes et externes et des clients.
Inspecter les politiques et procdures des contrats de services (CS) pour dterminer si les objectifs des CS et les mesures de performances sont aligns sur les objectifs mtiers et la
stratgie informatique.
Vrifier et confirmer l'existence de politiques permettant d'aligner les objectifs des CS et les mesures de performances sur les objectifs mtiers et la stratgie informatique.
Inspecter le catalogue de services et s'assurer qu'il contient les exigences en matire de services, les dfinitions des services, les CS, les accords sur les niveaux oprationnels (ANO) et
les sources de financement.
Interroger les employs responsables de l'escalade et de la rsolution des problmes en matire de CS, afin de dterminer si les procdures ou mthodes ont tabli des niveaux de services
raisonnables lors de la prise en compte de ces questions.
Examiner un chantillon de modifications significatives et s'assurer qu'elles ont t appliques conformment au processus de gestion des changements.
Examiner la conception du programme d'amlioration des services pour vrifier l'existence de standards mesurant les performances.
ANNEXE IV
153
DS1 Dfinir et grer les niveaux de services (suite)
154

DS1.2 Dfinition des services Objectifs du service informatiques aligns sur les Services fournis de faon inapproprie
Fonder les dfinitions des services informatiques sur les objectifs mtiers Priorit incorrecte donne aux services fournis
caractristiques des services et des exigences mtiers. S'assurer qu'ils Services oprationnels informatiques bass sur des Mauvaise comprhension de l'impact des
sont structurs et rpertoris dans un catalogue/portefeuille de exigences et des priorits appropries incidents, se traduisant par une rponse tardive
services centralis.
Incidents relis aux services sur lesquels ils se et un impact mtier important
rpercutent, ce qui permet d'attribuer efficacement Diffrentes interprtations et mauvaise
une priorit la rponse aux incidents comprhension des services informatiques
fournis

Vrifier et confirmer l'existence d'une procdure permettant de dvelopper, contrler et rectifier le catalogue ou le portefeuille de services.
Confirmer l'existence d'un processus de gestion visant s'assurer que le catalogue ou le portefeuille de services est disponible, complet et jour.
Examiner le processus associ au catalogue ou portefeuille de services pour vrifier s'il est rvis rgulirement.
DS1.3 Contrats ou conventions de services (CS) Responsabilits des services et objectifs Incapacit rpondre aux exigences des clients
Dfinir et accepter les contrats/conventions de services pour tous les informatiques conformes aux objectifs mtiers en matire de services
services informatiques critiques, en se fondant sur les besoins du Optimisation de la qualit de service grce une Utilisation inefficace des ressources de
client et les capacits de l'informatique. Cela recouvre les bonne comprhension et l'adquation de la prestation de services
engagements du client, les besoins d'assistance, les mtriques
fourniture de services Incapacit identifier les incidents de service
qualitatives et quantitatives pour mesurer le service contresign par
les parties prenantes, les sources de financement et, le cas chant, les Augmentation de l'efficacit des services et critiques et y rpondre
accords commerciaux, et les rles et responsabilits, y compris la rduction des cots grce un dploiement
supervision des conventions de services. Tenir compte des points efficace des services informatiques en fonction
suivants : la disponibilit, la fiabilit, la performance, la capacit de des priorits et des besoins rels
croissance, le niveau d'assistance, la planification de la continuit, les
contraintes de scurit et de rclamation.
Vrifier et confirmer que les parties prenantes approuvent, enregistrent et communiquent les conventions de services, tant du point de vue du contenu que de la prsentation.
Examiner la structure du contenu des CS pour s'assurer qu'il tient compte des exclusions, des accords commerciaux et des ANO.
Examiner le processus de gestion des CS pour s'assurer qu'il mesure les CS (en termes qualitatifs et quantitatifs) et surveille les objectifs des CS.
S'assurer que les CS ont t valids et qu'ils comportent les signatures appropries.
Observer et contrler le processus de rvision des CS pour s'assurer qu'il est adquat.
S'assurer que la procdure d'amlioration ou d'ajustement des CS est base sur les informations de performances et l'volution des exigences mtiers et clients.
Demander aux principaux employs concerns si certains services fournis ne sont pas documents dans le CS.
DS1.4 Accords sur les niveaux oprationnels (ANO) Services oprationnels aligns sur les CS et donc Services fournis incapables de rpondre aux
Dfinir des ANO expliquant comment les services seront sur les besoins mtiers exigences mtiers
techniquement fournis pour appuyer le mieux possible les Optimisation des ressources oprationnelles grce Comprhension technique insuffisante des
conventions de services. Les accords sur les niveaux oprationnels la standardisation et l'harmonisation avec les services, se traduisant par des incidents
doivent prciser ce que sont les processus techniques en termes
exigences de services Utilisation inefficace et coteuse des ressources
comprhensibles par le fournisseur et peuvent concerner plusieurs
conventions de services. Rduction des cots grce l'utilisation optimise oprationnelles
des ressources et la rduction du nombre
d'incidents de service

Vrifier et confirmer qu'une procdure a t dfinie pour dvelopper, grer, contrler et affiner les ANO.
Examiner les CS et s'assurer que l'ANO appuie les exigences techniques des CS correspondants.
Se procurer un chantillon reprsentatif d'ANO et dterminer si les ANO contiennent des dfinitions exploitables et optimales de la prestation de services.
DS1.5 Surveillance et comptes-rendus des niveaux de services Utilisateurs capables de surveiller les Manque de mesures dfinies importantes pour
atteints performances des niveaux de services en fonction l'entreprise
Surveiller en continu les critres de performance des niveaux de d'informations fiables Problmes de services sous-jacents non
services. Les rapports sur le respect des niveaux de services doivent Valeur des services informatiques communique identifis
adopter une prsentation comprhensible pour les parties prenantes.
au sein de l'entreprise Utilisateurs mcontents en raison d'un manque
Les statistiques de surveillance doivent tre analyses et des actions
connexes doivent tre entreprises pour mettre en vidence les Communication cohrente entre les parties d'informations, indpendamment de la qualit de
tendances positives et ngatives de chaque service, mais aussi concernes service
globalement de l'ensemble des services.
Dterminer les critres de reporting, par le biais d'entretiens avec les principaux employs responsables de la surveillance des performances des niveaux de services.
Se procurer des exemples de rapports de performance des CS et vrifier la faon dont ils sont distribus.
Inspecter les comptes-rendus pour valuer les prvisions et les tendances des performances des niveaux de services.
ANNEXE IV
155
156

DS1.6 Revue des conventions de services et des contrats Services informatiques fournis conformes Exigences commerciales et juridiques non
Faire une revue rgulire des CS et des contrats de sous-traitance l'volution des besoins mtiers respectes en raison de contrats obsoltes
(CST) avec les fournisseurs de services internes et externes pour Dfauts identifis et corrigs dans les contrats de Services ne satisfaisant pas aux exigences
s'assurer qu'ils sont efficaces, jour, et que les modifications des service existants modifies
exigences ont t prises en compte.
Pertes financires et incidents dus des services
non conformes
Inspecter les CS, comparer les CST et dterminer l'efficacit et la diffusion des modifications.
Se procurer une tude des exigences de documentation en matire de CS.
Examiner les CS et les CST et s'assurer que l'adquation aux objectifs mtiers est rgulirement value.
ANNEXE IV
Interroger les cadres suprieurs qui reprsentent les services mtiers et informatique pour connatre leur implication dans la conception et la
validation du rfrentiel de gestion des CS.
Demander aux principaux employs concerns si des critres de performance ont t officialiss pour favoriser et mesurer la ralisation des
objectifs des CS et si une procdure a t mise en place pour surveiller et communiquer la ralisation des objectifs.
Examiner les CS en matire de performances internes et externes et comparer les rsultats rels pour dterminer s'ils sont conformes aux
attentes des CS.
S'assurer que les objectifs des services informatiques sont en harmonie avec les objectifs mtiers et dfinir officiellement les attentes et les
mesures de performances.
Inspecter les informations sur les services pour vrifier les raisons pour lesquelles ils ne sont pas performants et s'assurer qu'un programme
d'amlioration des performances a t mis en place.
Analyser l'historique des performances et s'assurer que les rsultats font l'objet d'un suivi tenant compte des engagements pralables en
termes d'amlioration des services.
Demander aux principaux employs concerns si les parties prenantes approuvent, enregistrent et communiquent les conventions de
services, tant du point de vue du contenu que de la prsentation.
Examiner la prsentation du contenu des CS pour s'assurer qu'ils tiennent compte des exclusions, des accords commerciaux et des ANO.
Pour un chantillon de CS anciens et en cours, dterminer si le contenu inclut :
- la dfinition du service
- le cot du service
- le niveau de service minimum quantifiable
- le niveau d'assistance fourni par le service informatique
- la disponibilit, la fiabilit et la capacit de croissance
- la procdure de modification pour toute partie du contrat
- la planification de la continuit
- les exigences de scurit
- un accord crit et officiellement approuv entre le fournisseur et l'utilisateur du service
- la priode d'application et la rvision, le renouvellement ou le non-renouvellement d'une nouvelle priode
- le contenu et la frquence des rapports de performance et du paiement des services
- des tarifs ralistes par rapport aux antcdents, au march et aux meilleures pratiques
- le calcul des frais
- un engagement d'amlioration des services
- l'accord officiel de l'utilisateur et du fournisseur.
S'assurer que les utilisateurs concerns connaissent et comprennent les processus et procdures des CS.
Examiner les CS pour s'assurer que les ANO et les CST appuient les exigences techniques des CS et sont fournis de faon optimale.
Slectionner un chantillon de CS et s'assurer qu'ils contiennent et respectent les procdures de rsolution des problmes de prestation de
services, notamment pour non-performance.
Inspecter le catalogue de services et s'assurer que tous les services sont correctement dfinis.
Vrifier et confirmer que les diffrents services informatiques auxquels des cots seront imputs ont t dfinis et documents.
Vrifier si les propritaires de processus mtiers connaissent les services informatiques qui soutiennent leur processus mtier.
Examiner la documentation disponible qui identifie les processus mtiers et les services informatiques ou l'infrastructure sur lesquels ils
s'appuient, et dterminer si la mise en correspondance est complte et prcise. Pour ce faire, par exemple, comparer la mise en
correspondance avec l'organigramme, les secteurs d'activit, etc.
Demander aux propritaires de processus mtiers et aux propritaires de services informatiques s'ils ont accept une mise en
correspondance entre les services informatiques et les processus mtiers.
Interroger les propritaires de processus mtiers et les utilisateurs sur le niveau de satisfaction vis--vis des services informatiques fournis
afin d'identifier les ventuels domaines insuffisants. Ces questions peuvent tre poses individuellement ou via un sondage anonyme.
Examiner la documentation relative la mise en correspondance entre les secteurs de services informatiques et les processus mtiers pour
dterminer si les aspects oprationnels de la mise en correspondance sont tablis (ex : l'adquation des CS doit tre examine).

Comparer les CS par rapport des entreprises similaires ou aux normes internationales appropries/aux meilleures pratiques reconnues de
la profession.
Dterminer s'il existe des disparits entre les attentes de niveaux de services et les services fournis, grce des entretiens et l'examen des
litiges documents et des remises tarifaires.
Dterminer si les services se sont traduits par des supplments tarifaires frquents et par des dpassements du tarif de base.
Dterminer si les checs des niveaux de services sont transmis l'chelon suprieur et rsolus en temps utile.
Dterminer si le catalogue de services est jour et conforme aux objectifs mtiers.
valuer l'adquation des amliorations de service proposes par rapport l'analyse cots/bnfices.
Dterminer si les insuffisances par rapport aux services attendus sont correctement hirarchises et tenir compte des exigences de contrle
pour grer les services en fonction de leurs caractristiques et des exigences mtiers.
valuer l'adquation de la clause qui dcrit, coordonne et communique la relation entre le fournisseur et l'utilisateur des services
informatiques.

valuer l'adquation de la capacit du fournisseur respecter ses engagements d'amlioration l'avenir.
Demander aux principaux membres du management si le rfrentiel de gestion des niveaux de services fournit l'assurance que les CS et les
contrats sont jour et conformes aux objectifs mtiers.
Dterminer si les rapports sur l'atteinte des niveaux de services demands sont correctement utiliss par le management pour garantir des
performances satisfaisantes.
Dterminer si les rapports sur tous les problmes rencontrs sont correctement utiliss par le management pour s'assurer que des mesures
correctives sont prises.
valuer les services fournis pour dterminer si les accords sur les niveaux oprationnels sont en harmonie avec les CS.
Pour certaines catgories d'informations sur les CS, dterminer l'existence d'incohrences en matire de prestation de services.
valuer les niveaux de satisfaction des utilisateurs vis--vis des processus de niveaux de services actuels et des accords proprement dits.
valuer les critres d'valuation des niveaux de services et dterminer l'efficacit du flux de communication entre toutes les parties
concernes.
Examiner les CS pour dterminer les clauses qualitatives et quantitatives confirmant que les obligations sont dfinies et respectes.
valuer la capacit du management contrler constamment les rapports de niveaux de services et appliquer les mesures correctives
correspondantes.
Dterminer si les pertes financires subies sont lies une qualit de service insuffisante.
Vrifier l'exhaustivit des catalogues de services en examinant et en faisant la synthse des demandes de changement, des plans de rseaux,
de la documentation serveur, des enregistrements d'incidents, des relevs d'heures et d'autres moyens de communication
. Interroger les responsables du service informatique concernant les tches quotidiennes et les responsabilits pour s'assurer que ces
attributions offrent une couverture suffisante de l'infrastructure informatique.
Comparer les rsultats des discussions avec les rsultats des visites du centre de donnes, les registres d'actifs, les diagrammes rseau et
autres inventaires d'infrastructures, et identifier les lments d'infrastructure qui ne sont pas associs un responsable informatique.
Examiner les registres d'actifs, les diagrammes rseau ou autres inventaires d'infrastructures et vrifier la proportion des actifs qui ne sont
pas affects un secteur de services informatiques.
Documenter la criticit des ces actifs compte tenu du service fourni.
Inspecter la documentation identifiant les services informatiques et les processus mtiers et dterminer l'ampleur des secteurs de services
informatiques non attribus.
Documenter la criticit des ces secteurs de services compte tenu des processus mtiers concerns.

Le besoin de garantir que les services fournis par des tiers (fournisseurs, prestataires externes et partenaires) satisfont les exigences mtiers impose un processus de gestion des services tiers.
Ce processus exige de dfinir clairement les rles, responsabilits et les attentes dans les contrats avec des tiers, et aussi d'effectuer des revues et une surveillance de l'efficacit et de la
conformit de tels contrats. Une gestion efficace des services fournis par des tiers minimise les risques mtiers lis des fournisseurs non performants.
DS2.1 Identification des relations avec tous les fournisseurs Prsentation centralise des fournisseurs de Fournisseurs stratgiques et importants non
Identifier tous les services fournisseurs et les rpartir en catgorie services pour faciliter la prise de dcision identifis
selon leur type, importance et niveau critique. Tenir jour une concernant les fournisseurs Utilisation inefficace des ressources de gestion
documentation formelle des relations organisationnelles et techniques Identification des fournisseurs privilgis pour les des fournisseurs
en prcisant les rles et responsabilits, les objectifs, les livrables
futurs achats Rles et responsabilits mal dfinis, se traduisant
attendus et les accrditations des reprsentants de ces fournisseurs.
Ressources de gestion des fournisseurs axes sur par une mauvaise communication, des services
les fournisseurs stratgiques mdiocres et une augmentation des cots
Vrifier et confirmer qu'un registre des relations fournisseurs est tenu jour.
Identifier et examiner les critres de relations fournisseurs pour vrifier la vraisemblance et l'exhaustivit des catgorisations par type de fournisseur, importance et niveau critique.
Dterminer si le systme de classification des fournisseurs est suffisamment dtaill pour catgoriser toutes les relations fournisseurs en fonction de la nature des services externaliss.
Vrifier si l'historique des slections/refus de fournisseurs est conserv et utilis.
Examiner le registre des relations fournisseurs pour s'assurer qu'il est jour, correctement class par catgories et suffisamment dtaill pour servir de base la surveillance des
fournisseurs existants.
Examiner un chantillon reprsentatif de contrats fournisseurs, CS et autres documents pour s'assurer qu'ils correspondent au fichier fournisseurs.
DS2.2 Gestion des relations fournisseurs Relations renforces qui favorisent la ralisation Fournisseur non ractif ou non impliqu dans la
Formaliser le processus de gestion des relations fournisseurs pour des objectifs gnraux de l'entreprise (mtiers et relation
chacun d'entre eux. Les responsables des relations fournisseurs informatiques) Problmes non rsolus
doivent intervenir sur les questions qui concernent la relation Communication et rsolution efficaces et Qualit de service inapproprie
clients/fournisseurs et garantir la qualit de relations bases sur la
efficientes des problmes
confiance et la transparence (par exemple, au moyen de CS).
Rpartition claire des responsabilits entre le
client et le fournisseur
Examiner la documentation relative aux fournisseurs de services pour s'assurer qu'elle prcise les rles et responsabilits formaliss, et dterminer si les rles de gestion des fournisseurs
ANNEXE IV
ont t documents et communiqus au sein de l'entreprise.
Dterminer s'il existe des politiques visant tablir des contrats officiels, dfinir le contenu de ces contrats et l'affectation des responsabilits du propritaire ou du responsable des
relations fournisseurs, pour s'assurer que ces contrats sont crs, tenus jour, surveills et rengocis si ncessaire.
Dterminer si, en matire de gestion des relations fournisseurs, l'affectation des rles est approprie et base sur le niveau et les comptences techniques requises pour grer efficacement
ces relations.
159
DS2 Grer les services tiers (suite)
160

DS2.3 Gestion du risque fournisseurs Conformit aux exigences lgales et contractuelles Non-respect des obligations lgales et
Identifier et rduire les risques lis l'aptitude des fournisseurs Rduction du nombre d'incidents et des pertes rglementaires
fournir, de manire continue, des services efficaces, srs et efficients. potentielles Incidents de scurit et autres incidents
S'assurer que les contrats se conforment aux standards universels de Identification des fournisseurs bien grs et Pertes financires et dgts en termes d'image,
la profession, en conformit avec les exigences lgales et
prsentant un risque faible causs par l'interruption des services
rglementaires. La gestion des risques doit par ailleurs prendre en
compte les clauses de confidentialit, les contrats de mise sous
squestre, la viabilit du fournisseur (continuit), la conformit aux
exigences de scurit, les solutions alternatives en fourniture, les
pnalits/rcompenses, etc.
Demander si les risques associs l'incapacit d'excuter les contrats fournisseurs sont dfinis.
Demander si des recours ont t envisags lors de la dfinition du contrat fournisseur.
Examiner la documentation relative au contrat pour s'assurer qu'elle fait l'objet de contrles.
Demander aux principaux employs concerns s'il existe une procdure de gestion des risques permettant d'identifier et de surveiller le risque fournisseurs.
Dterminer s'il existe des rgles imposant l'indpendance au sein du processus de recherche et de slection des fournisseurs, et entre le fournisseur et le personnel de gestion au sein de
l'entreprise.
DS2.4 Surveillance des performances fournisseur Dtection opportune du non-respect des niveaux Dgradation du service non dtecte
tablir un processus de surveillance de la fourniture de services pour de services Incapacit remettre en cause les cots et la
s'assurer que le fournisseur respecte les exigences mtiers en cours, Ralisation des bnfices du contrat de service qualit de service
qu'il continue se conformer aux clauses de son contrat et celles du Cots matriss Incapacit optimiser le choix des fournisseurs
contrat de service, et que ses performances sont concurrentielles par
Conflits coteux et ventuels litiges vits
rapport aux autres fournisseurs et aux conditions du march.
Slectionner un chantillon de factures fournisseurs, dterminer si elles identifient les prix des services externaliss, tels qu'ils apparaissent dans les contrats de service, et valuer le
caractre raisonnable des frais par rapport diffrentes prestations comparables au niveau interne, externe et au march.
Examiner un chantillon de rapports sur les services des fournisseurs pour dterminer si le prestataire fournit rgulirement des rapports tenant compte de critres de performance
adopts et si ces rapports de performance sont objectifs, mesurables et conformes aux CS dfinis et au contrat fournisseur.
ANNEXE IV
Evaluer le rsultat des objectifs de contrle
Pour un chantillon de fournisseurs, dterminer si les fichiers fournisseurs sont harmoniss avec le systme de catgorisation dfini pour
identifier et catgoriser toutes les relations fournisseurs.
Se procurer la liste des critres de relations fournisseurs et s'assurer qu'elle est complte, et vrifier les fichiers fournisseurs par rapport au
systme de catgorisation utilis pour identifier et catgoriser toutes les relations fournisseurs. Dterminer si le type de fournisseur,
l'importance et le niveau critique des services fournis ont t documents.
Se procurer le fichier fournisseurs et vrifier la prcision des donnes via l'inspection d'un chantillon de contrats de service.
Se procurer un fichier fournisseurs et vrifier la prcision des donnes. Il convient de tenir compte des changements d'organisation ou des
modifications rcemment apportes au paysage informatique, qui ncessitent de modifier les critres des relations fournisseurs.
Dterminer si la documentation fournisseur est suffisamment dtaille pour identifier les mthodes de communication, la hirarchisation
des services et les procdures d'escalade, les niveaux de services minimum et les objectifs oprationnels.
Vrifier si la documentation dlimite clairement les responsabilits entre le fournisseur de services et l'entreprise utilisatrice.
Dterminer si la documentation relative aux fournisseurs de services est gre et tenue jour de faon centralise et s'il existe une
procdure pour contrler et actualiser rgulirement les documents.
Effectuer une analyse dtaille de chaque contrat tiers pour dterminer l'existence de clauses qualitatives et quantitatives confirmant les
obligations, notamment des clauses pour la coordination et la communication des relations entre le fournisseur et l'utilisateur des services
informatiques.
Dterminer s'il existe des rgles imposant au management d'tudier rgulirement les rapports sur les fournisseurs de services et
slectionner un chantillon de ces rapports pour s'assurer que le management les a tudis.
Se procurer et inspecter les rapports d'incidents relatifs aux fournisseurs de services et dterminer si les incidents ont t classifis et
transmis l'chelon suprieur en fonction des niveaux de gravit adopts, s'ils ont t communiqus au sein de l'entreprise et ont fait l'objet
d'un suivi jusqu' leur rsolution. Les incidents signals doivent galement tre communiqus au management du fournisseur et aux
utilisateurs des services.
Vrifier si les objectifs et les niveaux de services attendus sont rgulirement contrls pour s'assurer qu'ils continuent soutenir les
exigences mtiers actuelles et que les modifications proposes sont clairement communiques aux fournisseurs de services.
Examiner le fichier fournisseurs pour s'assurer qu'il dsigne un responsable des relations fournisseurs, et se procurer et examiner le
document prouvant l'existence d'un processus de communication avec les fournisseurs de services.
Se procurer et tudier les contrats pour vrifier l'existence de clauses relatives aux contrles des tiers, et dterminer si le management s'est
procur et a tudi les rapports dcoulant de ces contrles.
Pour un chantillon de fournisseurs, examiner la documentation disponible pour dterminer si le risque fournisseurs a t pris en compte et
si le risque identifi a t tudi/attnu.
Pour un chantillon de relations fournisseurs, dterminer si les lments suivants ont t pris en compte dans le contrat fournisseur :
- les exigences de scurit
- les clauses de non-divulgation
- le droit d'accs et le droit d'audit
- la validation officielle du management et du service juridique
- l'entit juridique qui fournit les services
- les services fournis
- les CS (qualitatifs et quantitatifs)
- le cot des services et la frquence des paiements pour ces services
- la procdure de rsolution des problmes
- les pnalits pour non-conformit
- la procdure de rsiliation
- la procdure de modification
- les rapports sur le service (contenu, frquence et distribution)
- la rpartition des rles entre les parties contractantes tout au long de la dure de vie du contrat
- la garantie de continuit des services fournis par le prestataire
- la procdure de communication et la frquence des communications entre l'utilisateur des services et le fournisseur
- la dure du contrat
- le niveau d'accs accord au fournisseur
- les exigences rglementaires.
Pour un chantillon de fournisseurs, dterminer si la criticit des services pour l'entreprise a t value et dterminer si la continuit des
services a t prise en compte dans le contrat fournisseur (notamment la planification d'urgence par le fournisseur) pour assurer des services
continus au sein de l'entreprise.
Pour un chantillon de relations fournisseurs, dterminer si le conseiller juridique et le management ont valid les contrats fournisseurs.
Slectionner un chantillon de factures fournisseurs, dterminer si elles identifient les prix des services externaliss, tels qu'ils apparaissent
dans les contrats de service, et valuer le caractre raisonnable des frais par rapport diffrentes prestations comparables au niveau interne,
externe et au march.
Examiner un chantillon de rapports sur les services des fournisseurs pour dterminer si le prestataire fournit rgulirement des rapports
tenant compte des critres de performance adopts et si ces rapports de performance sont objectifs, mesurables et conformes aux CS dfinis
et au contrat fournisseur.

Interroger les directions utilisateur et informatique et comparer l'entreprise des entits de mme taille ou du mme secteur afin d'identifier
les relations fournisseurs qui ont t exclues du fichier fournisseurs. Tenir compte des relations fournisseurs suivantes :
- Fournisseurs d'autocommutateurs privs (PABX)
- Fournisseurs de papier et formulaires
- Fournisseurs de services de maintenance
- Fournisseurs de services de stockage de donnes hors site et de services de centre informatique de secours quip
- Prestataires de services effectuant le traitement des donnes (ex : fournisseur de services applicatifs, colocalisation)
- Dveloppeurs et assurance-qualit externes
Interroger les membres de la direction des achats pour s'assurer qu'ils connaissent parfaitement la nature des relations avec les fournisseurs
de services et des services externaliss.
Examiner un chantillon de factures de fournisseurs de services pour dterminer s'il existe des factures hors du champ d'application des
services et vrifier l'implication de la direction des achats pour contrler et valider le surplus.
Pour un chantillon de fournisseurs de services, se procurer les mesures de performance du fournisseur et contrler les carts par rapport
aux objectifs de performance tablis. Dterminer si la direction des achats tait au courant des carts ventuels et s'assurer du bien-fond
des mesures prises pour remdier ces carts (ex : mise en place d'un plan d'action, pnalits pour non-performance au titre de frais de
gestion).
Pour un chantillon de relations fournisseurs, dterminer si le niveau de service est comparable aux obligations contractuelles tablies. En
cas de modifications de la relation fournisseurs, dterminer si l'valuation des risques a t actualise et si le contrat fournisseur a t
modifi en consquence.
Examiner un chantillon des mesures de performance communiques par le fournisseur et identifier les objectifs de performance qui n'ont
pas t systmatiquement atteints.
Dterminer si le management a identifi et valu les dfauts de performance et, si une valuation a t effectue, rvaluer la relation ou
valuer la ncessit de modifier la relation.
Pour les relations fournisseurs ayant un impact important sur l'entreprise, dterminer s'il existe des plans d'urgence pour le rtablissement
des services externaliss ou le recours des fournisseurs secondaires.
Dterminer la disponibilit des valuations des fournisseurs par des tiers (ex : certification SAS 70, ISA 402 ou rapports d'attestation) ou
des rapports d'audit et s'assurer que le management a reu et analys ces rapports. Lorsque des dfaillances de contrle sont signales
(rserves du rapport, test des anomalies), dterminer si le management s'est entretenu avec le fournisseur propos de ces dfaillances et si
un plan d'action a t mis en uvre. tudier les rapports antrieurs ou ultrieurs pour dterminer si le fournisseur remdie rapidement ces
dfaillances de contrle.
Dterminer si les principaux fournisseurs sont inclus dans l'valuation annuelle des risques et dans le processus de planification d'audit.
Examiner un chantillon des mesures de performance communiques par le fournisseur et identifier les objectifs de performance qui n'ont
pas t systmatiquement atteints.
Dterminer si le management a identifi et valu les dfauts de performance et si des mesures correctives et une procdure de surveillance
continue ont t mises en uvre.
Pour un chantillon de fournisseurs de services, se procurer les mesures de performance du fournisseur et contrler les carts par rapport
aux objectifs de performance tablis.
Dterminer si la direction des achats est au courant des carts ventuels et s'assurer du bien-fond des mesures prises pour y remdier (ex :
mise en place d'un plan d'action, pnalits pour non-performance au titre de frais de gestion).

DS3 Grer la performance et la capacit
La bonne gestion des performances et des capacits des ressources informatiques exige qu'un processus les passe rgulirement en revue. Ce processus inclut la prvision des besoins futurs
en fonction des exigences de charge de travail, de stockage et des imprvus. Ce processus assure que les ressources informatiques qui appuient les exigences mtiers sont constamment
disponibles.
DS3.1 Planification de la performance et de la capacit Gestion efficace des ressources en vitant les Incidents inattendus en raison d'une capacit
tablir un processus de planification pour la revue des performances cots indirects insuffisante
et des capacits des ressources informatiques afin de garantir que des Performance optimise des systmes grce des Disponibilit systme insuffisante en raison de
capacits et des performances sont disponibles des cots justifis tests comparatifs internes l'absence de planification proactive des
pour traiter les charges de travail convenues et dtermines par les
Prdiction des exigences de capacit et de performances et de la capacit des ressources
contrats de services (CS). Les plans de capacit et de performance
doivent mobiliser les techniques de modlisation appropries pour performance futures Incapacit rpondre aux exigences mtiers en
proposer un modle de performance, de capacit et de dbit, actuels Possibilit de comparer la capacit parmi les raison de plans de performance et de capacit
et prvus, des ressources informatiques. diffrents secteurs de l'entreprise et de faon obsoltes
externe pour identifier les amliorations

Vrifier et confirmer l'existence d'une procdure ou d'un cadre de dveloppement, de contrle et d'ajustement d'un plan de performance et de capacit.
Interroger les principaux employs participant l'laboration du plan de performance et de capacit pour dterminer si les lments appropris (ex : exigences du client, exigences
mtiers, cot, exigences de performance des applications, exigences d'volutivit) ont t pris en compte lors de l'laboration du plan de capacit.
Vrifier et confirmer que le plan de performance et de capacit a t mis au point et est tenu jour.
Examiner les documents d'accompagnement pour vrifier l'implication des parties prenantes et pour s'assurer que le plan a t enregistr et qu'il est jour.
ANNEXE IV
163
DS3 Grer la performance et la capacit (suite)
164

DS3.2 Performance et capacit actuelles Gestion efficace et efficiente des ressources Perturbation de l'activit
valuer les performances et les capacits des ressources informatiques CS non respects
informatiques pour dterminer si elles sont suffisantes pour satisfaire Amlioration de la planification des capacits et Exigences mtiers non respectes
aux niveaux de services adopts. des performances Sous-engagement ou sur-engagement concernant
Performance optimise des systmes grce une la prestation de services, en raison de mesures de
planification proactive des capacits et des capacit inconnues
performances
Vrifier et confirmer que le logiciel de surveillance des systmes a t implment sur les ressources informatiques appropries, en s'appuyant sur des facteurs tels que :
- la criticit mtier de la ressource informatique
- les exigences identifies dans le CS
- la probabilit ou la tendance historique concernant les problmes de performance ou de capacit subis par les ressources informatiques
- l'impact oprationnel/financier/rglementaire des problmes de performance ou de capacit.
Dterminer si des seuils ont t tablis et appliqus aux ressources informatiques en fonction des exigences mtiers et des CS. Voici quelques exemples de seuil :
- le centre d'appels augmente la capacit de la ligne rseau sur les appels entrants gratuits lorsque les lignes sont occupes 80 %
- les serveurs augmentent l'espace disque disponible lorsque les disques durs atteignent un niveau de capacit spcifique.
Dterminer comment les cas de performances inadaptes sont identifis et suivis.
Se procurer les dossiers d'incident et localiser les transactions identifies travers le systme pour dterminer si un suivi adapt a t mis en place.
Interroger les principaux employs responsables de l'application des CS au sein de l'entreprise pour dterminer comment ils surveillent, assurent le suivi et gnrent des rapports sur les
mesures de performance et de capacit des ressources informatiques.
Passer en revue les rapports oprationnels fournis aux principales parties prenantes.
DS3.3 Performance et capacit futures Utilisation optimise des ressources informatiques Niveaux de services mis contribution non
intervalles rguliers, faire des prvisions de performance et de Prvision des exigences mtiers relatives fournis aux mtiers
capacit des ressources informatiques pour rduire le risque l'infrastructure informatique Indisponibilit du systme en raison de
d'interruption de service cause de la dgradation de leurs Amlioration de la planification des capacits et ressources informatiques dfaillantes
performances et de l'insuffisance de leurs capacits. Relever les excs
des performances Systmes incapables de rpondre aux charges de
de capacit pour un ventuel redploiement. Relever les tendances de
la charge de travail et dterminer les prvisions inclure dans les traitement leves
plans de performance et de capacit.
Interroger les principaux employs concerns et examiner les rapports et la documentation sur les processus afin de vrifier l'utilisation d'outils et de procdures appropris pour
effectuer les tches suivantes :
- mesurer les performances et les capacits relles
- analyser l'utilisation de la capacit, la bande passante (ex : rapports d'utilisation du rseau et de la ligne principale) et les rapports de performance
- comparer la demande relle et la demande prvue en termes de ressources
- impliquer le management dans l'analyse des rapports de prvision et les discussions sur les ventuels carts.
Examiner les documents qui mesurent les performances relles des ressources informatiques par rapport aux performances et aux capacits prvues.
Dterminer comment les carts des comparatifs entre les chiffres rels et les prvisions/modles sont utiliss en analysant les modles de prvision et s'assurer qu'une analyse est
rgulirement effectue, en temps utile.
Demander aux principaux employs concerns s'ils connaissent bien la procdure de planification des capacits et la faon dont ils sont avertis des nouvelles exigences mtiers qui
peuvent ncessiter de modifier les applications, les serveurs ou d'autres ressources informatiques.
Vrifier, auprs des principaux employs concerns, la procdure de coordination de la planification et de l'acquisition des ressources informatiques lorsque ces actions sont imposes
par les modles de prvision.
Examiner un chantillon reprsentatif de CS et d'ANO et le plan de capacit pour dterminer si les contrles de l'utilisation des capacits et des performances prvues ncessitent des
ajustements rguliers.
ANNEXE IV
165
166

DS3.4 Disponibilit des ressources informatiques Utilisation efficace des ressources informatiques Indisponibilit du systme en raison de
Fournir les capacits et les performances requises en tenant compte Niveaux de services conformes aux exigences ressources informatiques dfaillantes
des caractristiques comme les charges de travail normales, les mtiers Incapacit prvoir la disponibilit et la facilit
imprvus, les exigences de stockage et les cycles de vie des Gestion efficace de la disponibilit des ressources d'emploi des services informatiques
ressources informatiques. Il faut prvoir des dispositions telles qu'un
informatiques Interruptions imprvues des services
classement des tches par priorit, des machines tolrance de
pannes et des allocations de ressources. Le management doit s'assurer informatiques
que les plans d'urgence peuvent correctement faire face des
problmes de disponibilit, de capacit et de performance des
diffrentes ressources informatiques.

Interroger les principaux employs concerns sur la procdure permettant d'obtenir, d'tudier et de mettre en uvre les exigences des fournisseurs et s'assurer qu'elles ont t prises en
compte dans les possibilits actuelles en termes de performance et de capacit.
Examiner la documentation relative aux fournisseurs pour s'assurer qu'elle indique les exigences des fournisseurs et les recommandations pour des performances et des capacits
minimales et optimales des ressources informatiques.
Interroger le management propos des insuffisances connues en matire de performance et de capacit.
Comparer ces informations avec les rsultats de la surveillance des performances actuelles et les exigences de capacit prvues.
Vrifier l'existence d'une liste hirarchise des activits qui doivent tre prises en charge par les applications informatiques.
Vrifier si le plan de capacit a t mis jour en tenant compte des actions correctives.
Vrifier si les processus de planification (PO2-PO3) ont reu le plan de capacit actualis pour leurs entres.
Vrifier si les actions correctives ont t dment appliques par la procdure de gestion des changements.
Interroger les principaux employs concerns propos de la procdure visant corriger les problmes de performance et de capacit.
Se procurer les dossiers d'incident et localiser les transactions identifies travers le systme (ajout de systmes supplmentaires, transfert des charges de traitement vers d'autres
serveurs) pour dterminer si une action corrective adapte a t mise en uvre.
Examiner les procdures d'escalade relatives aux problmes de performance des ressources informatiques.
Demander aux principaux employs concerns si des problmes d'urgence se sont rcemment produits, vrifier la conformit la procdure et dterminer si elle a t efficace.
DS3.5 Surveillance et comptes-rendus Identification des problmes ayant une incidence Surveillance insuffisante des performances
Surveiller en continu les performances et les capacits des ressources sur l'efficacit de la prestation de services Service incapable de fournir la qualit attendue
informatiques. Les donnes recueillies doivent servir deux Niveaux de services de rfrence identifiant des Anomalies non identifies en temps opportun,
objectifs : insuffisances en matire de perspectives ayant des rpercussions sur la qualit de service
Maintenir et ajuster les performances actuelles de l'informatique et Utilisation accrue des ressources informatiques
traiter des questions comme la rsilience, les imprvus, les charges de entranant l'amlioration de la prestation de
travail actuelles et futures, les plans d'archivage et l'acquisition de services
ressources.
Rendre compte de la disponibilit des services livrs aux mtiers
comme le prvoient les conventions de services.
Assortir tous les rapports d'incidents de recommandations pour les

rsoudre.
Interroger les principaux employs concerns pour dterminer si une procdure de collecte des donnes (ex : besoins en ressources informatiques, capacit, disponibilit, utilisation,
recommandations sur l'affectation des ressources, tablissement de priorits) a t dfinie pour aider le management.
Interroger le management pour dterminer si les activits de surveillance et de reporting sont formalises et intgres.
Localiser les commentaires sur les rsultats du suivi et du reporting dans les activits de performance et de planification des capacits.
Vrifier et confirmer que les rapports sur la capacit sont intgrs dans le processus de budgtisation et de planification informatique stratgique.
ANNEXE IV
167
Examiner la documentation sur la planification des capacits et des performances des ressources informatiques pour dterminer si le
processus de planification :
ncessite l'intgration de mtriques cls issues des CS
tient compte des exigences mtiers, des exigences techniques et des questions de cot
inclut des modles de performances et de capacits actuelles et prvues
inclut les documents de validation par les parties prenantes
implique le suivi et le reporting continus des SI.
Inspecter les rapports sur l'utilisation et le temps disponible des ressources informatiques pour dterminer si les capacits informatiques
actuelles sont appropries.
Vrifier et confirmer que des tudes comparatives sont effectues pour dterminer comment les concurrents de secteurs similaires tiennent
compte des prvisions de performance et de capacit.
Examiner les documents qui fournissent des informations sur la disponibilit des ressources informatiques dans des domaines tels que :
les exigences de stockage et la capacit actuelle
la redondance et la tolrance aux pannes
la raffectation des ressources informatiques pour tenter de rsoudre les problmes de disponibilit, de performance et de capacit.
Demander aux principaux employs concerns s'il existe des processus de surveillance et si des rapports s'y rapportant sont gnrs pour
grer la performance, la capacit et l'affectation des ressources informatiques.
Examiner les documents sur les comptes-rendus de performance pour s'assurer que des informations appropries sont rgulirement
transmises au management.
S'assurer que des plans de performance et de disponibilit sont utiliss dans les processus de budgtisation et pour l'amlioration de
l'architecture de l'information.

Examiner les rapports d'incidents et demander aux principaux employs concerns si les problmes de performance ou de capacit gnrent
rgulirement des interruptions.
Interroger les principaux employs chargs de la gestion des ressources informatiques pour dterminer s'ils sont informs des modifications
apportes aux exigences mtiers et aux CS ayant une incidence sur les capacits et les performances.

DS4 Assurer un service continu
Le besoin d'assurer la continuit des services informatiques exige de dvelopper, de maintenir et de tester des plans de continuit des SI, d'utiliser des capacits de stockage de sauvegardes
hors site et d'assurer une formation priodique au plan de continuit. Un processus de service continu efficace rduit les risques et les consquences d'une interruption majeure des services
informatiques vis--vis des fonctions et processus mtiers cls.
DS4.1 Rfrentiel de continuit informatique Continuit du service travers les SI Pratiques de continuit insuffisantes
Dvelopper un cadre de rfrence de la continuit informatique pour Plans de continuit informatique cohrents et Services de continuit informatique
assister la gestion de la continuit des activits mtiers dans documents incorrectement grs
l'ensemble de l'entreprise l'aide d'un processus cohrent. L'objectif Services grs pour les besoins mtiers Dpendance accrue vis--vis d'individus cls
de ce cadre de rfrence doit aider dterminer la rsilience requise
Objectifs court et long termes atteints, favorisant
de l'infrastructure et inciter au dveloppement de plans de reprise et
de secours informatique. Il doit prendre en compte la structure de la ralisation des objectifs de l'entreprise
gestion de la continuit de l'entreprise, couvrir les rles, tches et
responsabilits des fournisseurs de services internes et externes, leur
management et leurs clients, et les processus de planification qui
laborent les rgles et les structures pour documenter, tester et mettre
en uvre les plans de reprise et de secours informatique. Ce plan doit
aussi traiter des questions comme l'identification des ressources
critiques, des interdpendances cls, la surveillance et les comptes-
rendus sur la disponibilit des ressources critiques, les traitements
alternatifs, et les principes de sauvegarde et de restauration.
Vrifier et confirmer qu'une procdure de gestion de la continuit des activits mtiers dans l'ensemble de l'entreprise a t labore et valide par la direction gnrale.
Examiner l'analyse d'impact sur les mtiers et dterminer si la planification de la continuit s'est traduite par un positionnement clair des ressources requises pour la reprise des
oprations mtiers en cas d'interruption.
Inspecter le rfrentiel de continuit mtiers pour s'assurer qu'il inclut tous les lments requis pour la reprise du traitement des oprations mtiers en cas d'interruption des activits
(tenir compte de la responsabilit, de la communication, du plan d'escalade, des stratgies de reprise, des niveaux de services mtiers et informatiques et des procdures d'urgence).
ANNEXE IV
169
DS4 Assurer un service continu (suite)
170

DS4.2 Plans de continuit informatique Continuit du service travers les SI, rpondant Incapacit rtablir les services et systmes
En se basant sur le rfrentiel, dvelopper des plans de continuit des aux exigences des ressources informatiques informatiques en temps opportun
SI destins rduire les consquences d'une perturbation majeure des critiques chec des processus dcisionnels alternatifs
fonctions et processus mtiers cls. Les plans doivent tenir compte Directives, rles et responsabilits dfinis et Absence des ressources de secours requises
d'une valuation du risque en termes d'impacts potentiels pour les
documents chec de la communication avec les parties
mtiers et doivent traiter des exigences de rsilience, des traitements
alternatifs et des capacits de restauration pour tous les services Objectifs court et long termes atteints, favorisant prenantes internes et externes
informatiques critiques. Ils doivent aussi prendre en compte les la ralisation des objectifs de l'entreprise
guides de mise en uvre, les rles et responsabilits, les procdures,
les processus de communication et les modalits de tests.
S'assurer que des plans de continuit mtiers existent pour tous les processus et fonctions mtiers cls.
tudier un chantillon appropri de plans de continuit mtiers et s'assurer que chaque plan :
- est conu pour tablir les capacits de rsilience, de traitement alternatif et de restauration conformment aux exigences de services et aux objectifs de disponibilit
- dfinit les rles et responsabilits
- inclut des processus de communication
- dfinit la configuration de restauration minimale acceptable.
Se procurer la stratgie de test globale pour les plans de continuit mtiers et la preuve que les tests sont effectus selon la frquence convenue.
tudier le rsultat des tests et s'assurer que les actions en dcoulant font l'objet d'un suivi.
DS4.3 Ressources informatiques critiques Matrise des cots pour la continuit Indisponibilit des ressources informatiques
Concentrer l'attention sur les lments considrs comme les plus Gestion efficace des ressources informatiques critiques
vitaux dans le plan de continuit des SI pour en renforcer la capacit critiques Augmentation des cots lis la gestion de la
de rsilience et tablir les priorits lorsqu'on est dans une situation de Gestion de la reprise en fonction de priorits continuit
reprise. viter de perdre du temps rcuprer les lments les moins
Hirarchisation de la reprise des services ne
importants et tenir compte des priorits des besoins mtiers pour la
raction et la reprise ; s'assurer aussi que les cots restent un niveau tenant pas compte des besoins mtiers
acceptable et se conformer aux exigences rglementaires et
contractuelles. Prendre en compte les exigences de dure en matire
de rsilience, ractivit et reprise pour diffrents laps de temps, par
ex. 1 4 heures, 4 24 heures, plus de 24 heures et les priodes
critiques d'exploitation des mtiers.

Se procurer la liste des fonctions mtiers indiquant leur criticit mtier respective et s'assurer que des plans de continuit existent pour les fonctions mtiers les plus critiques, soutenant
les processus et les ressources.
tudier les plans pour s'assurer qu'ils sont conus (et tests) pour atteindre les objectifs mtiers et pour rpondre aux exigences lgales et rglementaires.
Dterminer comment la cohrence entre les plans est assure.
DS4.4 Maintenance du plan de continuit des SI Plans de continuit informatique appropris, Plans de reprise inappropris
Encourager la direction informatique dfinir et mettre en uvre favorisant la ralisation des objectifs de Plans incapables de reflter les changements de
des procdures de contrle des modifications pour s'assurer que le l'entreprise technologie et de besoins mtiers
plan de continuit des SI est maintenu jour et reflte en continu les Procdures de contrle des modifications Absence de procdures de contrle des
vritables exigences mtiers. Communiquer clairement et en temps
appliques aux plans de continuit informatique modifications
opportun les modifications de procdures et de responsabilits.
Parfaite connaissance des plans de continuit
informatique par les personnes concernes
Vrifier et confirmer que tous les exemplaires du plan de continuit informatique sont actualiss en tenant compte des rvisions et sont stocks sur site et hors site.
Vrifier et confirmer que toutes les modifications importantes des ressources informatiques sont communiques au responsable de la continuit pour qu'il mette jour le plan de
continuit informatique.
Vrifier et confirmer que les modifications du plan de continuit sont effectues une frquence adapte aux lments dclencheurs et qu'elles sont conformes aux procdures de
ANNEXE IV
contrle des modifications.
171
172

DS4.5 Tests du plan de continuit des SI Restauration efficace des systmes informatiques Plans de reprise dfaillants
Tester rgulirement le plan de continuit des SI pour s'assurer qu'on Personnel expriment dans les processus de Plans de reprise obsoltes, ne refltant pas
peut restaurer efficacement les systmes informatiques, qu'on traite restauration des systmes informatiques l'architecture actuelle
les anomalies et que le plan reste pertinent. Cela exige de faire une Plans mis niveau, permettant de remdier aux Procdures et tapes de reprise inappropries
prparation minutieuse, de documenter les tests, de rendre compte des
dfaillances lors de la restauration des systmes Reprise efficace impossible en cas de sinistre
rsultats, et de mettre en place un plan d'action en fonction de ces
rsultats. Envisager d'tendre les tests de restauration d'applications rel
individuelles des scnarios de tests intgrs, des tests exhaustifs et
l'intgration de tests fournisseurs.

Vrifier et confirmer que des tests de continuit informatique sont programms et excuts rgulirement suite la modification de l'infrastructure informatique ou d'applications mtiers
ou connexes.
S'assurer que les nouveaux composants et les mises jour sont intgrs dans la planification.
Vrifier et confirmer qu'un programme de tests dtaill a t labor et qu'il inclut le dtail des tests et la chronologie des vnements pour garantir une suite logique et relle des
interruptions gnres.
Vrifier et confirmer qu'un groupe charg des tests a t mis en place, que ses membres ne font pas partie du personnel cl dfini dans le plan et que le procdure de reporting est
approprie.
Interroger les principaux employs concerns pour dterminer si des sances de dbriefing ont lieu et si, au cours de ces sances, les checs sont analyss et des solutions sont labores.
Interroger les principaux employs concerns pour dterminer si des mthodes alternatives sont values lorsque les tests ne sont pas faisables.
Vrifier et confirmer que la russite ou l'chec du test est dtermin et communiqu, et que les modifications en rsultant sont apportes au plan de continuit informatique.
tudier les rsultats et dterminer comment les rsultats sont analyss pour dterminer l'efficacit fonctionnelle.
DS4.6 Formation au plan de continuit des SI Personnel expriment dans les processus de Programmes de formation obsoltes
Assurer pour toutes les parties concernes des sessions de formation restauration des systmes informatiques Incapacit restaurer les systmes comme prvu
priodiques sur les procdures et sur leurs rles et responsabilits en Formation du personnel sur les processus de en raison d'une formation inapproprie ou
cas d'incident ou de sinistre. Vrifier et amliorer la formation en reprise obsolte

fonction des rsultats des tests de situations d'urgence.
Formation programme pour tous les employs
concerns
Programmes de formation mis jour pour reflter
les rsultats des tests de situation d'urgence
Demander aux principaux employs concerns si des sessions de formation sont rgulirement organises.
Vrifier et confirmer que les besoins en formation et les programmes de formation sont rgulirement valus et actualiss.
tudier les programmes et les supports de formation pour dterminer leur efficacit fonctionnelle.
Interroger les principaux employs concerns pour dterminer si les programmes de sensibilisation la continuit informatique sont appliqus tous les niveaux.
DS4.7 Diffusion du plan de continuit des SI Personnel expriment dans les processus de Divulgation d'informations confidentielles dans
Vrifier ou faire en sorte qu'il existe une stratgie de diffusion dfinie restauration des systmes informatiques les plans
et gre, pour s'assurer que tous les plans sont distribus de faon Formation du personnel sur les processus de Plans non accessibles toutes les parties
sre et qu'ils sont disponibles pour les parties dment autorises et reprise concernes
intresses, l'endroit et au moment o elles en ont besoin. Bien
Plans disponibles et accessibles toutes les parties Mises niveau du plan non effectues en temps
vrifier que les plans sont accessibles selon tous les scnarios de
sinistres. concernes opportun en raison de stratgies de diffusion non
matrises
Vrifier et confirmer qu'une liste de diffusion du plan de continuit des SI est cre, dfinie et tenue jour. Examiner si les principes connatre ont t conservs pendant l'laboration
de la liste.
Se procurer la procdure de diffusion auprs du management.
valuer la procdure et en vrifier la conformit.
Vrifier et confirmer que tous les exemplaires numriques et papier du plan sont protgs de faon approprie et que seuls les employs autoriss peuvent accder aux documents.
DS4.8 Reprise et redmarrage des services informatiques Limitation des dlais de restauration Plans de reprise dfaillants
Prvoir les actions entreprendre pendant la priode de reprise et de Limitation des cots de restauration Procdures et tapes de reprise inappropries
redmarrage des services informatiques. Cela peut concerner Priorit donne la restauration des tches Incapacit rtablir les services et systmes
l'activation de sites de secours, le lancement de traitements critiques pour les mtiers critiques en temps opportun
alternatifs, la communication en direction des parties prenantes et des
clients, les procdures de redmarrage. S'assurer que les mtiers sont
conscients des dlais de restauration et des investissements
informatiques ncessaires pour faire face aux besoins de reprise et de
redmarrage des mtiers.
Se procurer une copie de la procdure de gestion des incidents et s'assurer qu'elle inclut des mesures d'valuation des dgts ainsi que des points de dcision et des seuils officiels pour
activer les plans de continuit.
tudier les plans de reprise informatique et s'assurer qu'ils sont conformes aux exigences mtiers.
ANNEXE IV
173
174

DS4.9 Stockage de sauvegardes hors site Disponibilit des donnes de sauvegarde en cas de Indisponibilit des supports et des donnes de
Stocker hors site tous les supports de sauvegarde critiques, la destruction physique du matriel informatique sauvegarde en raison de l'absence de
documentation et les autres ressources informatiques ncessaires la Gestion cohrente des donnes hors site dans documentation sur le stockage hors site
reprise des SI et aux plans de continuit mtiers. Dterminer le l'ensemble de l'entreprise Perte de donnes suite un sinistre
contenu de ce stockage de sauvegarde grce une collaboration entre
Protection approprie du stockage hors site Destruction accidentelle des donnes de
les propritaires des processus mtiers et le personnel informatique.
Les responsables de l'installation de stockage hors site doivent sauvegarde
s'aligner sur la politique de classification des donnes et sur les Impossibilit de localiser les bandes de
pratiques de stockage des supports de l'entreprise. La direction sauvegarde en temps utile
informatique doit s'assurer que les quipements hors site sont valus
priodiquement, au moins annuellement, en ce qui concerne leur
contenu, leur protection vis--vis de l'environnement et leur scurit.
S'assurer que la compatibilit des matriels et de logiciels permet de
restaurer les donnes archives, et tester et actualiser priodiquement
les archives.

Vrifier et confirmer que les donnes sont protges lorsqu'elles sont transfres hors site, pendant leur transfert et sur le site de stockage.
Vrifier et confirmer que les systmes de sauvegarde ne sont pas exposs aux mmes risques que le site principal.
Vrifier et confirmer que des tests priodiques sont effectus pour garantir la qualit des sauvegardes et des supports.
tudier les procdures de test pour dterminer leur efficacit fonctionnelle.
S'assurer que les supports de sauvegarde contiennent toutes les informations requises par le plan de continuit informatique, par exemple en comparant le contenu des sauvegardes et/ou
les systmes restaurs avec les systmes oprationnels.
Vrifier et confirmer l'existence d'un tiquetage et d'instructions de restauration suffisants.
Vrifier et confirmer l'existence d'un inventaire des sauvegardes et supports, et vrifier son exactitude.
DS4.10 Revue aprs redmarrage Plans de reprise mis jour Plans de reprise inadapts
Vrifier si la direction informatique a mis en place des procdures Objectifs atteints par les plans de reprise Plans de reprise incapables de rpondre aux
pour valuer l'adquation du plan de reprise de l'informatique dans de Plans de redmarrage adapts aux besoins mtiers besoins mtiers
bonnes conditions aprs un sinistre et mettre jour le plan en Objectifs non atteints par les plans de reprise
consquence.
Vrifier et confirmer que les dysfonctionnements du plan ont t mis en vidence et s'assurer de la tenue de runions post-reprise voquant les possibilits d'amlioration.
tudier les plans, politiques et procdures pour dterminer leur efficacit fonctionnelle.
ANNEXE IV
Dterminer le niveau de management pour l'tablissement du rfrentiel de continuit prenant en charge les processus de reprise du
traitement des oprations mtiers dans l'ensemble de l'entreprise.
Dsigner les composants dfinis pour faire face aux responsabilits oprationnelles et aux responsabilits finales de la prise en charge de la
stratgie mtiers en rponse une interruption des activits.
valuer les plans de continuit des SI pour identifier les stratgies de reprise et les niveaux de services requis pour atteindre les objectifs de
traitement des oprations mtiers.
Dterminer l'efficacit du plan de communication cr pour garantir la scurit de toutes les parties concernes et la coordination avec les
autorits publiques.
valuer les directives, rles et responsabilits assurant la reprise des exigences des processus mtiers court et long termes.
S'assurer de l'existence d'une formation priodique aux plans de continuit des SI.

Dterminer si les services de continuit informatique favorisent suffisamment la mise en uvre des services de gestion des processus
mtiers afin d'atteindre les objectifs de l'entreprise court et long terme.
valuer le rfrentiel pour dterminer si la planification repose sur la dpendance vis--vis d'individus cls plutt que sur la hirarchisation
des stratgies de reprise.
valuer l'impact sur la gestion des processus mtiers d'une situation dans laquelle les systmes informatiques ne sont pas restaurs en temps
opportun et dans laquelle aucun processus dcisionnel alternatif n'est prvu.
Dterminer l'impact mtiers si les ressources de reprise ne sont pas disponibles et s'il est impossible de communiquer avec les parties
prenantes internes et externes.
Demander au management si des perturbations informatiques se sont prolonges cause d'employs inexpriments qui n'ont pas suivi les
procdures de planification de la continuit informatique.

176

Le besoin de maintenir l'intgrit de l'information et de protger les actifs informatiques exige un processus de gestion de la scurit. Ce processus comporte la mise en place et la
maintenance de rles et des responsabilits, politiques, plans et procdures informatiques. La gestion de la scurit implique aussi une surveillance de la scurit, des tests priodiques et des
actions correctives lors d'incidents ou de dcouverte de failles dans la scurit. Une gestion efficace de la scurit protge tous les actifs informatiques pour rduire le plus possible les
consquences de vulnrabilits et d'incidents de scurit.
DS5.1 Gestion de la scurit informatique Protection des actifs informatiques critiques Absence de gouvernance de la scurit
Grer la scurit informatique au plus haut niveau appropri de Stratgie de scurit informatique rpondant aux informatique
l'entreprise, de faon ce que la gestion des actions de scurit soit besoins mtiers Absence d'harmonisation entre les objectifs
aligne sur les exigences des mtiers. Stratgie de scurit informatique conforme au mtiers et les objectifs informatiques
plan global de lentreprise Donnes et actifs informatiques non protgs
Pratiques de scurit mises en uvre et gres de
faon approprie, conformment la
rglementation et aux lois en vigueur

Dterminer s'il existe un comit de pilotage de la scurit, dont les membres sont issus des principaux services fonctionnels (audit interne, RH, exploitation, scurit informatique,
juridique, etc.).
Dterminer s'il existe une procdure permettant de hirarchiser les initiatives de scurit, y compris les niveaux requis des politiques, standards et procdures.
Vrifier et confirmer l'existence d'une charte de la scurit informatique.
Examiner et analyser cette charte pour s'assurer qu'elle tient compte de l'apptence pour le risque organisationnel relatif la scurit informatique et qu'elle prcise clairement :
- le champ d'application et les objectifs du service de gestion de la scurit
- les responsabilits de ce service
- les facteurs de conformit et les inducteurs de risque.
Vrifier et confirmer que la politique de scurit informatique couvre les responsabilits du conseil d'administration, de la direction gnrale, des cadres intermdiaires, des employs et
de tous les utilisateurs de l'infrastructure informatique de l'entreprise, et qu'elle fait rfrence des procdures et standards de scurit dtaills.
Vrifier et confirmer l'existence de politiques, standards et procdures de scurit dtaills. Voici quelques exemples de politiques, standards et procdures :
- Politique de conformit de la scurit
- Acceptation du risque par le management (reconnaissance de la non-conformit aux rgles de scurit)
- Politique de scurit des communications externes
- Politique de pare-feu
- Politique de scurit du courrier lectronique

- Contrat de conformit aux rgles de scurit informatique
- Politique de scurit des ordinateurs de bureau et ordinateurs portables
- Politique d'utilisation d'Internet.
Vrifier et confirmer l'existence d'une structure organisationnelle adquate et d'une structure hirarchique de la scurit informatique et valuer si les services d'administration et de
gestion de la scurit ont suffisamment de pouvoir.
Vrifier et confirmer l'existence d'un mcanisme de reporting en matire de gestion de la scurit, permettant d'informer le conseil d'administration et les directions informatique et
mtiers concernant la situation de la scurit informatique.
DS5 Assurer la scurit des systmes (suite)
DS5.2 Plan de scurit informatique Plan de scurit informatique rpondant aux Plan de scurit informatique non conforme aux
Traduire les exigences des mtiers, des risques et de la conformit exigences mtiers et couvrant tous les risques exigences mtiers
dans un plan global de scurit informatique tenant compte de auxquels les mtiers sont exposs Plan de scurit informatique non rentable
l'infrastructure informatique et de la culture de la scurit. S'assurer Investissements en scurit informatique grs de Mtiers exposs des menaces non prises en
que le plan se dcline en politiques et procdures de scurit assorties
faon cohrente pour permettre l'application du compte dans la stratgie
des investissements appropris en services, personnels, logiciels et
matriels. Communiquer les politiques et les procdures de scurit plan de scurit Disparits entre les mesures de scurit
aux parties prenantes et aux utilisateurs. Politiques et procdures de scurit informatique prvues et appliques
communiques aux parties prenantes et aux Utilisateurs non sensibiliss au plan de scurit
utilisateurs informatique
Utilisateurs sensibiliss au plan de scurit Mesures de scurit mises en chec par les
informatique parties prenantes et les utilisateurs

Dterminer l'efficacit de la collecte et de l'intgration des exigences de scurit de l'information dans un plan de scurit informatique global tenant compte de l'volution des besoins de
l'entreprise.
S'assurer que le plan de scurit informatique tient compte des plans informatiques tactiques (PO1), de la classification des donnes (PO2), des standards technologiques (PO3), des
politiques de contrle et de scurit (PO6), de la gestion des risques (PO9) et des exigences de conformit externes (SE3).
Dterminer s'il existe une procdure permettant de mettre jour priodiquement le plan de scurit informatique et si cette procdure ncessite que les modifications soient contrles et
valides par les niveaux de management appropris.
Dterminer si les principes de base de scurit de l'information dans l'entreprise qui s'appliquent toutes les grandes plates-formes sont conformes au plan de scurit informatique
gnral, si ces principes de base ont t enregistrs dans le rfrentiel centralis de configuration (DS9) et s'il existe une procdure pour mettre jour rgulirement les principes de base
en tenant compte des modifications du plan.
Dterminer si le plan de scurit informatique inclut les lments suivants :
- un ensemble complet de politiques et de standards de scurit conformes au cadre stratgique de scurit de l'information
- des procdures pour mettre en uvre et appliquer les politiques et standards
- les rles et responsabilits
- les besoins en personnel
- la formation et la sensibilisation en matire de scurit
- les pratiques de contrle de l'application
- les investissements dans les ressources de scurit requises.
Dterminer s'il existe une procdure pour intgrer les exigences de scurit de l'information et les conseils d'implmentation issus du plan de scurit informatique dans les autres
processus, dont l'laboration de CS et d'ANO (DS1-DS2), les exigences lies aux solutions informatiques (AI1), les logiciels applicatifs (AI2) et les composants de l'infrastructure
informatique (AI3).
ANNEXE IV
177
178

DS5.3 Gestion des identits Mise en uvre efficace des Modifications non autorises du
S'assurer que tous les utilisateurs (internes, externes et temporaires) et leur action sur changements matriel informatique et des logiciels
les systmes informatiques (applications mtiers, environnement informatique, Enqute adapte en cas d'activit Gestion des accs non conforme aux
exploitation, dveloppement et maintenance des systmes) sont identifiables sans d'accs illicite exigences mtiers et compromettant la
ambigut. Grer les identits l'aide de systmes d'authentification. S'assurer que les
Communication scurise garantissant scurit des systmes critiques pour les
droits d'accs des utilisateurs aux systmes et aux donnes sont en accord avec des
besoins mtiers dfinis et documents et que des profils de fonctions sont associs aux des transactions mtiers approuves mtiers
identits. S'assurer que les droits d'accs des utilisateurs sont demands par leur Exigences de scurit non spcifies
management, approuvs par le propritaire du systme et mis en place par la personne pour tous les systmes
responsable de la scurit. Tenir jour les identits et les droits d'accs des utilisateurs Non-respect de la sparation des tches
dans un entrept de donnes centralis. Dployer et maintenir oprationnelles au Divulgation d'informations systme
meilleur cot des techniques et des procdures pour crer l'identit des utilisateurs,
mettre en uvre leur authentification et pour faire respecter les droits d'accs.
Dterminer si les pratiques de scurit ncessitent que les utilisateurs et les processus systme soient identifiables sans ambigut et que les systmes soient configurs pour imposer
l'authentification avant d'autoriser l'accs.
Si des rles prdtermins et pr-autoriss sont utiliss pour accorder l'accs, dterminer si ces rles dfinissent clairement les responsabilits en fonction des privilges de base et
s'assurer que l'tablissement et la modification des rles sont valids par le management du propritaire du processus.
Dterminer si des mcanismes de fourniture d'accs et de contrle d'authentification sont utiliss pour contrler l'accs logique sur tous les utilisateurs, les processus systme et les
ressources informatiques, pour les utilisateurs, les processus et les systmes administrs en interne et distance.
DS5.4 Gestion des comptes utilisateurs Comptes utilisateurs grs et Failles de scurit
Disposer de procdures de gestion des comptes utilisateurs permettant de traiter les administrs de faon cohrente Utilisateurs ne respectant pas les rgles
demandes, attributions, ouvertures, suspensions, modifications et cltures des comptes Rgles et rglements pour tous les types de scurit
utilisateurs et des droits associs. Y inclure une procdure d'approbation spcifiant le d'utilisateurs Incidents non rsolus en temps opportun
nom du propritaire des donnes ou du systme qui attribue les droits d'accs. Ces
Dtection des incidents en temps Incapacit rsilier les comptes
procdures doivent s'appliquer tous les utilisateurs, y compris les administrateurs
opportun inutiliss en temps opportun, entranant
(utilisateurs privilgis), les utilisateurs internes et externes, dans les circonstances

normales ou dans les cas d'urgence. Les droits et obligations relatifs l'accs aux Protection des systmes informatiques des rpercussions sur la scurit de
systmes et aux donnes de l'entreprise doivent faire l'objet d'un accord contractuel et des donnes confidentielles vis--vis l'entreprise
avec tous les types d'utilisateurs. Effectuer une revue rgulire de la gestion de tous les des utilisateurs non autoriss
comptes et des privilges associs.

Dterminer s'il existe des procdures pour valuer rgulirement et rauthentifier les droits et accs aux systmes et applications.
Dterminer s'il existe des procdures de contrle d'accs pour contrler et grer les droits et privilges relatifs aux systmes et applications conformment aux rgles de scurit de
l'entreprise et aux exigences rglementaires et de conformit.
Dterminer si les systmes, applications et donnes ont t classs par niveau d'importance et de risque, et si les propritaires des processus ont t identifis et dsigns.
Dterminer si les politiques, standards et procdures de gestion des comptes utilisateurs s'tendent tous les processus et utilisateurs des systmes, y compris les fournisseurs,
prestataires de services et partenaires commerciaux.
DS5.5 Tests de scurit, vigilance et surveillance Personnel expriment en tests de scurit et Mauvaise utilisation des comptes utilisateurs,
Tester et surveiller de faon proactive la mise en place de la scurit surveillance des systmes informatiques compromettant la scurit de l'entreprise
informatique. Pour s'assurer que la scurit informatique se maintient Niveau de scurit rgulirement contrl Failles de scurit non dtectes
au niveau convenu, il faut revoir et renouveler en temps utile sa Mise en vidence des carts par rapport aux Journaux de scurit non fiables
validation. Une fonction de surveillance des identifications doit
exigences mtiers
permettre une prvention /dtection rapide suivie d'un rapport en
temps utile des activits inhabituelles/anormales qu'il peut tre Failles de scurit dtectes de faon proactive
ncessaire de traiter.
Vrifier et confirmer l'existence d'un inventaire de tous les priphriques rseau, services et applications et qu'un indicateur de risque de scurit a t attribu chaque composant.
Dterminer s'il existe des principes de base de scurit pour tous les SI utiliss par l'entreprise.
Dterminer si une surveillance rgulire des vnements de scurit existe pour tous les actifs du rseau prsentant un risque lev et critiques pour l'entreprise.
Dterminer si le service de gestion de la scurit informatique a t intgr dans les initiatives de gestion de projet de l'entreprise pour s'assurer que la scurit est prise en compte dans
les exigences de dveloppement, de conception et de test, afin de minimiser le risque de failles de scurit introduites par des systmes nouveaux ou existants.
ANNEXE IV
179
180

DS5.6 Dfinition des incidents de scurit Dtection proactive des incidents de scurit Failles de scurit non dtectes
Dfinir clairement et communiquer les caractristiques des incidents Signalement des failles de scurit un niveau Manque d'informations pour contre-attaquer
de scurit potentiels de faon ce que ceux-ci soient classifis et dfini et document Classification inexistante des failles de scurit
traits comme il convient par le processus de gestion des incidents et Moyens de communication identifis pour les
des problmes.
incidents de scurit
Dterminer s'il existe une cellule informatique d'intervention d'urgence (CERT, Computer Emergency Response Team) qui identifie et gre efficacement les urgences en matire de
scurit. Une procdure CERT efficace doit porter sur les domaines suivants :
Gestion des incidents : procdures gnrales et spcifiques et autres exigences pour garantir une gestion efficace des incidents et des vulnrabilits signales
Relations fournisseurs : rles et responsabilits des fournisseurs en matire de suivi et de prvention des incidents, de correction des failles logicielles et d'autres sujets
Communications : exigences, mise en uvre et fonctionnement des voies de communication standard et en cas d'urgence, parmi les principaux membres du management
Aspects lis aux enqutes pnales et judiciaires : questions souleves par des considrations juridiques et les exigences ou contraintes dcoulant de l'implication de services d'enqutes
pnales lors d'un incident
Relations avec les parties prenantes : services d'assistance du centre de rponse et mthodes d'interaction avec les parties prenantes (formation et sensibilisation, gestion de la
configuration, authentification, etc.)
Programme de recherche et interaction : identification des activits de recherche existantes et exigences et justification de la recherche ncessaire lie aux activits du centre de
rponse
Modle de la menace : laboration d'un modle de base qui caractrise les menaces et les risques potentiels pour aider privilgier les activits de rduction des risques et les avances
dans ces activits
Problmes externes : facteurs qui ne relvent pas directement de l'entreprise (ex : lgislation, politique, exigences procdurales) mais qui peuvent avoir une incidence sur le
droulement et l'efficacit des activits de l'entreprise.
Dterminer si la procdure de gestion des incidents de scurit offre une interface adapte avec les principales fonctions organisationnelles, dont le service d'assistance, les fournisseurs
de service externes et l'administration rseau.
Dterminer si la procdure de gestion des incidents de scurit inclut les lments cls suivants :
Dtection des incidents
Corrlation des vnements et valuation des menaces/incidents
Rsorption de la menace ou cration et transmission d'un ordre d'excution

Critres de lancement du processus CERT de l'entrepris
Vrification et niveaux requis de documentation de la rsolution
Analyse aprs application des mesures correctives
Clture de l'ordre d'excution ou de l'incident.
DS5.7 Protection de la technologie de scurit Protection de la technologie de scurit de Divulgation d'informations

Rendre rsistants des tentatives d'intrusion les composants de l'entreprise Abus de confiance vis--vis d'autres entreprises
scurit et ne pas divulguer inutilement la documentation sur la Scurisation des informations fiables Non-respect des exigences lgales et
scurit. Protection des actifs de l'entreprise rglementaires
Vrifier et confirmer que des politiques et procdures ont t tablies pour faire face aux consquences des failles de scurit (notamment en tenant compte des contrles de la gestion de
la configuration, de l'accs aux applications, de la scurit des donnes et des exigences de scurit physique).
Examiner les dossiers de contrle accordant et approuvant l'accs et consignant les tentatives infructueuses, les verrouillages, l'accs autoris des fichiers et/ou donnes confidentiels, et
l'accs physique aux installations.
Vrifier et confirmer que les fonctions de conception de la scurit facilitent les rgles de mot de passe (ex : longueur maximum, caractres, expiration, rutilisation).
Vrifier et confirmer que le contrle ncessite que le management tudie tous les ans les fonctions de scurit pour l'accs physique et logique aux fichiers et aux donnes.
Vrifier si l'accs est autoris et approuv de faon approprie.
Examiner les rapports de scurit gnrs par les outils systme empchant les attaques de vulnrabilit et de pntration rseau.
ANNEXE IV
181
182

DS5.8 Gestion des clefs de chiffrement Gestion dfinie et documente des cls Utilisation abusive de cls par des parties non
S'assurer que des politiques et des procdures sont en place pour Scurisation de la gestion des cls autorises
grer la gnration, la modification, la rvocation, la destruction, la Communications scurises Enregistrement d'utilisateurs non vrifis,
distribution, la certification, le stockage, l'entre, l'utilisation et compromettant la scurit du systme
l'archivage de cls de chiffrement afin de garantir leur protection
Accs non autoris aux cls de chiffrement
contre toute modification ou divulgation non autorise.
Dterminer s'il existe une procdure de gestion du cycle de vie des cls. Cette procdure doit inclure :
une taille de cl minimum requise pour la gnration de cls rsistantes
l'utilisation d'algorithmes de gnration de cls obligatoires
l'identification des standards requis pour la gnration des cls
les fonctions pour lesquelles les cls doivent tre utilises et rserves
les priodes d'utilisation autorises ou la dure de vie active des cls
les mthodes acceptables de distribution des cls
la sauvegarde, l'archivage et la destruction des cls.
Dterminer s'il existe des contrles appliqus aux cls prives pour assurer leur confidentialit et leur intgrit. Les lments suivants doivent tre pris en compte :
Stockage des cls de signature prives dans des systmes de chiffrement scuriss (ex : FIPS 140-1, ISO 15782-1, ANSI X9.66)
Cls prives non exportes depuis un module de chiffrement scuris
Cls prives sauvegardes, stockes et rcupres uniquement par le personnel autoris en utilisant un double contrle dans un environnement physiquement scuris.
Vrifier et confirmer que l'entreprise a mis en place une classification des informations et des contrles de protection connexes des informations, qui tiennent compte des besoins de
l'entreprise en matire de partage et de restriction des informations et des impacts organisationnels associs ces besoins.
Dterminer si des procdures sont dfinies pour garantir que la dsignation et le traitement des informations respectent le systme de classification des informations de l'entreprise.
DS5.9 Prvention, dtection et neutralisation des logiciels Scurit des systmes garantie par une protection Divulgation d'informations
malveillants proactive contre les logiciels malveillants Non-respect des exigences lgales et
Mettre en place des mesures de prvention, dtection et neutralisation Intgrit du systme garantie rglementaires
(en particulier des correctifs de scurit et des antivirus jour) dans Dtection des menaces en temps opportun Systmes et donnes exposs aux attaques de
l'ensemble de l'entreprise pour protger les systmes d'information et
virus
la technologie des logiciels malveillants (ex : virus, vers, logiciels
espion, pourriels (spams)). Contre-mesures inefficaces
Vrifier et confirmer qu'une politique de prvention contre les logiciels malveillants a t mise en place, est documente et communique dans l'ensemble de l'entreprise.
S'assurer que des contrles automatiques ont t mis en place pour assurer la protection antivirus et que les violations sont signales de faon approprie.
Demander aux principaux employs concerns s'ils connaissent la politique de prvention contre les logiciels malveillants et s'ils sont conscients de leur responsabilit pour garantir le
respect de cette politique.
Pour un chantillon de stations de travail d'utilisateurs, constater si un outil de protection antivirus a t install et contient des fichiers de dfinition de virus, et relever la date de
dernire mise jour des dfinitions.
Vrifier et confirmer qu'un logiciel de protection est distribu de faon centralise (version et correctifs) l'aide d'un processus centralis de configuration et de gestion des
modifications.
tudier le processus de distribution pour dterminer son efficacit fonctionnelle.
Vrifier et confirmer que les informations sur les nouvelles menaces potentielles sont rgulirement contrles et values et, si ncessaire, actualises manuellement dans les fichiers de
dfinition des virus.
tudier le processus de contrle et d'valuation pour dterminer son efficacit fonctionnelle.
Vrifier et confirmer qu'un filtrage appropri permet de dtecter les courriers lectroniques entrants non sollicits.
Contrler le processus de filtrage pour dterminer son efficacit fonctionnelle ou contrler le processus automatis mis en place pour le filtrage.
ANNEXE IV
183
184

DS5.10 Scurit des rseaux Protection de la technologie de scurit de Rgles de pare-feu incapables de s'aligner sur la
Mettre en oeuvre des techniques de scurit et des procdures de l'entreprise politique de scurit de l'entreprise
gestion associes (ex : pare-feux, dispositifs de scurit, Scurisation des informations fiables Non-dtection des modifications non autorises
compartimentage rseau, dtection d'intrusion) pour autoriser et Protection des actifs de l'entreprise des rgles de pare-feu
contrler les flux d'informations entre rseaux.
Gestion cohrente de la scurit des rseaux Mise en pril de l'architecture de scurit globale
Failles de scurit non dtectes en temps
opportun
Vrifier et confirmer qu'une politique de scurit des rseaux (ex : services fournis, trafic autoris, types de connexion autoriss) a t mise en place et est tenue jour.
Vrifier et confirmer que des procdures et des recommandations pour l'administration de tous les composants critiques en rseau (ex : routeurs d'infrastructure, zone DMZ,
commutateurs VPN) sont mises en place et rgulirement mises jour par le personnel d'administration concern, et que les modifications apportes la documentation font l'objet d'un
suivi dans l'historique documentaire.
DS5.11 change de donnes sensibles Fiabilit des canaux de communication Divulgation d'informations confidentielles
Ne faire circuler les changes de donnes sensibles que sur des Fiabilit de l'change de donnes Mesures de scurit physique inappropries
circuits srs ou sur des supports dots de contrles qui garantissent Protection de l'intgrit des donnes et systmes Connexions externes non autorises des sites
l'authenticit du contenu et fournissent la preuve de la rception et distants
celle de non-rpudiation de la part de l'expditeur.
Divulgation d'actifs de l'entreprise et
informations confidentielles accessibles aux
parties non autorises

Vrifier et confirmer que les donnes doivent tre chiffres avant d'tre transmises en dehors de l'entreprise.
Vrifier et confirmer que les donnes de l'entreprise sont classes selon le niveau de vulnrabilit et le systme de classification (ex : confidentielles, sensibles, etc.).
Vrifier et confirmer que le traitement des donnes confidentielles fait l'objet de contrles applicatifs qui valident l'opration avant transmission.
Vrifier si l'application journalise ou interrompt le traitement en cas de transaction incorrecte ou incomplte.
ANNEXE IV
Interroger et observer pour dterminer si le service de gestion de la scurit interagit efficacement avec les principaux services de
l'entreprise, y compris dans les domaines de la gestion des risques, de la conformit et de l'audit.
Analyser le processus d'identification et de raction aux incidents de scurit, en slectionnant un chantillon des incidents signals.
Interroger les personnes concernes et tudier la documentation d'accompagnement pour dterminer si le management a pris des mesures
adaptes pour remdier l'incident.
Slectionner un chantillon d'employs et dterminer si des accords d'utilisation informatique et de confidentialit (non-divulgation) ont t
signs dans le cadre des conditions d'embauche initiales.
Examiner les procdures, politiques, plans et stratgies de scurit informatique pour dterminer leur adquation au paysage informatique
actuel de l'entreprise, et dterminer les dates auxquelles ils ont t vrifis et mis jour pour la dernire fois.
Contrler les plans, politiques, stratgies et procdures informatiques et vrifier s'ils refltent la classification des donnes.
Interroger les parties prenantes et les utilisateurs sur leur connaissance des procdures, politiques, plans et stratgies de scurit
informatique et dterminer s'ils les jugent adapts aux risques et aux pratiques organisationnelles.
Interroger la direction gnrale sur les modifications rcentes ou prvues apportes l'entreprise (ex : acquisition/cession d'units
fonctionnelles, nouveaux systmes, modification de l'environnement rglementaire) et dterminer si le plan de scurit informatique est
correctement harmonis.
Dterminer si des procdures de scurit ont t mises en place pour identifier et contrler spcifiquement les actions de tous les utilisateurs
et les processus via un contrle du systme (systmes de dveloppement, de test et de production) et des comptes applicatifs, des files
d'attente des tches et services, ainsi que des paramtres des logiciels de scurit.
Examiner un chantillon de listes de contrle d'accs (ACL) pour dterminer si le processus de mise en place de la scurit tient compte des
lments suivants :
- la confidentialit des informations et des applications concernes (classification des donnes)
- les rgles de protection et de diffusion des informations (exigences lgales, rglementaires et contractuelles)
- le caractre indispensable de la fonction
- les profils d'accs utilisateur standard pour les postes classiques dans l'entreprise
- la ncessit de sparer les droits d'accs concerns
- l'autorisation d'accs accorde par le propritaire des donnes et le management
- la documentation sur l'identit et les droits d'accs dans un rfrentiel centralis
- la cration, la communication et la modification des mots de passe initiaux.
Interroger les personnes concernes et examiner un chantillon d'ACL pour dterminer s'il existe une procdure permettant de rpondre aux
demandes de fourniture d'accs qui ne sont pas en rapport avec les rles et les pratiques d'authentification de scurit tablis.
Dterminer si un processus d'valuation des risques a t utilis pour identifier l'ventuelle sparation des tches et si une procdure
d'escalade a t utilise pour obtenir des niveaux supplmentaires d'autorisation du management.
Dterminer s'il existe des mcanismes d'authentification et d'autorisation pour veiller l'application des droits d'accs en fonction du
caractre confidentiel et critique des informations (ex : mot de passe, jeton, signature numrique).
Dterminer si des relations de confiance permettent de garantir le respect de niveaux de scurit comparables et de grer les identits des
utilisateurs et des processus.
Slectionner un chantillon de comptes d'utilisateur et de systme et un exemple d'ACL pour dterminer l'existence des lments suivants :
- les rles et/ou droits requis clairement dfinis
- la justification mtier de la mission
- l'autorisation du propritaire des donnes et du management
- la justification mtier/risque et l'autorisation du management pour les demandes non-standard
- un accs requis conforme au rle ou la fonction professionnelle et la sparation obligatoire des tches
- une documentation dmontrant le respect et l'excution du processus de mise en uvre.
Se procurer, auprs des RH, un chantillon des mutations et des dparts d'employs et examiner les profils du compte systme et/ou les
ACL pour dterminer si l'accs a t modifi en consquence et/ou supprim en temps opportun.
Slectionner un chantillon des principaux services systme et priphriques rseau et dterminer si les mcanismes de contrle d'accs ont
t rgulirement valus et tests pour s'assurer de leur efficacit fonctionnelle.
Slectionner un chantillon des principaux services systme et priphriques rseau et dterminer s'ils ont t rgulirement surveills pour
dtecter d'ventuels incidents de scurit.
Obtenir un aperu des principes de base de scurit et dterminer s'ils sont correctement aligns sur le profil de risque de l'entreprise et sur
les niveaux de risque accept, et s'ils tiennent compte des vulnrabilits et des risques frquents (en d'autres termes, s'ils sont conformes aux
pratiques dominantes).
Slectionner un chantillon de systmes informatiques et dterminer s'ils sont conformes aux principes de base de scurit tablis. En cas
d'entorse aux principes de base, dterminer si une valuation des risques a t effectue et si le management a approuv cette situation.
Dterminer si une procdure de contrle de la scurit a t intgre dans les processus Acqurir et Implmenter (AI) et les processus
Dlivrer et Supporter (DS) de l'entreprise, ncessitant l'implication du management de la scurit et son autorisation concernant tous les
changements informatiques pouvant avoir une incidence sur la conception ou la scurit des systmes d'exploitation. Ce processus de
contrle doit tenir compte des lments suivants :
- l'architecture technologique globale
- l'accs aux bases de donnes et la conception de la scurit
- l'utilisation des protocoles, ports et interfaces de connexion
- les services requis

- les exigences relatives aux modems et l'accs distance des utilisateurs
- le chiffrement et l'authentification entre serveurs
- l'volutivit, la disponibilit et la redondance
- la gestion des sessions et l'utilisation des cookies
- les fonctionnalits administratives
- la gestion des identifiants et des mots de passe d'utilisateurs
- les pistes d'audit et la journalisation/gnration de rapports.
Dterminer si les pistes d'audit de scurit tiennent compte des lments suivants : identifiant de l'utilisateur (ID), type d'vnement, date et
heure, indication de russite ou d'chec, origine de l'vnement, identit ou nom de l'objet concern. Les vnements journaliss doivent
inclure les accs aux donnes confidentielles, les actions effectues par les comptes administratifs et privilgis, l'initialisation des journaux
d'audit et la modification des objets au niveau du systme.
Examiner et analyser les documents prenant en charge l'enregistrement, l'analyse et la rsolution des incidents de scurit potentiels, et
prendre les mesures suivantes :
- comprendre les mthodes utilises pour classer les incidents par catgories et identifier les menaces pouvant donner lieu des poursuites
- identifier les incidents de scurit spcifiques consigns et se renseigner sur la nature et l'issue de l'incident.
Examiner la documentation rvlant le processus utilis pour faire correspondre le stock de priphriques rseau de l'entreprise avec les
vulnrabilits publies, afin de vrifier si tous les priphriques disposent d'une version jour et des correctifs de scurit les plus rcents.
Dterminer s'il existe des procdures et responsabilits officielles de gestion tout au long du cycle de vie du gestionnaire de cls, y compris
pour les modifications de l'quipement de chiffrement, des logiciels et des procdures de fonctionnement.
Pour un chantillon de nouvelles cls, dterminer si des paires de cls ont t gnres conformment aux normes sectorielles et aux
exigences rglementaires et de conformit (ex : ISO 15782-1, FIPS 140-1, ANSI X9.66) et si la documentation atteste de l'existence de la
connaissance rpartie et du double contrle des cls (deux ou trois personnes sont ncessaires pour recrer la cl complte, chacune d'entre
elles ne connaissant qu'une partie de la cl).
Pour un chantillon de cls arrives expiration, dterminer si des documents attestent de la destruction complte des cls la fin du cycle
de vie des paires de cls.
tudier les dossiers de maintenance prouvant que le matriel de chiffrement fait l'objet de tests rguliers.
Se procurer une liste des individus qui ont accs aux cls, aux logiciels et au matriel de chiffrement, et dterminer si l'accs est limit aux
personnes dment autorises, charges de la cration et de la fourniture des cls.
Dterminer si les responsables des cls acceptent officiellement leurs responsabilits, en prennent acte et les comprennent.
Dterminer si les cls de chiffrement sont gnres, stockes et utilises de manire ce que les cls et leurs composants soient uniquement
connus des responsables autoriss.
Concernant les cls transmises par des fournisseurs tiers, dterminer si elles sont envoyes en plusieurs parties par diffrents transporteurs
et des dates diffrentes, et si chaque partie de la cl est stocke dans un coffre distinct, dont la combinaison est connue par un responsable
de cl distinct.
valuer les fonctionnalits de scurit du systme pour dterminer si des contrles proactifs ont t mis en place pour se prmunir contre
les attaques de scurit malveillantes.
Dterminer si le logiciel de protection du systme/des donnes est distribu de faon centralise d'un bout l'autre de l'environnement
rseau.
valuer les fonctionnalits de contrle pour le filtrage des informations non sollicites dans le trafic entrant.
Slectionner un chantillon de priphriques rseau stratgiques et s'assurer qu'ils sont correctement scuriss grce des outils et
mcanismes spciaux (ex : authentification pour la gestion des priphriques, communications scurises, mcanismes d'authentification
performants) et que la surveillance active et la reconnaissance des formes permettent de protger les priphriques contre les attaques.
Slectionner un chantillon de priphriques rseau et dterminer s'ils ont t configurs en n'activant qu'un minimum de fonctionnalits
(ex : celles qui sont indispensables au fonctionnement et renforces pour les applications de scurit), si tous les services, fonctionnalits et
interfaces inutiles ont t supprims, et si tous les correctifs de scurit appropris et les mises jour importantes sont appliqus au systme
en temps opportun, avant l'envoi en production.
Slectionner un chantillon de nouveaux priphriques rseau ou de modifications apportes aux priphriques rseau existants et
dterminer si les contrles des processus Acqurir et Implmenter (AI) et Dlivrer et Supporter (DS) de l'entreprise ont t suivis.
Slectionner un chantillon de systmes pare-feu et vrifier si les ACL tiennent compte des lments suivants :
- rgles d'accs distinguant efficacement les segments de rseau fiables et non-fiables
- documentation rvlant la fonction mtier et la validation des rgles par le management
- configurations respectant les principes de base valids par le management
- priphriques mis jour au niveau de la version et des correctifs.
Dterminer si le chiffrement est utilis pour tous les accs administratifs non-console, tels que SSH, VPN ou SSL/TLS.
Dterminer si les contrles automatiss protgent les donnes et les systmes, de faon transmettre les donnes via des sources fiables.
Dterminer si les responsables utilisateurs contrlent rgulirement les profils d'utilisateur et les droits d'accs afin de garantir l'adquation
des droits d'accs et des exigences pour la sparation des tches.
S'assurer que l'accs direct aux donnes est empch ou, s'il est ncessaire, qu'il est contrl et document en consquence.
S'assurer que les exigences de qualit des mots de passe sont dfinies et imposes par les systmes.

ANNEXE IV
Evaluer l'impact des faiblesses de contrle :
Dterminer l'importance du sens de la scurit au sein de l'entreprise en recherchant les aspects sur la scurit contenus dans la
documentation oprationnelle et fonctionnelle (ex : implication des responsables de la scurit dans le cycle de vie de dveloppement des
systmes).
Comparer le service de la scurit de l'information (ex : taille, liens hirarchiques) par rapport des entreprises similaires et comparer les
politiques, standards et procdures formalises avec les normes internationales et meilleures pratiques tablies dans le secteur.
Dterminer si le service de gestion de la scurit est proportionnel la taille et la complexit du paysage informatique. Tenir compte des
lments suivants :
- Taille, complexit et diversit du paysage informatique
- Utilisation d'outils et de technologies d'administration de la scurit
- Harmonisation entre la gestion de la scurit et les secteurs d'activit (ex : les divisions de l'entreprise ont-elles des services de scurit
concurrents ?)
- Comptences et formation du personnel charg de la gestion de la scurit
Dterminer si les membres de la direction gnrale communiquent sur l'importance et le soutien qu'ils apportent au service de gestion de la
scurit. Tenir compte de la validation des politiques de scurit officielles par la direction gnrale ou le comit de pilotage de la scurit.
Dterminer s'il existe une charte de scurit approuve par le management et des politiques, standards et procdures portant sur la scurit
logique de tous les aspects importants du paysage informatique de l'entreprise.
Dterminer si le plan de scurit informatique a suffisamment tenu compte du profil de scurit de l'entreprise, et notamment de toutes les
exigences rglementaires et de conformit.
valuer la capacit du service de gestion de la scurit mettre en uvre et surveiller la conformit au plan. Tenir compte de la taille de
l'entreprise, de l'utilisation d'outils et de technologies d'administration et d'valuation de la scurit, et des niveaux d'exprience requis et de
la formation continue dont bnficie le personnel de scurit.
Slectionner des documents sur les rgles, standards et procdures de diffrents secteurs au sein de l'entreprise (oprationnels, financiers, de
conformit) et dterminer si les principales clauses du plan de scurit informatique ont t correctement reprises dans la documentation.
Dterminer si une procdure de contrle de la scurit a t intgre dans les processus AI et DS de l'entreprise, ncessitant l'implication de
la direction de la scurit et son autorisation concernant tous les changements informatiques pouvant avoir une incidence sur la conception
ou la scurit des systmes d'exploitation.
Dterminer si les processus et les contrles AI de l'entreprise s'appuient sur des environnements spars de dveloppement, de test et de
recette, d'exploitation.
Dterminer l'existence et le bien-fond des comptes anonymes et des comptes de groupe (ex : personne, internaute, tout le monde), des
processus distants et des tches dmarres. Tenir compte de la nature et de l'tendue des types de transactions autorises, du risque de
transmission possible des droits, de l'origine du processus (ex : fiable, non fiable) ou dterminer si une tude de conception de la scurit a
t ralise pour les tches et processus lancs par des applications ou des systmes.
Dterminer si les applications, logiciels de scurit et logiciels de base connexes ont t configurs pour imposer l'authentification des
utilisateurs ou diffuser les identits des utilisateurs et processus. Dterminer s'il existe des comptes par dfaut pour authentifier les
processus ou utilisateurs anonymes.
Identifier les sources d'accs non scuris (ex : partenaires commerciaux, fournisseurs) et dterminer comment l'accs a t attribu pour
fournir des titulaires de comptes identifiables sans ambigut et une protection approprie des informations.
Grce des scripts ou des outils logiciels d'audit, dterminer l'existence de comptes inactifs ou inutiliss et l'existence d'une justification
mtier.
Identifier les comptes actifs des sous-traitants ou fournisseurs et dterminer si l'accs est conforme aux modalits et la dure du contrat.
Dterminer si les comptes des fournisseurs ont t correctement protgs (ex : modification des mots de passe par dfaut, rsiliation des
comptes).
valuer le caractre raisonnable de la nature et de la frquence des processus de vrification et d'valuation des vulnrabilits utiliss, en
tenant compte du profil de risque, de la taille, de la complexit et de la diversit de l'entreprise.
Dterminer si des outils et des scripts de scurit sont utiliss pour tester l'existence de vulnrabilits courantes, l'efficacit des mcanismes
de scurit et des processus d'administration des accs utilisateurs (ex : existence de comptes inactifs ou jamais utiliss, comptes utilisateurs
rsilis, comptes sans mot de passe ou modification impose du mot de passe).
Identifier et slectionner un chantillon de priphriques rseau essentiels l'entreprise (matriel et systmes applicatifs) et de
priphriques rseau se trouvant dans un primtre risque. Dterminer l'existence de capteurs de scurit ou l'utilisation de la
journalisation des htes pour dtecter les incidents, et s'assurer que les incidents de scurit sont inclus dans le processus de contrle
quotidien.
Se procurer un chantillon de tickets d'ordre d'excution relatifs aux incidents de scurit et dterminer si le problme a t rsolu de faon
approprie et cltur en temps opportun.
Dterminer si le dploiement d'outils de scurit tient compte des principales technologies utilises par l'entreprise et si le personnel
possde les comptences requises pour exploiter de faon approprie les technologies et outils de scurit.
Dterminer si le personnel de scurit doit suivre une formation annuelle et si les outils de scurit bnficient de mises jour rgulires de
leurs moteurs de dtection des menaces et vulnrabilits et des signatures/bases de donnes sur lesquels ils s'appuient.
Slectionner un chantillon de donnes confidentielles ou critiques pour les mtiers et dterminer si elles ont t scurises conformment
aux normes de chiffrement de l'entreprise.
Vrifier si le systme de chiffrement utilis pour protger les donnes stockes est suffisamment efficace pour rendre les donnes illisibles
et dterminer si une mthode quelconque peut permettre d'accder aux donnes effaces grce des techniques judiciaires.
Dterminer si les contrles de scurit ont t mis en uvre pour viter l'exposition aux vulnrabilits et attaques malveillantes.

Dterminer si le code portable (ex : Java, JavaScript) et les fichiers binaires et excutables tlchargs sont analyss avant d'en autoriser
l'utilisation au sein du rseau ou de bloquer leur introduction dans le rseau.
S'assurer que la documentation sur le rseau de l'entreprise cadre prcisment avec l'environnement rseau actuel (y compris les
priphriques sans fil) et examiner la conception rseau pour dterminer si des barrires de scurit sont stratgiquement positionnes la
priphrie du rseau, entre le rseau interne scuris de l'entreprise et les segments publics non fiables (Internet), les segments des
fournisseurs (prestataires de services) ou des partenaires commerciaux (extranet).
S'assurer que les modifications des paramtres relatifs la scurit respectent les processus de gestion des modifications de l'entreprise et
sont autorises et testes en consquence.
S'assurer que les informations confidentielles ne sont pas divulgues aux parties non autorises.

DS6 Identifier et imputer les cots
La ncessit d'un systme loyal et quitable pour affecter les cots informatiques aux mtiers exige qu'ils soient chiffrs avec prcision et qu'un accord soit conclu avec les utilisateurs mtiers
sur une juste rpartition. Ce processus comprend l'laboration et la mise en uvre d'un systme pour calculer et affecter les cots informatiques et en rendre compte aux utilisateurs de
services. Un systme de rpartition juste permet aux mtiers de prendre des dcisions mieux documentes propos de l'utilisation des services informatiques.
DS6.1 Dfinition des services Amlioration de la comprhension et de Cots mal comptabiliss

Identifier tous les cots informatiques et les faire correspondre aux l'acceptation des cots informatiques par le Dcisions d'investissement bases sur des
services informatiques pour aider btir un modle de cots management, facilitant une budgtisation plus donnes de cot incorrectes
transparent. Il faut lier les services informatiques aux processus efficace des services informatiques Utilisateurs mtiers disposant d'un aperu
mtiers pour que les mtiers puissent identifier les niveaux de
Les responsables utilisateurs ont accs des incorrect de la contribution de la valeur et des
facturation de services associs.
informations fiables et transparentes sur les cots cots des SI
informatiques contrlables pour accrotre
l'efficacit du contrle et du classement des
ressources par priorits
Directions mtiers capables d'identifier le cot
total pour chaque fonction mtier et, par
consquent, de prendre des dcisions en toute
connaissance de cause
Vrifier et confirmer l'existence d'une politique de rpartition des cots dans les diffrents services.
Inspecter la documentation dfinissant les services informatiques et vrifier si les diffrents services informatiques auxquels les cots seront imputs ont t dfinis et documents.
Examiner la mise en correspondance entre les services informatiques et l'infrastructure informatique et dterminer si elle est approprie en se procurant, par exemple, une copie des
stocks de matriel et logiciels informatiques et la liste des services informatiques pour s'assurer que tous les services et infrastructures ont t mis en correspondance.
Vrifier les sources d'information utilises pour crer la mise en correspondance afin de dterminer si elles sont adaptes l'exercice de mise en correspondance.
Examiner la mise en correspondance des services informatiques avec les processus mtiers pour s'assurer qu'elle a t effectue de faon complte et approprie. Pour ce faire, par
exemple, comparer la mise en correspondance avec l'organigramme ou les secteurs d'activit.
Demander et dterminer si les rsultats de la mise en correspondance ont t confirms auprs des propritaires des processus mtiers. Les questions doivent essentiellement permettre
de vrifier l'accord des propritaires de processus mtiers quant l'alignement des services informatiques fournis.
Examiner la documentation accompagnant la communication et l'accord sur la mise en correspondance pour dterminer si un accord a t obtenu. Ces documents peuvent inclure les
comptes-rendus de runions, la documentation sur le budget et les CS.
ANNEXE IV
189
DS6 Identifier et imputer les cots (suite)
190

DS6.2 Comptabilit de l'informatique Alignement plus efficace favoris entre les Incapacit du modle comptable actuel prendre
Calculer et affecter les cots rels en respectant le modle de cots objectifs mtiers et le cot des SI en charge la facturation interne quitable des
de l'entreprise. Les carts entre les prvisions et les cots rels Affectation facilite des ressources informatiques services
doivent faire l'objet d'analyses et de comptes-rendus conformes aux aux processus et projets informatiques mis en Cots enregistrs non conformes aux politiques
systmes de mesure financiers de l'entreprise.
concurrence comptables et financires de l'entreprise
Units oprationnelles capables de comprendre Les mtiers ont une vision incorrecte des cots
parfaitement le cot informatique total engag informatiques et de la valeur apporte
pour assurer le fonctionnement de diffrents
processus mtiers
Accroissement du niveau de productivit et
largissement de la vue mtier et du
professionnalisme du personnel au sein du service
informatique grce une responsabilit financire
accrue
Se procurer une copie des lments de cot dfinis (ex : dans un modle de rpartition des cots informatiques ou un systme de calcul des cots), les comparer aux lments de cot
dfinis pour l'ensemble de l'entreprise et identifier les diffrences.
Identifier les lments qui concernent uniquement l'informatique et valuer le bien-fond des lments de cot dfinis.
Examiner les entres du journal de rpartition des cots des factures pour enregistrer la rpartition des cots informatiques et valuer le bien-fond de cette rpartition. Par exemple, les
comparaisons entre services ou sous la forme d'un pourcentage des dpenses d'un service peuvent permettre d'identifier les rpartitions inappropries ou les cots non attribus.
Se procurer une copie de la configuration du systme de comptabilit analytique de l'entreprise et valuer le traitement des cots informatiques grce l'tude des registres des dpenses
informatiques, des factures inter-services, des entres du journal, etc.
Se procurer et examiner une copie de la documentation dans laquelle les budgets et les prvisions doivent tre actualiss en cas de modification de la structure des cots, et tudier cette
documentation avec les propritaires de processus mtiers et les responsables du service informatique pour dterminer si le processus est compris et dploy.
Examiner la documentation relative au processus de cration des rapports sur les budgets informatiques, les prvisions et les cots rels.
S'assurer que ces processus sont en harmonie avec les processus organisationnels gnraux et dterminer si les listes de diffusion et le planning des rapports sur les budgets initiaux, les
prvisions et les cots rels ce jour sont appropris. L'adquation de la distribution implique de tenir compte de tous les propritaires de processus mtiers concerns, de la direction
gnrale, etc.
L'adquation du planning de distribution des rapports implique de s'assurer que l'informatique est en harmonie avec les calendriers des rapports mtiers.
valuer les dfinitions des rles pour les destinataires des budgets, des prvisions et de l'analyse relle afin de dterminer si toutes les parties concernes figurent parmi les destinataires.
DS6 Identifier et imputer les cots (suite)
DS6.3 Modle de cots et facturation Rpartition des cots informatiques transparente Modle de cots non conforme aux procdures
En se basant sur la dfinition des services, mettre en place et utiliser pour toutes les parties concernes comptables globales
un modle de cots informatiques qui permette le calcul du taux de Informations fiables fournies l'entreprise Disparits entre les services identifis et les
refacturation interne par service. Ce modle de cots doit permettre concernant ses cots informatiques totaux services facturs
aux utilisateurs d'identifier, de mesurer et de prvoir la facturation
Possibilit de rattacher les dcisions Utilisation des services insuffisamment value
des services pour encourager une bonne utilisation des ressources.
d'investissement aux cots actuels et ne refltant pas l'utilisation mtier relle
Vrifier et confirmer que tous les lments et services facturables fournis par le service informatique sont correctement classs par catgories et dtaills, et que les frais correspondant
chaque service sont rpertoris.
S'assurer que les documents sont structurs conformment au cadre comptable de l'entreprise.
Interroger les principaux utilisateurs et tudier les rclamations du service utilisateur dans les factures internes pour s'assurer que le modle de facturation interne est transparent et
quitable.
Interroger la DSI pour s'assurer que le modle de calcul des cots et de facturation interne permet une planification efficace des ressources.
Slectionner un exemple de ressource/service, comparer le cot total et les revenus gnrs par la facturation interne, et analyser la diffrence.
DS6.4 Maintenance du modle de cots Rpartition des cots informatiques toujours Modle de cots non conforme l'utilisation
Faire rgulirement des revues et des tests comparatifs du modle de conforme l'utilisation mtier relle des services relle
cots et de refacturation pour en maintenir la pertinence et informatiques Mthode utilise pour la rpartition des cots
l'adquation aux volutions des activits mtiers et informatiques. Rpartition des cots base sur la mthode la non adapte aux besoins des mtiers et de
mieux approprie pour les mtiers et l'informatique
l'informatique
Vrifier et confirmer que le modle de cots/facturation est rgulirement contrl (ex : chaque anne ou chaque semestre), y compris les exigences mtiers actuelles et les
modifications des cots et services informatiques.
Examiner les documents du modle de facturation rvalu pour vrifier s'il a t valid par le management et pour dterminer son efficacit fonctionnelle.
Examiner les politiques ou standards ncessitant l'application de modles de cots/facturation informatiques et s'assurer qu'il existe une obligation de contrle par rapport au modle
d'entreprise (ex : chaque anne ou chaque semestre) ou qu'il existe un processus visant reflter les modifications du modle d'entreprise dans les modles informatiques.
ANNEXE IV
191
Vrifier et confirmer que la rpartition des cots dans les services est acceptable et/ou adapte l'entreprise.
Vrifier et confirmer que les cots sont affects aux diffrents services informatiques.
Vrifier et confirmer que la responsabilit de collecter et de rpartir les cots a t correctement attribue.
Examiner la documentation qui dfinit la mthode de rpartition des cots pour vrifier si tous les cots sont rpartis de faon raisonnable.
Pour ce faire, par exemple, comparer la rpartition des cots avec le budget ou les dpenses relles engages.
Se procurer le budget informatique et les budgets des divisions de l'entreprise, et dterminer s'il existe des cots de services informatiques
dans les budgets des diffrentes divisions.
Dterminer si le budget informatique est conforme aux besoins mtiers grce l'tude des budgets des divisions, des applications prises en
charge par les divisions, etc.
Slectionner un chantillon des cots engags et remonter l'origine de ces cots pour s'assurer qu'ils ont t correctement affects aux
services informatiques.
Extraire les cots importants (ex : les 10 % les plus levs, les cots importants pour les diffrentes divisions) et examiner ces cots pour
s'assurer qu'ils ont t correctement affects aux services informatiques.
Extraire tous les cots informatiques et les classer par type pour tablir des comparaisons avec les dfinitions des services informatiques.
S'assurer auprs des responsables des services informatiques que les services informatiques fournis possdent et tiennent compte de
l'ensemble du stock d'infrastructures. Pour ce faire, examiner le primtre gographique du service informatique et la nature des
applications et des services mtiers fournis, et discuter de ces paramtres avec les responsables des services informatiques ou en confirmant
le contenu des services informatiques tudis avec les diagrammes de rseau actuels.
Slectionner un chantillon de services informatiques et examiner les affectations de l'infrastructure informatique pour s'assurer de son
exhaustivit en tenant compte de la nature du service informatique fourni et de l'infrastructure connue requise pour l'assistance.
Slectionner un chantillon de l'infrastructure informatique pour s'assurer qu'il est mis en correspondance ou affect un secteur de services
informatiques.
Examiner les registres d'actifs, les diagrammes rseau ou autres inventaires d'infrastructures et dterminer si les affectations aux
propritaires des services ont t effectues.
Slectionner un chantillon d'actifs provenant de la visite du centre de donnes et s'assurer que les actifs sont correctement consigns dans
les registres d'actifs, les diagrammes rseau ou autres inventaires d'infrastructures.
Vrifier et confirmer que tous les lments de cot dfinis (ex : personnes, locaux, transferts, matriel informatique, logiciels) ont t
enregistrs.
Examiner les factures/rpartitions des cots/entres du journal pour enregistrer la rpartition des cots informatiques et valuer le bien-
fond de cette rpartition. Par exemple, les comparaisons entre services ou sous la forme d'un pourcentage des dpenses d'un service
peuvent permettre d'identifier les rpartitions inappropries ou les cots non attribus.
Comparer et rapprocher les cots affects aux services par rapport aux dpenses informatiques pour dterminer si des rpartitions
compltes et prcises sont effectues.
Examiner les dpenses informatiques enregistres dans les comptes du grand livre pour identifier les comptes prsentant un risque lev
(ex : comptes qui ne sont pas frquemment utiliss ou qui prsentent des mouvements de transactions importants) et contrler les critures
inhabituelles.
Slectionner un chantillon de factures du service informatique et s'assurer que le traitement comptable est conforme aux modles de
rpartition des cots de l'entreprise.
Analyser les informations sur les cots informatiques obtenues dans les comptes du grand livre pour dterminer si les comptes qui donnent
lieu des critures de journal standard ou imputes automatiquement sont correctement imputs. Par exemple, recalculer l'amortissement
des actifs informatiques pour s'assurer que l'amortissement accumul sur l'informatique est correctement affect aux services en fonction de
l'utilisation des services ou de pourcentages.
S'assurer auprs des propritaires de processus mtiers que des procdures ont t mises en place pour viter les modifications non
autorises de la rpartition des cots et pour dtecter/surveiller les modifications de la rpartition des cots.
Examiner un chantillon des modifications de la structure des cots et s'assurer que les budgets et prvisions des services concerns ont t
rviss et que les chiffres sont corrects.
Examiner les journaux des modifications pour identifier les changements importants ou le dploiement de nouveaux systmes, et
dterminer si ces changements ont eu un impact sur les structures des cots et s'ils se sont traduits par une modification ultrieure des
budgets et des prvisions.
tudier l'analyse des variations entre le cot budgt, le cot prvu et le cot rel et dterminer si elle a t effectue en temps opportun et
si elle est suffisamment dtaille. Dterminer si l'analyse a t effectue conformment aux standards de l'entreprise.
Examiner les listes de distribution pour s'assurer que tous les cadres dirigeants et les propritaires de processus mtiers concerns reoivent
l'analyse.
Demander aux propritaires de processus mtiers comment ils sont informs des modifications apportes aux cots de services
informatiques affects leur service.
Vrifier et confirmer que les demandes d'informations dues des procdures de tarification ou d'tablissement des cots mal dfinies sont
traites immdiatement et enregistres en vue d'une analyse rcapitulative. Suivre une demande d'informations travers le systme pour
dterminer l'efficacit fonctionnelle et s'assurer qu'elle est traite immdiatement.

ANNEXE IV
Comparer les dpenses informatiques en proportion des dpenses globales de l'entreprise et dterminer si les dpenses informatiques
semblent raisonnables en utilisant, par exemple, une analyse des tendances au fil des annes ou une analyse comparative par rapport aux
standards du march.
Slectionner un chantillon statistique des dpenses partir des comptes de charges informatiques et dterminer, grce une extrapolation
statistique, l'impact des rpartitions inappropries et la faon dont les comptes et/ou les services ont t affects.
Comparer et rapprocher les cots affects aux services par rapport aux dpenses informatiques pour dterminer si des rpartitions
compltes et prcises sont effectues.
Examiner les registres des RH pour identifier les changements d'effectifs depuis la dernire modification de la structure de cots, et
quantifier l'impact des changements sur les modles d'tablissement des cots. Comparer les livres de paie de l'anne prcdente et celui de
l'anne en cours pour valuer la cohrence de la masse salariale et pour dterminer si ces changements ont t rpercuts dans les modles
d'tablissement des cots.
Examiner les journaux des modifications pour identifier les changements importants ou le dploiement de nouveaux systmes, dterminer
si ces changements ont eu un impact sur les structures des cots et quantifier l'impact sur les modles d'tablissement des cots.
Comparer le registres des actifs de l'anne prcdente et ceux de l'anne en cours, identifier les nouveaux actifs importants et dterminer si
ces actifs ont eu un impact sur les structures de cots, par exemple en termes de dprciation et d'amortissement. Dterminer si des actifs
importants mis hors service n'ont pas t supprims correctement.
Demander aux propritaires de processus mtiers si le manque d'informations sur les budgets, les prvisions et les cots rels, en
provenance de l'informatique, a eu des rpercussions sur leur capacit grer les cots. valuer cet impact en discutant avec ces
propritaires de processus.
Vrifier et confirmer que tous les lments et services facturables fournis par le service informatique sont dtaills et que les frais
correspondant chaque service sont rpertoris.
Slectionner un chantillon statistique des dpenses partir des comptes de charges informatiques et dterminer, grce une extrapolation
statistique, l'impact des rpartitions inappropries et la faon dont les comptes et/ou les services ont t affects.

DS7 Instruire et former les utilisateurs
194

La formation efficace de tous les utilisateurs des systmes informatiques, y compris les informaticiens, exige de connatre les besoins en formation de chaque groupe d'utilisateurs. Outre
l'identification des besoins, ce processus doit aussi dfinir et mettre en uvre une stratgie de formation efficace et en mesurer les rsultats. Un programme de formation performant
augmente l'efficacit de l'utilisation de l'informatique en rduisant le nombre d'erreurs commises par les utilisateurs, en augmentant la productivit et en amliorant la conformit aux
contrles cls tels que les mesures de scurit utilisateurs.
DS7.1 Identification des besoins en savoir et en formation Besoins en formation du personnel identifis pour Employs ne bnficiant pas d'une formation
tablir et mettre rgulirement jour un programme pour chaque rpondre aux exigences mtiers approprie pour s'acquitter de leurs fonctions
groupe cible de salaris en prenant en compte : Des principes de base pour l'utilisation efficace de professionnelles
les besoins des mtiers et la stratgie actuels et futurs la technologie de l'entreprise par le personnel, que Mcanismes de formation inefficaces
la valeur de l'information en tant qu'actif ce soit immdiatement ou dans le futur Formation fournie inadapte aux besoins en
les valeurs de l'entreprise (valeurs thiques, culture de la scurit et
du contrle, etc.) Mise en place de programmes de formation et formation
la mise en place d'une nouvelle infrastructure informatique et de d'enseignement qui tiennent compte des risques et Sous-utilisation des fonctionnalits applicatives
nouveaux logiciels (ex : progiciels et applications) des opportunits auxquels l'entreprise est installes
les qualifications existantes et futures, les profils de comptences et confronte actuellement et dans le futur
les besoins de certification et/ou d'accrditation ou de raccrditation Optimisation des fonctionnalits applicatives
les mthodes d'enseignement (ex : classe, en ligne), la dimension installes pour satisfaire les besoins mtiers
des groupes cibles, l'accessibilit et les horaires.
Vrifier et confirmer qu'il existe un plan de formation et de perfectionnement professionnel du personnel informatique.
Se procurer et examiner le programme de la formation pour s'assurer de son exhaustivit (ex : ampleur du programme, frquence des cours, planning des cours, complexit des cours,
source de formation (cole locale du fournisseur ou institut professionnel).
Se procurer et examiner le calendrier de formation.
Se procurer et examiner le budget de formation.
Se procurer une copie des tests effectus, de notes et de la confirmation d'assiduit (ex : preuves d'examens et d'assiduit pour les cours en ligne).
Dterminer la procdure permettant au management d'laborer et de tenir jour un inventaire des comptences.
Se procurer et tudier le catalogue de l'inventaire des comptences et dterminer si les comptences qu'il contient correspondent aux systmes dploys.
S'assurer que la base de donnes des comptences est jour et que les connaissances disponibles sont maintenues jour.
Examiner la stratgie de formation pour s'assurer que les besoins en formation doivent tre intgrs dans les plans de performance individuelle des utilisateurs.
Examiner la documentation dtaillant la ncessit d'analyser les causes profondes, y compris la formation, partir des rsultats fournis par le service d'assistance.
DS7 Instruire et former les utilisateurs (suite)
DS7.2 Fourniture de formation et d'enseignement Intrt formalis et communiqu du management Mcanismes et programmes de formation
En se basant sur les besoins identifis en formation et en pour la formation slectionns inappropris et inefficaces
enseignement, identifier les groupes cibles et leurs membres, les Efficacit des programmes de formation et des Supports de formation utiliss obsoltes
mcanismes efficaces, les enseignants, formateurs et conseillers formateurs Assiduit et implication faibles
pdagogiques. Engager des formateurs et organiser des sessions de
Assiduit et implication suffisantes dans les
formation en temps voulu. Enregistrer les inscriptions (y compris les
conditions pralables), l'assiduit et l'valuation des performances de sessions et les programmes de formation
la session.
tudier le planning de formation et s'assurer qu'il rpond aux besoins de formation.

S'assurer que les ressources adquates sont disponibles pour assurer la formation.
Analyser un chantillon des programmes de formation et vrifier :
- le contenu par rapport aux objectifs
- l'assiduit relle par rapport l'assiduit prvue
- la satisfaction des participants
- la prise en compte des commentaires reus.
DS7.3 valuation de la formation reue Programmes de formation efficaces s'appuyant Programmes de formation slectionns
valuer en fin de session le contenu de l'enseignement et de la sur le retour d'informations des utilisateurs inefficaces et inappropris
formation pour en dterminer la pertinence, la qualit, l'efficacit, ce Programmes de formation pertinents Utilisation de supports de formation obsoltes
qui a t retenu, le cot et la valeur. Les rsultats de cette valuation Qualit optimise des programmes de formation Qualit dcroissante des programmes de
doivent nourrir la dfinition des programmes des sessions de
Contenu de formation labor et structur de formation de l'utilisateur final
formation venir.
faon approprie, permettant aux utilisateurs de Conception et structure du contenu de formation
conserver et de rutiliser les connaissances ne favorisant pas la conservation et la
Suivi/surveillance efficace des cots (financiers, rutilisation des connaissances
en matriel, etc.) et de la valeur ajoute Cots de formation suprieurs aux avantages et
la valeur ajoute de la formation
tudier les formulaires d'valuation pour s'assurer qu'ils mesurent efficacement la qualit et la pertinence du contenu et le niveau de rponse aux attentes.
ANNEXE IV
Dterminer si les ractions sont rcapitules dans un format utile pour la dfinition du programme de formation futur.
Se procurer la liste des actions de suivi et la preuve qu'elles ont t mises en uvre.
S'assurer que le public cible a t atteint.
195
tudier les communications transmises par le management au personnel pour l'encourager suivre les programmes de formation et d'auto-
apprentissage.
Se procurer et examiner les demandes de remboursement de frais pour la formation.
Se procurer une liste de supports de formation remis par les fournisseurs (ex : manuels, CD, kits de formation, programmes de cours).
Se procurer et tudier l'inventaire des brochures didactiques dans la bibliothque informatique.
S'entretenir avec les diffrents employs pour dterminer s'ils ont labor un plan de formation conforme aux exigences de leur entreprise
ou de leur service.
Examiner les registres d'incidents pour identifier les volutions de l'utilisation et du support systme pouvant indiquer des insuffisances en
termes de comptences.
Demander au management de dsigner les comptences spcifiques requises pour soutenir l'environnement et dterminer s'il existe un plan
pour dvelopper et renforcer ces comptences pour l'entreprise ou pour acqurir ces comptences via des accords avec des tiers.
Inspecter un chantillon des plans de performances individuelles pour dterminer si les besoins en formation technologique ont t intgrs.
Interroger le management sur les rsultats des valuations de performance et sur les ventuelles insuffisances identifies en termes de
comptences.
Examiner les rapports sur la gestion des problmes pour identifier les volutions de l'utilisation et du support systme pouvant indiquer des
insuffisances en termes de comptences.
tudier le processus permettant de dfinir des programmes de formation efficaces pour dterminer si :
- tous les besoins entrant en ligne de compte, y compris la planification, sont pris en compte ;
- les sessions de formation rpondent efficacement aux besoins en formation identifis ;
- les informations sur les mcanismes de prestation de formation sont jour ;
- les valuations rcentes des formateurs et des programmes sont analyses.
S'assurer de la prcision des rapports sur l'assiduit et l'excution des programmes de formation et d'enseignement.
Examiner les ractions des participants et des formateurs partir d'un chantillon de sessions de formation termines.
Interroger les utilisateurs pour valuer leur comprhension des sessions de formation, puis tudier les tests pour s'assurer qu'ils mesurent
efficacement la qualit et la pertinence du contenu des sessions et le niveau de rponse aux attentes.
Vrifier et confirmer que les parties prenantes ont t interroges et ont formul des commentaires sur l'enseignement et la formation.
comptences dans les domaines o une formation a t dispense.
Demander au management et aux utilisateurs si la formation dispense a permis d'amliorer l'efficacit et les connaissances.
Dterminer si des indicateurs, tels que la rduction du nombre d'appels au service d'assistance et la productivit des utilisateurs, sont
valus pour indiquer si la formation a eu l'impact souhait.
Examiner les valuations des cours pour dterminer le niveau de satisfaction des stagiaires vis--vis de la formation dispense. tudier
spcifiquement le niveau de satisfaction vis--vis des formateurs, du contenu des cours et du lieu des cours.

Se procurer les CV/dossiers du personnel pour dterminer si les comptences sont adaptes au poste.
Se procurer les CV/dossiers du personnel pour analyser les comptences par rapport aux systmes dploys.
Interroger le management et tudier les rapports (ex : listings des corrections de reporting et de comptabilit en fin de mois et en fin
d'anne) pour dterminer s'il est ncessaire de corriger les informations traites. Procder une analyse pour dterminer si les informations
incorrectes sont dues des connaissances inappropries des utilisateurs.
Dterminer les cots cumuls associs au temps d'indisponibilit dans les domaines o la formation ou les comptences ne sont pas
dfinies, et les comparer aux cots des services pour d'autres domaines ou par rapport des entreprises similaires.
Examiner les registres d'incidents pour identifier les volutions de l'utilisation et du support systme pouvant indiquer des insuffisances en
termes de comptences.
comptences, par exemple dans les domaines o une formation a t dispense.
valuer les indicateurs comparatifs, tels que la rduction du nombre d'appels au service d'assistance et la productivit des utilisateurs, pour
indiquer si la formation a eu l'impact souhait.

DS8 Grer le service d'assistance client et les incidents
Apporter des rponses efficaces et au bon moment aux requtes et aux problmes des utilisateurs exige un processus performant de gestion du service d'assistance et de gestion des incidents.
Ce processus comporte la mise en place d'un service d'assistance qui s'occupe de l'enregistrement et de l'escalade des incidents, de l'analyse des tendances et des causes, et des solutions.
L'intrt de l'entreprise passe par l'amlioration de la productivit grce la rsolution rapide des demandes des utilisateurs. Par ailleurs les mtiers peuvent rechercher les causes premires
(comme une formation insuffisante des utilisateurs) au moyen de comptes-rendus efficaces.
DS8.1 Service d'assistance client Accroissement de la satisfaction clientle Accroissement du temps d'indisponibilit
Mettre en place un service client qui doit faire l'interface entre Performances dfinies et mesurables du service Baisse de la satisfaction clientle
l'utilisateur et l'informatique, pour enregistrer, communiquer et d'assistance client Utilisateurs non informs sur les procdures de
analyser tous les appels, les rapports d'incidents, les demandes de Incidents signals, traits et rsolus en temps suivi des incidents signals
services et d'information. Il faut des procdures de surveillance et
opportun Problmes rcurrents non traits
d'escalade bases sur les niveaux de services dfinis dans les
conventions de services appropries ; cela doit permettre de classer
tout problme ou incident rapport, demande de service ou
d'information et de lui attribuer des priorits. Mesurer la satisfaction
des utilisateurs finaux l'gard de la qualit du service d'assistance
client et des services informatiques.
Vrifier et confirmer l'existence d'un service d'assistance informatique.

Vrifier et confirmer qu'une analyse a t effectue pour dterminer le modle de service d'assistance, la dotation en personnel, les outils et l'intgration dans d'autres processus.
S'assurer que les horaires de fonctionnement et le dlai de rponse attendu sont conformes aux exigences mtiers.
Vrifier et confirmer qu'il existe des instructions pour la prise en charge des demandes que le personnel du service d'assistance ne peut pas rsoudre immdiatement. Les requtes
doivent tre associes des niveaux de priorit pour dterminer le dlai de rsolution et les procdures d'escalade souhaits.
Demander au personnel comptent si les outils du service d'assistance sont mis en uvre conformment aux dfinitions de services et aux exigences des CS.
Les interroger sur l'existence de standards de service et sur la communication de ces standards aux clients.
ANNEXE IV
197
DS8 Grer le service d'assistance client et les incidents (suite)
198

DS8.2 Enregistrement des demandes des clients Rsolution efficace des incidents en temps Suivi partiel des incidents
Mettre en place une fonction et un systme qui permettent opportun Hirarchisation des incidents ne refltant pas les
d'enregistrer et de suivre les appels, les incidents, les demandes de Valeur ajoute pour les utilisateurs finaux besoins mtiers
services et les besoins en information. Cette fonction doit travailler Responsabilit de la rsolution des incidents Incidents non rsolus en temps opportun
en troite association avec des processus tels que la gestion des
incidents, des problmes, des changements, des capacits et de la
disponibilit. Les incidents doivent tre classs selon une priorit
mtier et une priorit de service, et dirigs vers l'quipe de gestion de
problmes approprie si ncessaire. Les clients doivent tre tenus
informs de l'tat d'avancement de leurs demandes.
S'assurer que des processus et des outils ont t mis en place pour enregistrer les demandes des clients, l'tat de la situation et les actions entreprises pour rsoudre le problme.
valuer le niveau d'exhaustivit et de prcision de ce rfrentiel.
S'assurer que le processus inclut l'ordonnancement des oprations pour le traitement et la remonte des requtes clients.
Examiner un chantillon de requtes clients (en cours et cltures) pour vrifier si elles sont conformes au processus et aux engagements de services.
DS8.3 Escalade des incidents Accroissement de la satisfaction clientle Utilisation inefficace des ressources
Mettre en place des procdures d'assistance client de faon ce que Cohrence du processus de rsolution des Indisponibilit des ressources du service
les incidents qui ne peuvent pas tre immdiatement rsolus soient problmes d'assistance client
transmis au niveau de support suprieur appropri dans les limites Responsabilit de l'incident rsolu Incapacit assurer le suivi de la rsolution des
prvues par les conventions de services, et que des solutions de
Suivi clair de l'volution de la rsolution des incidents
contournement soient identifies si ncessaire. S'assurer que la
proprit des incidents et la surveillance du cycle de vie restent entre incidents
les mains du service d'assistance client pour les incidents qui
concernent les utilisateurs, quelle que soit l'quipe informatique qui
travaille la rsolution des problmes.

Vrifier et confirmer que le service d'assistance client conserve la proprit des requtes et incidents relatifs aux clients.
S'assurer que le cycle de vie complet des requtes/incidents est surveill et transmis l'chelon suprieur par le service d'assistance client, de faon approprie.
S'assurer auprs des membres du management que les incidents importants leurs sont communiqus.
Examiner les procdures permettant de signaler les incidents importants au management.
Vrifier l'existence d'une procdure permettant de s'assurer que les registres d'incidents sont jour et indiquent la date et l'heure de chaque requte et l'affectation du personnel
informatique chaque requte.
Vrifier et confirmer qu'une procdure a t mise en place pour s'assurer que les membres du personnel informatique s'impliquent dans le traitement des requtes et des incidents et que
les registres d'incidents sont mis jour tout au long du cycle de vie.
DS8 Grer le service d'assistance client et les incidents (suite)
DS8.4 Clture des incidents Accroissement de la satisfaction clientle Collecte d'informations incorrectes
Mettre en place des procdures de surveillance de la rsolution des Processus de rsolution des incidents cohrent et Incidents courants non rsolus correctement
demandes des clients dans les temps. Lorsque l'incident a t rsolu, systmatique Incidents non rsolus en temps opportun
s'assurer que le service d'assistance client enregistre les tapes de sa Rcurrence des problmes vite
rsolution et confirmer que la solution apporte a reu l'agrment du
client. Enregistrer galement les incidents non rsolus (erreurs
connues et palliatifs) et en effectuer le rapport de faon disposer
d'informations pour une gestion correcte des problmes.
Vrifier et confirmer qu'un processus a t mis en place pour grer la rsolution de chaque incident.
Vrifier et confirmer que tous les incidents rsolus sont dcrits en dtail, y compris dans un journal dtaillant toutes les tapes de rsolution des incidents.
Examiner un chantillon d'incidents pour s'assurer que l'tat d'avancement de la gestion du cycle de vie de l'incident, y compris la rsolution et la clture, est communiqu.
DS8.5 Rapports et analyse des tendances Rduction du temps d'indisponibilit du service Service d'assistance incapable de soutenir les
Produire des rapports de l'activit du service d'assistance client pour Accroissement de la satisfaction clientle activits mtiers
permettre au management de mesurer la performance du service et Confiance vis--vis des services proposs Clients insatisfaits des services proposs
les temps de rponse, et d'identifier les tendances ou les problmes valuation et optimisation des performances du Incidents non rsolus en temps opportun
rcurrents, de faon ce que le service s'amliore en permanence.
service d'assistance Accroissement du temps d'indisponibilit pour le
client
Vrifier et confirmer qu'une procdure a t mise en place pour identifier toutes les requtes dont le dlai de rsolution adopt a t dpass, approfondir l'enqute sur ces requtes et en
communiquer les rsultats.
Vrifier et confirmer qu'une analyse des tendances est effectue sur toutes les requtes pour identifier les incidents et schmas qui se rptent, en complment de l'identification des
problmes.
Vrifier si les donnes relatives l'analyse des tendances et aux incidents sont rgulirement transmises aux responsables de la rsolution des problmes.
Vrifier et confirmer que l'analyse est effectue en fonction des ractions des clients, afin d'valuer leur niveau de satisfaction vis--vis des services fournis par l'quipe d'assistance.
Confirmer l'existence de rapports d'analyse des ractions des clients et vrifier si des actions correctives ont t entreprises pour amliorer le service.
S'assurer que les performances du service d'assistance sont compares aux normes du secteur.
Vrifier si une analyse comparative est utilise pour permettre l'amlioration continue.
ANNEXE IV
199
Vrifier la faon dont les clients et les utilisateurs sont informs des standards du service d'assistance et vrifier l'existence de ces mthodes
(affichages au centre d'assistance ou en ligne, etc.).
Vrifier l'existence de fichiers journaux consignant les commentaires des utilisateurs.
Vrifier l'efficacit du systme en termes de surveillance et d'amlioration des taux de satisfaction clientle.
Vrifier l'existence de rapports de performance du service d'assistance.
Examiner un chantillon des entres du journal rpertoriant les appels qui n'ont pas t rsolus immdiatement et dterminer si les
procdures d'escalade appropries ont t respectes.
Dterminer si les mtriques communiques tiennent compte des objectifs pertinents du service d'assistance. Demander qui utilise les
rapports et dans quel but.
Surveiller plusieurs appels au centre d'assistance pour vrifier si les procdures existantes sont respectes. Effectuer le suivi des appels
observs dans le systme de suivi des incidents de service.
Vrifier et confirmer que les incidents sont correctement hirarchiss, conformment au rglement.
Examiner un chantillon de tickets d'incidents pour vrifier s'ils sont conformes au rglement.
Slectionner un chantillon de requtes et s'assurer que les registres d'incidents sont jour et indiquent la date et l'heure de chaque requte
et l'affectation du personnel informatique chaque requte.
Examiner un chantillon de la documentation relative aux incidents de fonctionnement et s'assurer que ces incidents sont conformes aux
niveaux de priorit dfinis par le rglement.
Vrifier et confirmer que les utilisateurs sont informs de l'avancement de la rsolution des incidents.
Vrifier et confirmer que tous les enregistrements de requtes et d'incidents sont surveills tout au long de leur dure de vie et
rgulirement tudis pour garantir une rsolution des requtes clients en temps opportun.
Vrifier et confirmer que les requtes et les incidents sont uniquement clturs aprs confirmation de l'auteur de la requte.
Examiner un chantillon d'incidents et s'assurer qu'un suivi manuel ou automatis de la rsolution a t effectu.
Par le biais d'une inspection, s'assurer que les incidents sont analyss pour assurer la mise jour de la base de connaissances, y compris
concernant les moyens de contourner le problme, les erreurs connues et la cause premire pour des incidents similaires se produisant
ultrieurement. Inspecter physiquement la base de connaissances et examiner un chantillon d'entres pour s'assurer que les moyens de
contourner le problme sont indiqus, ainsi que la cause premire si elle est connue.
Examiner un chantillon des registres d'incidents pour vrifier s'ils ont t surveills et remplis conformment aux CS.
Slectionner un chantillon d'enregistrements et s'assurer auprs de l'auteur de la requte qu'ils ont t consults avant clture.
Dterminer s'il existe des dfinitions appropries pour la classification des incidents (ex : par impact et urgence).
Dterminer si des procdures sont dfinies pour l'escalade fonctionnelle et hirarchique.
Vrifier et confirmer que la gestion des incidents est clairement relie aux plans d'urgence et de continuit.

Observer plusieurs appels au service d'assistance pour vrifier les procdures non documentes. Les procdures d'escalade non
documentes doivent attribuer les tickets d'incidents que le service d'assistance ne peut pas rsoudre aux employs comptents du service
informatique.
S'assurer que tous les appels critiques sont hirarchiss par le responsable du service d'assistance ou un cadre suprieur.
Observer les activits de l'quipe d'assistance informatique et relever les procdures non documentes visant journaliser les incidents et
les classer par priorits.

DS9 Grer la configuration
Assurer l'intgrit des configurations matrielles et logicielles exige de constituer et de tenir jour un rfrentiel de configuration prcis et complet. Ce processus doit prvoir la collecte des
informations de la configuration initiale, l'tablissement de configurations de base, la vrification et l'audit des informations de configuration, et la mise jour du rfrentiel de configuration
lorsque c'est ncessaire. Une gestion efficace de la configuration facilite une plus grande disponibilit du systme, la rduction des problmes de production et une rsolution plus rapide de
ceux-ci.
DS9.1 Rfrentiel de configuration et configuration de base Planification efficace du matriel informatique et Changements non conformes l'architecture
Constituer un rfrentiel centralis et mettre en place un outil pour des logiciels pour grer les services mtiers technologique globale
recenser toutes les informations qui concernent les lments de Configuration dploye de faon homogne dans Actifs non protgs correctement
configuration. Surveiller et enregistrer tous les actifs et les toute l'entreprise Non-dtection des modifications non autorises
changements qui y sont apports. Pour chaque systme et chaque
Planification optimise pour que les changements du matriel et des logiciels, pouvant gnrer des
service, tenir jour une base des composants de sa configuration
pour pouvoir s'y rfrer aprs une modification. soient conformes l'architecture globale failles de scurit
conomies d'chelle grce au regroupement des Informations documentes ne refltant pas
fournisseurs l'architecture actuelle
Rsolution rapide des incidents Rtablissement impossible
Vrifier et confirmer que la direction gnrale dfinit le champ d'application et les mesures des fonctions de gestion de la configuration et qu'elle value les performances.
Vrifier et confirmer qu'un outil a t mis en place pour permettre la journalisation efficace des informations de gestion de la configuration dans un rfrentiel.
Dterminer si l'accs cet outil est limit au personnel comptent.
Examiner un chantillon des lments de configuration pour s'assurer qu'un identifiant unique leur est attribu.
Vrifier et confirmer que les principes de base de la configuration des composants sont dfinis et documents.
Examiner si ces principes de base permettent d'identifier la configuration systme certains moments prcis.
Vrifier et confirmer l'existence d'une procdure documente permettant de rtablir la configuration de base.
Tester un chantillon des systmes et applications en s'assurant que leur configuration de base peut tre rtablie.
Vrifier et confirmer l'existence de mcanismes permettant de surveiller les modifications par rapport au rfrentiel et aux principes de base dfinis.
S'assurer que le management reoit des rapports rguliers et que ces rapports se traduisent par des plans d'amlioration continue.
ANNEXE IV
201
DS9 Grer la configuration (suite)
202

DS9.2 Identification et maintenance des lments de Gestion efficace des changements et des incidents Incapacit identifier les lments critiques
configuration Conformit aux exigences comptables pour les mtiers
Mettre en place des procdures spcifiques pour faciliter la gestion et Gestion des changements non matrise,
l'enregistrement de tous les changements apports au rfrentiel de entranant la perturbation des activits
configuration. Intgrer ces procdures aux procdures de gestion des
Incapacit valuer l'impact d'un changement
changements, de gestion des incidents et de gestion des problmes.
cause d'informations imprcises
Incapacit comptabiliser les actifs avec
prcision
Vrifier et confirmer qu'une stratgie a t mise en place pour s'assurer que tous les lments de configuration et leurs attributs sont identifis et tenus jour.
Vrifier et confirmer l'existence d'une politique d'tiquetage des biens matriels.
S'assurer que les biens sont physiquement tiquets, conformment cette politique.
Vrifier et confirmer l'existence d'une politique d'accs en fonction des rles.
S'assurer que le personnel autoris et comptent a dfini l'accs au rfrentiel de configuration conformment la politique tablie.
Vrifier et confirmer qu'une stratgie a t mise en place pour s'assurer que les procdures de gestion des problmes et des changements sont intgres dans la maintenance du rfrentiel
de configuration.
Vrifier et confirmer qu'une procdure a t mise en place pour enregistrer les lments de configuration nouveaux, modifis et supprims, et identifier et grer les relations entre les
lments de configuration du rfrentiel de configuration.
Examiner la documentation approprie, l'excution en temps opportun et l'intgrit des donnes du processus.
Vrifier et confirmer qu'une procdure permet de s'assurer qu'une analyse est effectue pour identifier les lments de configuration critiques.
S'assurer que cette procdure prend en charge la gestion des changements et l'analyse des futures demandes de traitement et acquisitions technologiques.
Vrifier et confirmer que les procdures d'achat prvoient l'enregistrement des nouveaux actifs dans l'outil de gestion de la configuration.
S'assurer que les donnes de gestion des configurations correspondent aux registres d'achats.
DS9 Grer la configuration (suite)
DS9.3 Revue d'intgrit des configurations Identification des anomalies par rapport la Incapacit identifier les lments critiques
Passer en revue de manire priodique les donnes de la configuration de base pour les mtiers
configuration afin de vrifier et confirmer l'intgrit de la Optimisation de l'identification et de la rsolution Gestion des changements non matrise,
configuration en cours par rapport son historique. Vrifier des problmes entranant la perturbation des activits
rgulirement les logiciels installs par rapport aux politiques
Identification des logiciels non autoriss Actifs mal utiliss
d'utilisation des logiciels afin d'identifier les logiciels personnels ou
sans licence, ou tout nombre de licences excessif par rapport aux Augmentation des cots associs la rsolution
contrats de licence en cours. Rdiger un rapport et agir pour corriger des problmes
les erreurs ou les anomalies.
Vrifier et confirmer qu'une procdure a t mise en place pour vrifier rgulirement l'intgrit de toutes les donnes de configuration.
tudier les rapports qui comparent les donnes enregistres et l'environnement physique.
S'assurer que les anomalies sont signales et corriges.
S'assurer que l'harmonisation du matriel et des logiciels est rgulirement effectue par rapport la base de donnes de configuration.
Si des outils automatiss sont utiliss, effectuer une harmonisation manuelle par rapport l'enregistrement automatis.
S'assurer que des revues priodiques sont effectues par rapport aux politiques d'utilisation des logiciels afin d'identifier les logiciels personnels ou sans licence, ou tout nombre de
licences excessif par rapport aux contrats de licence en cours.
ANNEXE IV
203
Demander au management si des changements de configuration inoprants ou des failles de scurit se sont produits et dterminer si ces
problmes se sont traduits par une perte d'actifs d'entreprise, la divulgation d'information ou une priode d'indisponibilit.
Dterminer si l'accs l'outil de journalisation est limit au personnel concern.
Examiner un chantillon des lments de configuration pour s'assurer qu'un identifiant unique leur est attribu.
Vrifier si les principes de base permettent d'identifier la configuration systme certains moments prcis.
Vrifier et confirmer l'existence d'une procdure documente permettant de rtablir la configuration de base.
Examiner les rsultats des outils conus pour dtecter les changements de configuration et dterminer si ces changements sont conformes
aux spcifications de conception et la stratgie de scurit de l'entreprise.
Examiner les outils utiliss pour la base de donnes de gestion des configurations (BDGC) et s'assurer que la quantit et la qualit des
informations fournies par la BDGC sont appropries pour tous les processus informatiques.
Dterminer si les informations de configuration sont contenues dans des systmes informatiques redondants.
Slectionner un chantillon de postes de travail et examiner la configuration et les logiciels installs par rapport aux standards de la
configuration de base, pour s'assurer qu'aucune modification non autorise n'a t effectue.
Dterminer si l'utilisation de logiciels sans licence est empche et s'il existe des procdures pour dtecter les logiciels interdits.
S'assurer que le management reoit des rapports rguliers et que ces rapports se traduisent par des plans d'amlioration continue.
Tester un chantillon des systmes et applications en s'assurant que leur configuration de base peut tre rtablie.
Se procurer des outils d'valuation de la vulnrabilit pour les technologies dployes et les excuter pour dterminer si des vulnrabilits
connues ont t corriges.
Dterminer ce qui doit tre document (ex : lments de configuration, registres d'incidents, registres des changements, planification des
changements, informations de disponibilit, niveaux de services) pour l'examen des informations de configuration et pour documenter les
relations entre les lments de configuration.

Demander au management si des changements de configuration inoprants ou des failles de scurit se sont produits et dterminer si ces
problmes se sont traduits par une perte d'actifs d'entreprise, la divulgation d'information ou une priode d'indisponibilit.
Examiner des copies des rapports internes et externes sur les valuations de la configuration et dterminer si des anomalies de configuration
ont t identifies.
Utiliser les outils d'valuation de la vulnrabilit pour les technologies dployes afin de dterminer si des vulnrabilits connues ont t
corriges.

DS10 Grer les problmes
Une gestion efficace des problmes exige de les identifier, de les classer, d'analyser leurs causes initiales et de leur trouver des solutions. Le processus de gestion des problmes implique
aussi de formuler des recommandations d'amlioration, de tenir jour les enregistrements des problmes et de vrifier o en sont les actions correctives. Un processus efficace de gestion des
problmes favorise la disponibilit des systmes, amliore les niveaux de services, rduit les cots, rpond mieux aux besoins des clients et augmente donc leur satisfaction.
DS10.1 Identification et classification des problmes Outils permettant d'optimiser les performances du Perturbation des services informatiques
Mettre en place des processus pour signaler et classer les problmes service d'assistance Probabilit accrue d'une rptition des
qui ont t identifis comme relevant de la gestion des incidents. Les Gestion proactive des problmes problmes
tapes de la classification des problmes sont similaires celles de la Optimisation de la formation de l'utilisateur final Problmes et incidents non rsolus en temps
classification des incidents ; elles consistent dterminer la
Traitement efficace et efficient des problmes et opportun
catgorie, l'impact, l'urgence et la priorit. Rpartir les problmes
selon les groupes ou domaines auxquels ils appartiennent (ex : incidents Absence de pistes d'audit des problmes,
matriel, logiciel, logiciel d'assistance). Ces groupes peuvent Problmes et incidents rsolus en temps opportun incidents et de leurs solutions pour une gestion
correspondre aux responsabilits organisationnelles de l'utilisateur ou Amlioration de la qualit des services proactive des problmes et incidents
du client, et doivent servir dterminer l'quipe d'assistance informatiques Rcurrence des incidents
laquelle ils seront affects.
Vrifier et confirmer que des processus appropris, soutenus par des outils adapts, sont mis en place pour identifier et classer les problmes.
tudier les critres tablis pour classer et hirarchiser les problmes, en s'assurant qu'ils se traduisent par des classifications conformes aux engagements de services et aux units
organisationnelles charges de rsoudre ou d'endiguer le problme.
S'assurer qu'une procdure a t mise en place pour garantir la prcision de la classification et identifier les raisons d'une ventuelle mauvaise classification afin d'y remdier.
Se procurer un chantillon reprsentatif de la base de donnes des problmes pour s'assurer que les problmes sont classs et hirarchiss de faon approprie.
ANNEXE IV
205
DS10 Grer les problmes (suite)
206

DS10.2 Suivi et rsolution des problmes Perturbation ou rduction limite de la qualit des Rcurrence des problmes et incidents
S'assurer que le systme de gestion des problmes fournit les outils services informatiques Perte d'informations
de pistes d'audit adquats qui permettent de suivre, d'analyser et de Traitement efficace et efficient des problmes et Incidents critiques non rsolus de faon
dterminer les causes initiales de tous les problmes signals en incidents approprie
prenant en compte :
Dlai rduit entre la dtection et la rsolution des Perturbation de l'activit
tous les lments de configuration associs
les problmes et les incidents non rsolus problmes Qualit de service insuffisante
les erreurs connues et souponnes Rsolution approprie des problmes par rapport
le reprage des tendances en matire de problmes. aux niveaux de services adopts
Trouver et initier des solutions viables qui s'appliquent aux causes Amlioration de la qualit des services
initiales, en suscitant des demandes de modification par informatiques
l'intermdiaire du processus de gestion des changements. Au cours
du processus de rsolution, les responsables de la gestion des
problmes doivent obtenir des rapports rguliers de l'quipe de
gestion des modifications sur la progression de la rsolution des
problmes et des erreurs. Ces responsables doivent surveiller en
continu les consquences des erreurs et des problmes connus sur les
services utilisateurs. Dans le cas o ces consquences deviendraient
graves, l'quipe de gestion des problmes doit faire remonter le
problme, peut-tre un niveau de direction appropri, pour
augmenter la priorit de la demande de modification, ou pour mettre
en uvre une modification d'urgence selon le cas. Suivre la
progression de la rsolution du problme conformment aux contrats
de services.
S'assurer que des processus et des outils ont t mis en place pour enregistrer, classer, hirarchiser et suivre les problmes jusqu' leur rsolution.
S'assurer que les outils incluent les mcanismes de reporting utiliss pour produire des rapports de gestion sur les problmes.
Slectionner un chantillon de rapports sur les problmes et vrifier l'adquation des lments suivants :
- la documentation sur les problmes pour l'analyse des causes premires
- l'identification du responsable du problme et du responsable de sa rsolution
- les informations sur l'tat du problme.

DS10 Grer les problmes (suite)
DS10.3 Clture des problmes Requtes rsolues dans les dlais convenus Requtes en attente
Mettre en place une procdure pour clturer les enregistrements de Amlioration de la satisfaction clientle et Perturbation accrue des services
problmes, soit aprs confirmation de l'limination russie de l'erreur utilisateur Incidents critiques non rsolus de faon
connue, soit aprs un accord avec les mtiers sur la faon de trouver Traitement efficace et efficient des problmes et approprie
une solution alternative.
incidents Mcontentement vis--vis des services
Capacit appliquer les enseignements tirs lors informatiques
de la rsolution future de problmes de mme
nature
Vrifier et confirmer que les problmes sont uniquement clturs aprs confirmation de leur rsolution par les parties prenantes.
Slectionner un chantillon reprsentatif de problmes et vrifier, en interrogeant les parties prenantes, que celles-ci ont t informes de la clture des problmes, de faon complte et
en temps opportun.
DS10.4 Intgration de la gestion de la configuration, des Amlioration de la satisfaction des clients Perte d'informations
incidents et des problmes Traitement efficace et efficient des problmes et Incidents critiques non rsolus de faon
Pour assurer une gestion efficace des problmes et faciliter les incidents approprie
amliorations, intgrer les processus de gestion de la configuration, Gnration de rapports documents sur les Perturbation de l'activit
de gestion des incidents et de gestion des problmes.
problmes et incidents Augmentation du nombre de problmes
Gestion efficace des services Baisse de la satisfaction vis--vis des services
informatiques
Passer en revue les processus de gestion de la configuration, de gestion des incidents et de gestion des problmes, et s'assurer qu'ils sont correctement intgrs.
tudier les enregistrements pour s'assurer que les responsables des diffrents secteurs se runissent rgulirement et rsolvent les problmes frquents.
ANNEXE IV
207
Comparer la liste des incidents avec les rapports d'incidents et les journaux d'erreurs pour s'assurer que le processus de traitement des
incidents fonctionne correctement.
Vrifier l'existence d'une documentation relative l'identification et au traitement des problmes.
Examiner un chantillon de rapports pour s'assurer qu'ils sont utiliss en temps opportun et qu'ils contiennent les informations ncessaires.
S'assurer que les erreurs connues, les outils d'analyse des incidents et les causes premires sont communiqus aux processus de gestion des
incidents.
S'assurer que l'tat du processus de traitement des problmes est surveill tout au long de sa dure de vie, y compris l'apport de la gestion
des changements et de la configuration.
Passer en revue les calendriers et les comptes-rendus des runions entre les propritaires des processus mtiers, concernant la gestion des
configurations, des incidents et des problmes.
Examiner et analyser les enregistrements et les rapports concernant le cot total des problmes.

Vrifier et confirmer que les modifications gnres par le processus de gestion des problmes sont surveilles, pour valuer l'amlioration
globale des services informatiques.

DS11 Grer les donnes
Une gestion efficace des donnes impose d'identifier les exigences qui les concernent. Le processus de gestion des donnes ncessite aussi de mettre en place des procdures efficaces pour
grer la mdiathque, les sauvegardes et la restauration des donnes, et l'limination des supports de faon approprie. Une gestion efficace des donnes aide garantir la qualit et la
disponibilit des donnes mtiers au moment opportun.
DS11.1 Exigences des mtiers pour la gestion des donnes Gestion des donnes favorisant les exigences Gestion des donnes ne favorisant pas les
Vrifier qu'on reoit toutes les donnes attendues d'un traitement et mtiers exigences mtiers
qu'elles sont traites compltement, avec justesse, en temps opportun Recommandations pour le traitement des donnes Failles de scurit
et que tous les rsultats sont fournis conformment aux exigences des Transactions de donnes autorises Exigences mtiers, lgales et rglementaires non
mtiers. Prendre en compte les besoins de redmarrage et de
Stockage scuris des sources respectes
retraitement.
Se procurer l'inventaire des lments de donnes.

Pour chaque lment de donnes, s'assurer que les exigences de confidentialit, d'intgrit et de disponibilit ont t dfinies et que ces exigences ont t valides par les propritaires
des donnes.
S'assurer que des contrles correspondant aux exigences ont t dfinis et mis en place.
DS11.2 Dispositifs de stockage et de conservation Gestion des donnes favorisant les exigences Donnes non protges contre les modifications
Dfinir et mettre en place des procdures efficaces et efficientes de mtiers ou l'affichage non autoriss
stockage, de conservation et d'archivage des donnes en rponse aux Recommandations pour le traitement des donnes Documents non rcuprs lorsque cela est
objectifs des mtiers ainsi qu'aux exigences de la politique de Stockage scuris des sources ncessaire
scurit de l'entreprise et aux exigences rglementaires.
Rcupration efficace des donnes Non-respect des obligations lgales et
rglementaires
Accs non autoris aux donnes
tudier le modle de donnes et s'assurer que les techniques de stockage sont conformes aux exigences mtiers.
Examiner les priodes de conservation des donnes et s'assurer qu'elles sont conformes aux exigences contractuelles, lgales et rglementaires.
ANNEXE IV
209
DS11 Grer les donnes (suite)
210

DS11.3 Systme de gestion de la mdiathque Comptabilisation de tous les supports Intgrit des supports compromise
Dfinir et mettre en place des procdures pour tenir jour un Gestion amliore des sauvegardes Supports de sauvegarde indisponibles au
inventaire des supports stocks et archivs de faon s'assurer qu'ils Protection de la disponibilit des donnes moment opportun
sont utilisables et garantir leur intgrit. Rduction du dlai de restauration des donnes Accs non autoris aux cassettes de sauvegarde
Destruction de sauvegardes
Incapacit dterminer l'emplacement des
supports de sauvegarde
Se procurer l'inventaire des supports et, partir d'un chantillon, s'assurer que les supports peuvent tre identifis dans la liste d'inventaire et que l'origine des lments stocks peut tre
retrouve dans l'inventaire.
partir d'un chantillon, s'assurer que les tiquettes externes correspondent aux tiquettes internes. Sinon, s'assurer que les tiquettes externes sont apposes sur le support appropri.
DS11.4 Mise au rebut Protection approprie des donnes de l'entreprise Divulgation des donnes de l'entreprise
Dfinir et mettre en uvre des procdures permettant de s'assurer que Gestion optimise des sauvegardes Intgrit compromise des donnes
les exigences des mtiers en termes de protection de donnes Protection de la disponibilit des donnes confidentielles
sensibles et de logiciels sont satisfaites lors de la mise au rebut ou de Accs non autoris aux cassettes de sauvegarde
la cession de donnes et de matriel.
que la responsabilit de l'laboration et de la communication des politiques de mise au rebut est clairement dfinie
que les quipements et supports contenant des informations confidentielles sont nettoys avant d'tre rutiliss ou mis au rebut, de faon ce que les donnes signales comme
"supprimes" ou " liminer" ne soient pas rcuprables (ex : les supports contenant des donnes hautement confidentielles ont t physiquement dtruits)
que les quipements et supports limins contenant des informations confidentielles sont consigns dans un journal afin de conserver une piste d'audit
qu'il existe une procdure permettant de supprimer les supports actifs de la liste d'inventaire des supports lors de la mise au rebut. S'assurer que l'inventaire en cours a t mis jour pour
reflter les mises au rebut rcentes dans le journal
que les quipements et supports non nettoys sont transports de faon scurise tout au long du processus de mise au rebut
que l'entreprise de traitement des dchets dispose de la scurit physique et des procdures ncessaires pour stocker et manipuler les supports et quipements avant et pendant la mise au
rebut.
DS11.5 Sauvegarde et restauration Restauration approprie des donnes de Divulgation des donnes de l'entreprise
Dfinir et mettre en place des procdures pour la sauvegarde et la l'entreprise Incapacit restaurer les donnes de sauvegarde
restauration des systmes, des applications, des donnes et de la Gestion optimise des sauvegardes, au moment opportun
documentation conformes aux exigences des mtiers et au plan de conformment aux exigences des mtiers et au Procdures de restauration ne rpondant pas aux
continuit.
plan de sauvegarde exigences mtiers
Protection de la disponibilit et de l'intgrit des Incapacit restaurer les donnes en cas de
donnes sinistre
Dlai prescrit inadapt pour la ralisation des
sauvegardes
que les donnes critiques ayant une incidence sur les oprations mtiers sont rgulirement identifies conformment au modle de gestion des risques et au plan de continuit des
services informatiques
que des politiques et procdures adquates pour la sauvegarde des systmes, applications, donnes et documentations existent et tiennent compte des facteurs suivants :
. la frquence des sauvegardes (ex : disques en miroir pour des sauvegardes en temps rel ou DVD-ROM pour une conservation longue dure)
. le type de sauvegarde (ex : complte ou incrmentale)
. le type de support
. les sauvegardes en ligne automatises
. les types de donnes (voix, optiques, etc.)
. la cration de fichiers journaux
. les donnes informatiques critiques pour l'utilisateur final (ex : feuilles de calcul)
. l'emplacement physique et logique des sources de donnes
. la scurit et les droits d'accs
. le chiffrement.
que des responsabilits ont t attribues pour la ralisation et la surveillance des sauvegardes
qu'il existe un chancier pour effectuer et journaliser les sauvegardes conformment aux politiques et procdures en vigueur
que les systmes, applications, donnes et documentations grs ou traits par des tiers sont correctement sauvegards ou qu'ils sont scuriss. Le renvoi des sauvegardes par les tiers
doit tre demand et un systme de squestre ou de dpt doit tre envisag
que des exigences ont t dfinies pour le stockage sur site et hors site des donnes de sauvegarde et qu'elles rpondent aux exigences mtiers, y compris concernant l'accs requis aux
donnes de sauvegarde
que des tests de restauration suffisants ont t effectus rgulirement pour s'assurer que tous les composants des sauvegardes peuvent tre efficacement restaurs
que le dlai requis pour la restauration a t adopt et communiqu avec le propritaire du processus mtier ou informatique. La priorit en matire de restauration des donnes est
base sur les exigences mtiers et sur les procdures de continuit des services informatiques.
ANNEXE IV
211
212

DS11.6 Exigences de scurit pour la gestion des donnes Scurisation et protection appropries des Utilisation abusive ou destruction de donnes
Dfinir et mettre en place des politiques et procdures pour identifier informations confidentielles confidentielles
et mettre en uvre les exigences de scurit applicables la Seuls les utilisateurs autoriss peuvent visualiser Accs non autoris aux donnes
rception, au traitement, au stockage physique et la sortie de ou modifier les informations Transmission de donnes incompltes et
donnes conformment aux objectifs des mtiers, aux exigences de la
Exhaustivit et exactitude des donnes transmises inexactes
politique de scurit de l'entreprise et aux exigences rglementaires.
Donnes modifies par des utilisateurs non
autoriss
qu'un processus permet d'identifier les donnes confidentielles et qu'il rpond aux besoins mtiers en termes de confidentialit des donnes, que la conformit aux lois et
rglementations a t prise en compte et que la classification des donnes a t convenue avec les propritaires des processus mtiers
qu'une politique a t labore et mise en place pour protger les donnes et messages confidentiels contre l'accs non autoris et la transmission et le transport inappropris, y
compris, entre autres, par le chiffrement, les codes d'authentification des messages, les sommes de contrle, les courriers recommands et l'emballage inviolable pour le transport
physique
que des exigences ont t tablies pour l'accs physique et logique aux donnes en sortie et que la confidentialit des rsultats est clairement dfinie et prise en compte
que des rgles et procdures ont t tablies pour l'accs de l'utilisateur final aux donnes et pour la gestion et la sauvegarde des donnes confidentielles
que des rgles et procdures ont t tablies pour les applications d'utilisateur final qui peuvent avoir des rpercussions ngatives sur les donnes stockes dans les ordinateurs des
utilisateurs finaux ou sur les donnes ou applications mises en rseau (ex : envisager des politiques sur les droits des utilisateurs vis--vis des ordinateurs personnels mis en rseau)
que des programmes de sensibilisation ont t mis en place pour susciter et maintenir la vigilance en matire de scurit lors de la manipulation et du traitement des donnes
confidentielles
que les systmes de traitement des informations confidentielles sont placs dans des locaux physiquement scuriss, protgs par des primtres de scurit dfinis ainsi qu'une
surveillance adapte, des barrires de scurit et des contrles d'entre
que la conception de l'infrastructure physique empche les pertes causes par un incendie, des perturbations, une attaque externe ou un accs non autoris
quil existe des points de livraison scuriss en sortie pour les sorties sensibles ou le transfert de donnes des tiers.
ANNEXE IV
tudier la documentation relative aux exigences mtiers pour s'assurer que le mcanisme de documentation est utilis comme prvu.
Examiner les outils de gestion des donnes pour s'assurer qu'ils sont utiliss conformment leur description.
Vrifier si l'accs aux supports et aux systmes est limit au personnel autoris.
Vrifier si les supports susceptibles de se dtriorer, tels que les bandes, sont rgulirement remplacs.
Slectionner un chantillon de la liste d'limination des supports et s'assurer que les supports mis au rebut ne figurent pas dans la liste
d'inventaire des supports.
Examiner les systmes de stockage sur site et hors site et vrifier leur accessibilit.
Examiner un chantillon de rsultats de tests pour s'assurer que les restaurations sont russies et que le dlai requis pour la restauration
concide avec les CS et les exigences de continuit.
S'assurer que les donnes de sauvegarde sont stockes hors site, comme l'exigent les processus de continuit.
S'assurer que les procdures pour garantir l'intgrit des informations archives sont en place et respectes.

Vrifier et confirmer qu'une politique a t mise en place et qu'elle rpond aux besoins mtiers pour la mise au rebut ou la rutilisation des
quipements et supports, afin de minimiser le risque de divulgation de donnes confidentielles des personnes non autorises.
Vrifier et confirmer que les donnes critiques ayant une incidence sur les oprations mtiers sont rgulirement identifies, conformment
aux modle de gestion des risques et au plan de continuit des services informatiques.
S'assurer que la confidentialit, l'intgrit et la disponibilit des donnes sont prises en compte, ainsi que les lois et rglementations
applicables.

DS12 Grer l'environnement physique
214

La protection des quipements informatiques et du personnel exige des installations matrielles bien conues et bien gres. Le processus de gestion de l'environnement matriel prvoit la
dfinition des exigences du site physique, le choix des installations adquates et la conception de processus efficaces de surveillance des facteurs environnementaux et de gestion des accs
physiques. La gestion efficace de l'environnement physique rduit les risques d'interruption de l'activit du fait de dommages subis par le matriel informatique et par le personnel.
DS12.1 Slection du site et agencement Rduction des menaces envers la scurit Non-identification des menaces envers la
Dfinir et slectionner les sites physiques des quipements physique scurit physique
informatiques en conformit avec la stratgie informatique elle- Rduction du risque d'attaque physique sur le site Vulnrabilit accrue vis--vis des risques de
mme lie la stratgie des mtiers. La slection et la conception de informatique en attnuant la possibilit que le site scurit, rsultant de l'emplacement et/ou de
l'agencement d'un site doivent prendre en compte les risques lis aux
soit identifi par des personnes non autorises l'agencement du site
sinistres d'origine naturelle ou humaine, ainsi que les lois et
rglements concernant par exemple la mdecine du travail et les susceptibles de provoquer une telle attaque
rglementations sur la scurit. Rduction des frais d'assurance grce la
dmonstration d'une gestion optimale de la
scurit physique
que les sites physiques o se trouve l'quipement informatique ont t choisis en fonction d'une stratgie technologique conforme aux exigences mtiers et d'une politique de scurit,
en tenant compte notamment de la situation gographique, du voisinage, de l'infrastructure et des risques (ex : vol, temprature, incendie, fume, eau, vibrations, terrorisme,
vandalisme, produits chimiques, explosifs)
qu'une procdure a t dfinie et mise en place pour identifier les risques et menaces potentiels vis--vis des sites informatiques de l'entreprise et pour valuer rgulirement l'impact
mtiers, en tenant compte des risques lis aux sinistres d'origine naturelle ou humaine
que le choix et l'agencement du site tiennent compte des lois et rglementations applicables (normes de construction, rglementations en matire d'environnement, d'incendie, de gnie
lectrique, de sant, hygine et scurit, etc.).
DS12 Grer l'environnement physique (suite)
DS12.2 Mesures de scurit physique Protection des systmes informatiques critiques Non-identification des menaces envers la
Dfinir et mettre en place des mesures de scurit physique contre les menaces physiques scurit physique
conformes aux exigences des mtiers pour scuriser le site et les Dploiement efficace de mesures de scurit Matriel vol par des personnes non autorises
actifs physiques. Les mesures de scurit physique doivent permettre physique pntrer sur le site
de prvenir, dtecter et rduire de manire efficace les risques lis au
Sensibilisation du personnel et du management Attaque physique du site informatique
vol, la temprature, l'incendie, la fume, l'eau, aux vibrations,
au terrorisme, au vandalisme, aux pannes d'lectricit, aux produits sur les exigences de l'entreprise en matire de Systmes reconfigurs sans autorisation
chimiques et aux explosifs. scurit physique Les priphriques configurs pour lire les
rayonnements mis par les ordinateurs peuvent
accder aux informations confidentielles
qu'une politique a t dfinie et mise en place pour contraindre les sites informatiques de respecter les mesures de scurit physique et de contrle d'accs. Cette politique est
rgulirement tudie pour s'assurer qu'elle demeure pertinente et jour
que l'accs aux informations sur les sites informatiques sensibles et leurs plans de conception est limit
que les signes extrieurs et autres formes d'identification des sites informatiques sensibles sont discrets et n'identifient pas le site de faon vidente depuis l'extrieur
que les annuaires de l'entreprise et plans de site n'identifient pas l'emplacement du site informatique
que l'laboration des mesures de scurit physique tient compte des risques lis aux mtiers et aux oprations. Le cas chant, les mesures de scurit physique incluent des systmes
d'alarme, la consolidation des btiments, une protection par cbles blinds, un partitionnement scuris, etc.
que les mesures de prvention, de dtection et de correction de la scurit physique sont rgulirement testes pour vrifier leur conception, leur application et leur efficacit
que la conception du site tient compte du cblage physique des tlcommunications et des conduites d'eau, branchements lectriques et conduites d'gout
qu'un processus dment autorise a t dfini et mis en place pour le retrait scuris de l'quipement informatique
que les zones de rception et d'expdition des quipements informatiques sont protges de la mme manire et dans la mme proportion que les activits et sites informatiques
standard
qu'une politique et un processus ont t dfinis pour transporter et stocker l'quipement en toute scurit
qu'un processus existe pour s'assurer que les priphriques de stockage contenant des informations confidentielles sont physiquement dtruits ou nettoys
qu'un processus existe pour enregistrer, surveiller, grer, signaler et rsoudre les incidents de scurit matrielle, conformment la procdure gnrale de gestion des incidents
informatiques
que les sites particulirement sensibles sont frquemment contrls (y compris le week-end et pendant les congs) par le personnel de scurit.
ANNEXE IV
215
216

DS12.3 Accs physique Accs appropri pour garantir la rsolution d'un Visiteurs non autoriss parvenant accder
Dfinir et mettre en place les procdures d'autorisation, de limitation incident critique en temps opportun des donnes ou des quipements informatiques
et de suppression d'accs aux sites, btiments et zones selon les Possibilit d'identifier et de suivre tous les Pntration non autorise dans des zones
besoins des mtiers, sans oublier les cas d'urgence. Les accs aux visiteurs scurises
sites, btiments et zones doivent tre justifis, autoriss, enregistrs
Personnel conscient de ses responsabilits vis--
et faire l'objet d'une surveillance. Cela doit s'appliquer toutes les
personnes qui entrent sur le site, y compris le personnel permanent vis des visiteurs
ou temporaire, les clients, les fournisseurs, les visiteurs et tout autre
tiers.
- qu'un processus a t mis en place pour grer les demandes et l'octroi d'accs aux infrastructures informatiques
- que les demandes d'accs officielles sont traites et acceptes par le management du site informatique, que les enregistrements sont conservs et que les formulaires identifient
spcifiquement les zones pour lesquelles l'individu bnficie d'un accs. Ces lments sont vrifis par l'observation ou l'examen des autorisations
- que des procdures ont t mises en place pour garantir la tenue jour des profils d'accs. S'assurer que l'accs aux sites informatiques (salles des serveurs, btiments ou zones) dpend
des responsabilits ou de la fonction professionnelle
- qu'un processus permet de journaliser et de surveiller tous les points d'accs aux sites informatiques, et d'enregistrer tous les visiteurs, y compris les sous-traitants et les fournisseurs
- qu'un rglement impose au personnel de porter en permanence un signe d'identification visible et vite l'mission de cartes d'identification ou de badges sans autorisation approprie.
Observer si les badges sont rellement ports
- qu'un rglement impose aux visiteurs d'tre accompagns en permanence par un membre du service des oprations informatiques lorsqu'ils sont sur site et que les individus qui ne
portent pas de signe d'identification appropri sont signals au personnel de scurit
- que l'accs aux sites informatiques sensibles est limit par le biais d'une protection primtrique (ex : cltures/murs et dispositifs de scurit sur les portes intrieures et extrieures)
S'assurer que ces dispositifs enregistrent les entres et mettent une alarme en cas d'accs non autoris. Ces dispositifs peuvent inclure, par exemple, des badges ou cartes d'accs, des
claviers numriques, un systme de vidosurveillance et des lecteurs biomtriques
- que des formations sur la scurit physique sont rgulirement dispenses. Vrifier cet lment en analysant les programmes de formation.
DS12.4 Protection contre les risques lis l'environnement Identification de toutes les menaces Infrastructures exposes aux impacts
laborer et mettre en place des mesures de protection contre les environnementales potentielles pesant sur les environnementaux
facteurs environnementaux. Installer des quipements et des infrastructures informatiques Dtection inapproprie des menaces
dispositifs spcialiss pour surveiller et contrler l'environnement. Prvention ou dtection en temps opportun des environnementales
menaces environnementales Mesures inappropries pour la protection contre
Rduction de la probabilit que les demandes les menaces environnementales
d'indemnisation effectues auprs des compagnies
d'assurance soient rejetes pour non-conformit
aux exigences des polices d'assurance et rduction
des primes d'assurance
Protection approprie contre les risques
environnementaux
- qu'un processus permet d'identifier les sinistres d'origine naturelle ou humaine qui pourraient se produire dans la zone o sont situes les infrastructures informatiques sensibles.
tudier les rapports pour s'assurer que l'impact potentiel est valu conformment aux procdures de planification de la continuit des activits
- qu'une politique dcrit comment l'quipement informatique, y compris l'quipement mobile et hors site, est protg contre le vol et les menaces environnementales. tudier la
documentation pour s'assurer que cette politique, par exemple, interdit de se restaurer, de boire et de fumer dans les zones sensibles et qu'elle interdit le stockage d'articles de papeterie
et autres fournitures qui prsentent un risque d'incendie dans les salles informatiques
- que les installations informatiques sont places et fabriques de faon minimiser et limiter le risque de menaces environnementales
- que des dispositifs adapts ont t mis en place pour dtecter les menaces environnementales. Examiner les actions de surveillance continue vis--vis de ces dispositifs
- que des alarmes ou autres avertissements sont dclenchs en cas de vulnrabilit environnementale, que les procdures permettant de ragir cette situation sont documentes et
testes, et que le personnel bnficie d'une formation adapte
- qu'un processus permet de comparer les mesures et les plans d'urgence avec les exigences des polices d'assurance. tudier les rapports et la police d'assurance pour vrifier la
conformit
- que le management prend des mesures pour s'assurer que tous les points de non-conformit sont traits en temps opportun
- que les sites informatiques sont situs dans des btiments qui minimisent l'impact du risque environnemental (vol, air, feu, fume, eau, vibrations, terrorisme, vandalisme, etc.).
Inspecter physiquement les locaux accueillant les sites informatiques pour s'assurer que l'agencement est appropri. tudier le rapport d'valuation des risques rdig avant la
conception et la construction du site
- qu'une politique a t mise en place pour garantir un nettoyage rgulier proximit des activits informatiques. Contrler les sites informatiques et les salles de serveurs pour s'assurer
qu'ils sont toujours propres, en ordre et scuriss (ex : pas de dsordre ni de dchets, papiers ou cartons, de poubelles pleines, ni de produits chimiques ou matires inflammables).
Demander si les sites restent propres en permanence.
ANNEXE IV
217
218

DS12.5 Gestion des installations matrielles Protection des systmes informatiques critiques Non-respect des rglementations en matire
Grer les installations, y compris les quipements lectriques et de contre les effets des pannes d'lectricit et d'autres d'hygine et de scurit
communication, conformment aux lois et rglements, aux exigences risques lis aux installations Dysfonctionnements des systmes informatiques
techniques et mtiers, aux spcifications des fournisseurs, et aux Utilisation efficace et efficiente des installations en raison d'une protection inadquate contre les
rgles concernant la sant et la scurit.
pannes d'lectricit ou autres risques lis aux
installations
Accidents du travail
- qu'il existe une procdure tudiant la ncessit de protger les installations informatiques contre les conditions extrieures et les pannes de courant et incidents lectriques,
conjointement avec les autres procdures de planification de la continuit des activits
- que l'entreprise se procure des onduleurs et qu'ils rpondent aux exigences de disponibilit et de continuit des activits
- qu'une procdure a t mise en place pour tester rgulirement le fonctionnement des onduleurs et pour s'assurer que le courant peut tre bascul sur l'alimentation lectrique sans effet
significatif sur les oprations mtiers
- que des tests ont t effectus et que des mesures correctives sont prises si ncessaire
- que, dans les installations accueillant des systmes informatiques sensibles, plusieurs entres d'alimentation lectrique sont disponibles
- que l'entre physique du courant est spare
- que les cbles extrieurs au site informatique sont enterrs ou disposent d'une protection adapte
- qu'il existe des schmas et des plans ;- que les cbles situs dans le site informatique sont contenus dans des conduites scurises ;- que les cbles sont renforcs et protgs contre les
risques environnementaux
- que les armoires lectriques sont fermes cl et que leur accs est limit certaines personnes
- que le cblage et la connexion physique (donnes et tlphone) sont correctement structurs et organiss
- que la documentation sur le cblage et les conduites est disponible pour information
- que, pour les installations accueillant des systmes haute disponibilit, une analyse est effectue vis--vis de la redondance et de l'obligation d'installer des cbles de secours (externes
et internes)
- qu'un processus a t mis en place pour s'assurer que les infrastructures et les sites informatiques restent toujours en conformit avec les lois, rglementations et recommandations en
matire de sant et scurit ou avec les spcifications du fournisseur
- qu'un processus a t mis en place pour informer le personnel sur les lois, rglementations et recommandations en matire de sant et scurit. Il convient galement d'informer le
personnel sur les exercices d'vacuation en cas d'incendie et les exercices de secours, pour que tous les employs sachent quoi faire en cas d'incendie ou d'incident similaire
- que le programme de formation value les connaissances sur les directives et qu'il est document
- qu'un processus a t mis en place pour enregistrer, surveiller, grer et rsoudre les incidents d'installation conformment la procdure de gestion des incidents informatiques
- que les rapports sur les incidents sont mis disposition lorsque leur divulgation est rendue obligatoire par les lois et rglementations
- qu'un processus a t mi en place pour s'assurer que la maintenance du matriel et des sites informatiques est effectue selon les spcifications et la priodicit recommandes par le
fournisseur
- que la maintenance est uniquement effectue par le personnel autoris. tudier la documentation et interroger le personnel pour s'en assurer
- que les modifications physiques des locaux ou sites informatiques sont analyses afin de rvaluer les risques environnementaux (ex : incendie, dgts des eaux)
- que les rsultats de cette analyse sont communiqus aux responsables des installations et de la continuit des activits.
Inspecter les installations et comparer les observations avec les recommandations en matire de sant et scurit.
Interroger le personnel sur d'ventuels manquements aux normes.
Inspecter les sites rcemment modifis pour s'assurer qu'ils respectent toujours les normes en matire de risque.
ANNEXE IV
tudier le rapport d'analyse des risques pour s'assurer qu'il a t mis jour au cours de l'anne coule.
tudier les politiques pour s'assurer qu'elles tiennent compte des lois et rglementations nouvelles ou actualises.
Inspecter les locaux et ses environs pour s'assurer qu'ils sont scuriss conformment aux procdures.
tudier les journaux de scurit pour vrifier si les contrles de scurit minimum ont t effectus.
Inspecter les journaux pour s'assurer qu'ils incluent, au minimum, le nom et l'entreprise du visiteur, l'objet de la visite, le nom de l'employ
du service informatique qui a autoris cette visite, la date de la visite et les heures d'entre et de sortie.
Slectionner un chantillon d'employs portant un badge et vrifier les autorisations.
S'assurer que les armoires lectriques sont fermes cl et que leur accs est limit certaines personnes.
S'assurer que la documentation sur le cblage et les conduites est disponible pour information.
Inspecter les installations et comparer les observations avec les recommandations en matire de sant et scurit.
Interroger le personnel pour valuer leurs connaissances vis--vis des directives.
Evaluer l'impact des faiblesses de contrle :

S'assurer que les facteurs particuliers sont pris en compte (ex : situation gographique, voisinage, infrastructure). Les autres risques
prendre en compte sont le vol, la temprature, l'incendie, la fume, l'eau, les vibrations, le terrorisme, le vandalisme, les produits chimiques
et les explosifs.
Vrifier et confirmer qu'un processus permet d'tudier la ncessit de protger les infrastructures informatiques contre les conditions
extrieures et les pannes de courant et incidents lectriques, conjointement avec les autres procdures de planification de la continuit des
activits.

DS13 Grer l'exploitation
220

Pour un traitement complet et exact des donnes, il faut une gestion efficace des procdures de traitement des donnes et une maintenance applique du matriel informatique. Ce processus
implique de dfinir des politiques et des procdures d'exploitation ncessaires une gestion efficace des traitements programms, de protger les sorties sensibles, de surveiller les
performances de l'infrastructure et d'effectuer une maintenance prventive du matriel. La gestion efficace de l'exploitation aide maintenir l'intgrit des donnes et rduire les dlais et les
cots d'exploitation informatique.
DS13.1 Procdures et instructions d'exploitation Preuve que l'exploitation informatique respecte Erreurs et tches refaire en raison d'une
Dfinir, mettre en place et tenir jour des procdures standard pour les contrats de services mauvaise comprhension des procdures
l'exploitation informatique, en s'assurant que le personnel connat Continuit du soutien oprationnel favoris par la Inefficacit due des procdures mal dfinies
bien toutes les tches d'exploitation qui dpendent de lui. Les documentation de l'exprience du personnel et sa et/ou pas standardises
procdures d'exploitation doivent tenir compte des changements
conservation dans une base de connaissances Incapacit prendre rapidement en charge les
d'quipes (passation des consignes formalise, tats d'avancement,
problmes d'exploitation, procdures d'escalade et rapports sur les Instructions du personnel d'assistance et problmes d'exploitation, les nouveaux
responsabilits en cours) pour rpondre aux contrats de services procdures d'exploitation informatique employs et les changements oprationnels
convenus et garantir la continuit de l'exploitation. structures, standardises et clairement
documentes
Rduction du dlai de transfert des connaissances
entre le personnel de soutien oprationnel qualifi
et les nouvelles recrues
Examiner une copie des procdures d'exploitation informatique standard.

S'assurer de l'exhaustivit des procdures d'exploitation. Elles doivent inclure les rles et responsabilits des membres du service informatique, les organigrammes, les rles et liens
hirarchiques des suprieurs immdiats, les procdures suivre en cas d'interruption anormale du systme d'exploitation, une liste de numros composer en cas d'urgence, etc.
Examiner l'organigramme et tudier les fonctions professionnelles.
DS13.2 Planification des travaux Utilisation optimise des ressources systme Pics d'utilisation des ressources
Organiser la planification des travaux, processus et tches selon la grce l'quilibrage des charges et la Problmes de planification des travaux
squence la plus efficace, en optimisant le dbit et l'utilisation des minimisation de l'impact sur les utilisateurs en ponctuels
ressources pour rpondre aux exigences des mtiers.
ligne Rexcution ou redmarrage de travaux

Minimisation de l'effet des modifications sur les
plannings des travaux pour viter de perturber la
production
- que les procdures d'excution des travaux excuts en traitement par lot sont compltes
- que les procdures incluent le calendrier quotidien des travaux prvus, les personnes contacter en cas d'chec des travaux et une liste actualise des codes d'chec des travaux
- que les tches et responsabilits de traitement par lots sont dfinies pour chaque technicien dexploitation
- que les horaires de poste sont dfinis pour chaque technicien dexploitation
- que les plannings prcisent les heures de dbut et de fin de poste, ainsi que le nom des techniciens
- qu'au moins un technicien est prsent lors de l'excution des travaux par lots.
DS13 Grer l'exploitation (suite)
DS13.3 Surveillance de l'infrastructure informatique Dtection proactive des problmes d'infrastructure Problmes d'infrastructure non dtects et
Dfinir et mettre en place des procdures pour surveiller risquant de provoquer un incident survenance d'incidents
l'infrastructure informatique et les vnements qui s'y rapportent. Capacit surveiller les tendances et traiter les Problmes d'infrastructure gnrant un impact
S'assurer qu'un historique suffisant des oprations est stock dans les problmes d'infrastructure potentiels avant qu'ils mtiers et oprationnel plus important que s'ils
journaux d'exploitation pour permettre la reconstruction, la revue et
ne se produisent avaient t vits ou dtects plus tt
l'analyse des squences chronologiques des traitements et des autres
activits lies ces traitements ou leur apportant un soutien. Capacit optimiser le dploiement et l'utilisation Ressources d'infrastructure mal utilises et
des ressources dployes
- qu'un processus planifi de journalisation des vnements identifie le niveau d'information enregistrer en tenant compte des risques et des performances
- que les actifs d'infrastructure qui doivent tre surveills sont identifis en fonction de la criticit des services et des relations entre les lments de configuration et les services qui en
dpendent
- qu'il existe une documentation sur la planification du processus de journalisation. Examiner physiquement les documents
- que la liste des actifs identifie correctement les actifs. Demander au personnel quels sont les actifs les plus importants et les reprer dans la liste.
DS13.4 Documents sensibles et dispositifs de sortie Protection supplmentaire pour les formulaires Utilisation abusive des actifs informatiques
Mettre en place des dispositifs de scurit physique appropris, des spciaux et les donnes de sortie sensibles, gnrant des pertes financires et
pratiques de comptabilit et une gestion d'inventaires pour les actifs commercialement sensibles via la gestion autres impacts mtiers
informatiques sensibles, comme les formulaires spciaux, les effets d'inventaires Incapacit tenir compte de tous les actifs
de commerce, les imprimantes spcialises et les jetons de scurit.
Protection contre le vol, la fraude, la falsification, informatiques sensibles
la destruction ou autres manipulations abusives
des actifs informatiques sensibles
Vrification des autorisations d'accs avant
d'accorder un accs physique aux formulaires
spciaux et dispositifs de sortie, et conservation
des lments d'information concernant l'intgrit
des dispositifs de sortie spciaux
ANNEXE IV
- que des procdures permettent d'organiser la rception, la suppression et l'limination des formulaires spciaux et dispositifs de sortie l'intrieur et l'extrieur de l'entreprise
- que l'accs aux actifs sensibles est contrl au moins tous les semestres
- qu'une procdure permet d'obtenir, de modifier et de supprimer l'accs aux actifs sensibles
- qu'il existe une documentation sur les procdures de suppression et d'limination.
221
DS13 Grer l'exploitation (suite)
222

DS13.5 Maintenance prventive du matriel Optimisation des performances et de la Problmes d'infrastructure qui auraient pu tre
Dfinir et mettre en place des procdures pour garantir la disponibilit des systmes vits ou empchs
maintenance de l'infrastructure en temps opportun afin de rduire la Gestion prventive des problmes et incidents Garanties non respectes en raison de la non-
frquence et les consquences de dfaillances ou de dgradation des Protection des garanties conformit aux exigences de maintenance
performances.
- qu'un plan de maintenance prventive pour tous les matriels critiques a t mis en place et qu'il tient compte de l'analyse cots/bnfices, des recommandations des fournisseurs, du
risque de panne, du personnel qualifi et d'autres facteurs pertinents
- que les journaux d'activit sont analyss pour identifier les besoins de maintenance prventive et que l'impact prvu (ex : restrictions de performance, contrats de services) des activits
de maintenance est communiqu aux clients et utilisateurs concerns.
ANNEXE IV
Vrifier et confirmer que des procdures standard d'exploitation informatique ont t mises en place et qu'elles soutiennent les niveaux de
services adopts. Ces procdures doivent inclure un systme d'escalade des problmes permettant de suivre et de surveiller les priodes
d'indisponibilit.
Vrifier et confirmer que les rles et les responsabilits ont t dfinis, y compris ceux des prestataires de services externes. Examiner la
documentation existante en la matire.
Vrifier et confirmer que les employs du service d'assistance connaissent et comprennent les procdures d'exploitation et les tches
associes dont ils sont chargs. Inspecter la zone de travail des employs d'assistance pour s'assurer que les procdures d'exploitation sont
correctement appliques.
Analyser les fichiers journaux pour vrifier et confirmer que les procdures sont rgulirement tenues jour et qu'elles sont correctement
appliques.
Vrifier et confirmer que le transfert des communications et les responsabilits qui en dcoulent sont dfinis.
Vrifier et confirmer que des procdures de traitement des anomalies existent et qu'elles sont intgres dans la gestion des incidents.
Confirmer les descriptions des rles et des postes pour la sparation des tches. Par exemple, les techniciens dexploitation ne doivent pas
pouvoir accder aux programmes et les programmeurs ne doivent pas avoir accs aux donnes de production ni crire directement sur les
supports (traitement sans contrle de l'tiquette).
Vrifier l'existence d'une documentation relative aux procdures. Observer et interroger le personnel pour vrifier le respect des procdures.
Examiner les droits d'accs pour vrifier si la sparation des tches est approprie.
Examiner la documentation et interroger le personnel d'exploitation pour vrifier le respect des procdures.
Observer le personnel d'exploitation pour vrifier l'utilisation des procdures et documenter les performances.
Vrifier et confirmer que la planification des travaux en traitement par lots est contrle grce un logiciel de planification des tches.
S'assurer que des contrles de scurit appropris sont mis en place pour viter l'excution de travaux non autoriss.
Vrifier et confirmer que les travaux excuts en traitement par lots sont programms. valuer le processus de planification pour s'assurer
que la planification des travaux excuts en traitement par lots tient compte des lments suivants :
les exigences mtiers
la priorit des travaux
les conflits entre les travaux
l'quilibrage des charges de travail (gestion des performances et des capacits).
Vrifier et confirmer que les rsultats des travaux excuts en traitement par lots sont surveills et valids.
Vrifier et confirmer que des procdures automatises sont mises en place pour avertir immdiatement en cas d'chec de travaux excuts
en traitement par lots. Vrifier l'existence du matriel informatique et des logiciels associs aux procdures automatises.
S'assurer que le contrle de travaux excuts en traitement par lots ne se limite pas aux informations techniques (ex : temps requis pour
achever le travail) et que les exigences des processus mtiers pour les donnes sont contrles (ex : donnes traites compltes et exactes).
Vrifier l'existence de la documentation approprie et s'assurer que les procdures officielles tiennent compte de la planification des travaux
excuts en traitement par lots.
Examiner la documentation relative aux changements pour vrifier si elle est prcise.
Vrifier l'existence d'chanciers.
Examiner la documentation et les lments indiquant que les incidents de travaux en traitement par lots ont t voqus et rsolus en temps
opportun.
Vrifier et confirmer que des rgles portent sur les seuils et les circonstances lies des vnements et qu'elles sont appliques au sein du
systme pour s'assurer que les vnements rels sont dclenchs le cas chant.
Vrifier et confirmer que des journaux d'vnements sont crs et conservs pendant un laps de temps appropri pour faciliter les enqutes
futures et la surveillance des contrles d'accs.
Vrifier et confirmer que des procdures sont mises en place pour surveiller les journaux d'vnements, que les rsultats de cette
surveillance sont rgulirement analyss et, le cas chant, que les incidents sont signals au service d'assistance.
Vrifier et confirmer que des incidents sont crs pour toutes les anomalies constates.
Examiner les journaux d'vnements pour s'assurer qu'ils ne sont pas surchargs d'vnements mineurs et que tous les vnements
importants sont enregistrs.
Inspecter les journaux d'vnements pour vrifier s'ils sont appropris.
Se procurer un chantillon de requtes des entres de journaux d'vnements qui peuvent gnrer un ticket d'assistance. Suivre l'entre du
journal d'vnements jusqu'aux journaux des tickets d'assistance.
Vrifier et confirmer que l'accs aux documents confidentiels et aux dispositifs de sortie est octroy de faon approprie.
Vrifier et confirmer que les dispositifs et documents confidentiels sont rgulirement harmoniss. Effectuer l'harmonisation d'un
chantillon de dispositifs et de documents confidentiels, en comparant les chiffres rels et les chiffres enregistrs.
Vrifier et confirmer la mise en place de dispositifs de scurit physique appropris.
Examiner et tester les dispositifs de scurit physique des actifs sensibles.
Dterminer si l'quipement critique appropri est disponible.
Vrifier et confirmer que tous les journaux d'activit sont rgulirement analyss, afin d'identifier les composants matriels critiques qui
ncessitent une maintenance prventive.
Vrifier et confirmer que les moyens de communication sont efficaces pour informer immdiatement les utilisateurs de l'impact des pannes
(ex : courrier lectronique, "arbre tlphonique").
S'assurer auprs des mtiers et de l'informatique que la planification a t effectue conformment aux exigences mtiers. tudier le
planning de production et s'assurer que tout le matriel concern est pris en compte et que la planification tient compte des exigences de
services.

Inspecter physiquement le matriel informatique pour s'assurer que la maintenance est effectue. Examiner le plan pour s'assurer qu'il est
correctement conu et qu'il tient compte de l'analyse cots/bnfices, des recommandations des fournisseurs, du risque de panne, du
personnel qualifi et d'autres facteurs pertinents.
Dterminer si des mesures appropries ont t prises en temps opportun pour la maintenance critique.

Demander si l'absence de procdures documentes a une incidence sur la continuit de l'exploitation (c'est--dire, si les techniciens
dexploitation sont en mesure d'excuter les oprations quotidiennes sans manuel d'exploitation) et si les lignes de communication sont
connues.
Demander si les procdures d'exploitation informatique non documentes concernent les activits en cours. Si ce n'est pas le cas, cela peut
entraver la formation croise ou la formation de nouvelles recrues et gnrer une situation dans laquelle des procdures incorrectes sont
appliques lors d'une rotation de poste.
Vrifier et confirmer que tous les travaux excuts en traitement par lots sont achevs grce des rapports ou par d'autres moyens.
S'assurer que les techniciens dexploitation surveillent et achvent les travaux en traitement par lots dans les dlais impartis.
Interroger le personnel informatique sur la dernire interruption du service et vrifier si elle est consigne dans le journal des vnements.
S'assurer que la documentation approprie, y compris les motifs et la rsolution, est enregistre.
Examiner les journaux d'vnements sur une semaine pour confirmer leur existence et interroger le personnel informatique sur la rsolution
des entres des journaux d'vnements.
Examiner l'accs aux actifs sensibles et dterminer s'il est appropri en reprant l'accs dans l'organigramme.
Observer les dispositifs de protection physique des actifs et dterminer s'ils sont appropris.
Inspecter physiquement le matriel informatique pour s'assurer que la maintenance est effectue. Examiner le plan pour s'assurer qu'il est
correctement conu et qu'il tient compte de l'analyse cots/bnfices, des recommandations des fournisseurs, du risque de panne, du
personnel qualifi et d'autres facteurs pertinents.

ANNEXE V
SURVEILLER ET VALUER (SE)
SE1 Surveiller et valuer les performances des SI

SE2 Surveiller et valuer le contrle interne
SE3 S'assurer de la conformit aux obligations externes
SE4 Mettre en place une gouvernance des SI
ANNEXE V - SURVEILLER ET VALUER (SE)

A NNEXE V- SURVEILLER ET VALUER (SE)

SE1 Surveiller et valuer les performances des SI
Une gestion efficace des SI exige un processus de surveillance. Ce processus inclut la dfinition d'indicateurs pertinents de performance, la publication systmatique et en temps opportun de
rapports sur la performance, et une raction rapide aux anomalies. Une surveillance est ncessaire pour s'assurer qu'on fait ce qu'il faut, conformment aux orientations et aux politiques
dfinies.
SE1.1 Approche de la surveillance Vision transparente de la performance des SI, Rapports de performance bass sur des donnes
Constituer un rfrentiel et une approche gnrale de la surveillance fonde sur des informations fiables obsoltes, imprcises ou peu fiables
qui dfinissent l'tendue, la mthodologie et le processus suivre Identification des possibilits d'amlioration Mesures de performance non alignes sur les
pour mesurer la dlivrance de solutions et de services informatiques Facilitation de la satisfaction des exigences des exigences des mtiers et de gouvernance
et surveiller la contribution des SI aux mtiers. Intgrer ce rfrentiel
mtiers et de gouvernance Absence d'identification opportune des
dans le systme de gestion des performances de l'entreprise.
Services informatiques rentables problmes lis l'alignement entre
Dcisions d'investissement informatique mieux l'informatique et les mtiers
documentes, amliorant l'apport de valeur Identification inadquate des attentes des clients
Utilisation cohrente et intgrit des indicateurs et des besoins mtiers
de performance Donnes surveilles ne favorisant pas l'analyse
des performances globales des processus
Se procurer et analyser la dfinition, par le management, des processus mtiers critiques, des initiatives stratgiques et des processus informatiques cls, pour s'assurer qu'ils contribuent
au systme de gestion des performances de l'entreprise.
Comprendre la mthode utilise par le management pour communiquer ses processus mtiers critiques, ses initiatives stratgiques et ses processus informatiques cls.
S'assurer de l'existence d'une approche de la surveillance base sur les mtriques pour les inducteurs de performance informatique (ex : examiner les politiques d'entreprise et la
documentation approprie).
Dterminer si l'approche de la surveillance fournit un objectif et des indicateurs de performance appropris en s'efforant d'introduire des ratios qui font apparatre les problmes mtiers
importants.
Dterminer si les systmes appropris sont utiliss pour surveiller les performances des SI.
Interroger les membres du management pour dterminer s'ils sont attentifs aux relations et aux dpendances entre les processus informatiques lors de la surveillance des activits de ces
processus (ex : carts par rapport aux attentes, interfaces non dfinies, lments ngligs, duplication des efforts, inefficacits).
Comprendre l'approche du management concernant l'analyse de la pertinence des interdpendances des processus informatiques cls pour l'aligner sur les buts et objectifs mtiers.
ANNEXE V
225
SE1 Surveiller et valuer (suite)
226

SE1.2 Dfinition et collationnement des donnes de surveillance Identification et valuation des mtriques les plus Mtriques bases sur des objectifs qui ne sont
En associant les mtiers, dfinir un ensemble quilibr d'objectifs de significatives et dcisives pas conformes aux objectifs mtiers
performance et les faire approuver par les mtiers et par les autres Place importante accorde au client dans la Mtriques bases sur des donnes incorrectes ou
parties prenantes concernes. Mettre en place des analyses culture du service informatique pour tous les incompltes
comparatives pour dfinir les objectifs et recenser les donnes
processus informatiques Inefficacit du reporting sur les indicateurs de
ncessaires collecter pour mesurer ces objectifs. Mettre en place
des processus pour collecter des donnes exactes au bon moment et Amlioration de la satisfaction et de l'orientation performance des processus informatiques
rendre compte de la progression vers les objectifs viss. client l'chelle de l'entreprise
Capacit des systmes fournir efficacement les Attentes des clients et besoins mtiers non
donnes requises pour surveiller les processus identifis
Historique des performances de l'entreprise pour Donnes surveilles ne favorisant pas l'analyse
surveiller l'volution et les variations de des performances globales des processus
performance
que des objectifs ont t dfinis pour les mtriques des SI, conformment au primtre et aux caractristiques des mtriques dfinies dans le rfrentiel de surveillance. Se procurer la
validation des objectifs par le management des mtiers et de linformatique.
que, si possible, les donnes de performance ncessaires l'approche de la surveillance sont collectes de faon satisfaisante et automatise. S'assurer que les performances mesures
sont compares aux objectifs selon la frquence convenue.
qu'il existe des procdures garantissant la cohrence, l'exhaustivit et l'intgrit des donnes source de surveillance des performances ;
qu'il existe un processus permettant de contrler toutes les modifications des sources de donnes de surveillance des performances ;
que les objectifs de performance ont t dfinis et se focaliser sur ceux qui prsentent le ratio perspicacit/effort le plus lev ;
que l'intgrit des donnes collectes est value en effectuant des vrifications de contrle et d'harmonisation selon une frquence tablie.
SE1.3 Mthode de surveillance Approche et mthode de surveillance rpondant Inefficacit des rapports sur les indicateurs de
Mettre en place une mthode de surveillance (ex : tableau de bord aux attentes du management performance des processus informatiques
quilibr) qui prend en compte les objectifs, enregistre les mesures, Aide la dcision optimise pour les SI l'chelle de l'entreprise
offre une vision condense gnrale de la performance des SI et est Alignement sur le processus dcisionnel de Attentes et besoins mtiers non satisfaits
compatible avec le systme de surveillance de l'entreprise.
l'entreprise Mauvaises dcisions bases sur des informations
Transparence et fiabilit des informations sur les de performance peu fiables
performances
S'assurer que les rapports de performance des processus informatiques sont intgrs dans le systme de surveillance des SI.
S'assurer que les donnes contenues dans ces rapports sont concises et faciles comprendre, et qu'elles rpondent aux exigences du management et des utilisateurs finaux pour favoriser
une prise de dcision efficace et opportune.
Examiner les rapports de performance pour s'assurer qu'ils tiennent bien compte des objectifs informatiques et des mesures de performances et de rsultats, et qu'ils prcisent les liens de
cause effet.
SE1.4 valuation de la performance Optimisation de la rentabilit de la qualit de Faiblesse persistante et rpte des
Comparer priodiquement les performances aux objectifs, analyser service et capacit d'adaptation aux changements performances des processus
les causes des anomalies et initier des actions correctives pour traiter futurs Occasions d'amlioration manques
les causes sous-jacentes. De temps en temps, raliser des analyses Amlioration continue des processus Bonnes performances non reconnues, entranant
causales de ces carts.
Niveau plus lev de proprit et de responsabilit une dmotivation du personnel
des performances au sein de l'entreprise
Interroger les propritaires des processus pour s'assurer que des niveaux de performance cibles sont tablis pour les processus cls et valids par rapport au march et la concurrence.
Examiner les rapports de performance pour vrifier si les mesures sont effectues en temps opportun et si la comparaison par rapport aux objectifs est efficace.
Vrifier si des ractions informelles sont obtenues et utilises pour amliorer la prestation de services et/ou le reporting.
Analyser les rapports de performance pour s'assurer que les rsultats sont valus de faon cohrente par rapport aux objectifs, selon une frquence tablie, et que les donnes des
rapports sont transmises aux parties prenantes concernes.
Examiner les donnes de l'valuation des performances et dterminer si l'valuation et l'analyse sont compltes et efficaces.
tudier un chantillon appropri pour s'assurer que les causes sont identifies et traduites en actions correctives attribues une personne disposant de l'autorit et des ressources
adaptes et faisant l'objet d'un suivi appropri.
ANNEXE V
Vrifier et confirmer que les causes premires des anomalies sont rgulirement identifies et qu'elles sont corriges de faon approprie.
227
228

SE1.5 Comptes-rendus destins au conseil d'administration et Rapports de qualit rpondant aux exigences de Dcisions ne rpondant pas aux proccupations
la direction gnrale gouvernance du conseil d'administration et aux besoins mtiers
Produire la direction gnrale des rapports sur la contribution des Donnes de performance pouvant tre utilises de Direction gnrale non satisfaite des
SI aux mtiers, particulirement en ce qui concerne la performance faon efficace et efficiente pour les oprations performances des SI
du portefeuille de l'entreprise, les programmes d'investissements
quotidiennes, stratgiques et de management Liens insuffisants entre le management et
informatiques et la performance des solutions et services dlivrs par
chacun des programmes. Les rapports indiquent dans quelle mesure Processus dcisionnels optimiss en rponse aux l'informatique
les objectifs prvus ont t atteints, les ressources budgtises proccupations et aux besoins mtiers, et Incapacit du conseil d'administration et de la
utilises, les objectifs de performance prvus atteints et les risques concentration sur les possibilits d'amlioration direction gnrale diriger et contrler les
rduits. Anticiper sur la revue qui en sera faite par la direction des processus activits informatiques cls
gnrale en proposant des actions correctives pour remdier aux Satisfaction accrue du management et du conseil
anomalies les plus importantes. Fournir les rapports la direction d'administration vis--vis des rapports de
gnrale et lui demander un retour aprs revue. performance
Vrifier et confirmer qu'un processus de gnration de rapports destins au conseil d'administration et la direction gnrale a t mis en place.
S'assurer que ces rapports rendent compte de la contribution des SI aux mtiers en valuant la ralisation des objectifs informatiques, l'attnuation des risques informatiques et
l'utilisation des ressources, et qu'ils sont bass sur le rfrentiel de surveillance des performances (ex : tableaux de bord quilibrs, analyse des tendances, tableaux de bord de gestion).
S'assurer que les rapports destins au conseil d'administration et la direction gnrale sont bass sur les donnes consolides des mesures de performances informatiques.
S'assurer qu'une procdure a t mise en place pour grer les versions et les nouvelles versions des rapports.
SE1.6 Actions correctives Engagement proactif du management en faveur Incidents dus des problmes non rsolus
Dfinir et entreprendre les actions correctives qui s'appuient sur la d'actions correctives Faibles performances laisses sans rponse,
surveillance, l'valuation et le compte-rendu de la performance. Cela Problmes de performance sous-jacents rsolus de entranant une dgradation encore plus marque
implique un suivi de toutes les actions de surveillance, de compte- faon efficace et en temps opportun Mesures de performance pas prises au srieux
rendu et d'valuation par :
Performances des processus prises au srieux et
l'examen, la discussion et l'laboration de propositions d'actions
correctives par le management encouragement d'une culture de l'amlioration
l'attribution de la responsabilit de l'action corrective continue
le suivi des rsultats de cette action.
Vrifier s'il existe des processus, politiques et procdures pour initier, hirarchiser et attribuer les responsabilits et le suivi pour toutes les actions correctives. S'en assurer en examinant
la documentation de l'approche et en observant le processus, dans la mesure du possible.
Pour un chantillon, vrifier si les tches associes l'action corrective rpondent avec prcision au problme de performance dtect et si des revues d'avancement sont effectues
priodiquement.
Analyser les rapports de performance prcdents et s'assurer que les tendances de performance infrieures aux normes sont rgulirement identifies et signales de faon cohrente
lencadrement suprieur, y compris les carts par rapport la mise en uvre des actions correctives prvues.
tudier les rapports et journaux d'activit pour s'assurer que les tches associes aux actions correctives ont t correctement excutes par rapport aux rsultats pralablement spcifis
et s'assurer que ces tches ont t valides comme s'attaquant la cause de faon approprie.
Vrifier et confirmer qu'une formation sur la mesure des performances est dispense.
ANNEXE V
229
Interroger les parties prenantes et valuer leurs connaissances et leur sensibilisation vis--vis des processus informatiques cls et de la faon
dont ils sont valus et surveills pour s'assurer que le systme de surveillance appuie le systme de gestion des performances de
l'entreprise.
Examiner les plans, politiques et procdures de surveillance des performances des processus informatiques cls pour s'assurer qu'ils
soutiennent les processus mtiers cls.
Dterminer si le systme de surveillance des SI appuie la stratgie mtiers actuelle et favorise une surveillance efficace.
Confirmer auprs de sources indpendantes (parties prenantes et source lie aux systmes) que le management mesure les indicateurs de
performance appropris.
Examiner les plans, politiques et procdures de surveillance des performances des processus informatiques cls pour s'assurer qu'ils sont
intgrs dans le systme de gestion des performances de l'entreprise.
Examiner la documentation et la communication des relations et interdpendances entre les processus informatiques cls, notamment les
organigrammes, les diagrammes de prsentation des systmes et les diagrammes de flux de donnes.
Analyser les mesures de performance documentes avec le management pour s'assurer qu'elles tiennent compte des lments suivants :
- la contribution des mtiers avec, entre autres, ses donnes financires
- les performances mises en regard des plans mtiers et informatique stratgiques
- les risques et la conformit aux rglements et la lgislation en vigueur
- la satisfaction des utilisateurs internes et externes vis--vis des niveaux de services
- les processus informatiques cls, dont la fourniture de services et solutions
- les activits orientes vers l'avenir, par exemple la prvision des incidences relatives aux technologies mergentes, l'infrastructure
rutilisable et l'ensemble des comptences du personnel mtiers et du personnel informatique
tudier les mesures de performance documentes pour s'assurer quelles :
- correspondent aux buts et objectifs mtiers et informatiques ;
- sont bases sur des bonnes pratiques acceptes ;
- sont axes sur les plus importantes d'entre elles ;
- sont utiles pour la comparaison interne et externe ;
- refltent les attentes des mtiers ;
- sont utiles pour les commanditaires et les clients des SI.
S'assurer que les exigences des performances des SI sont tablies en coopration avec la direction des mtiers et alignes sur les mesures de
performance cls du management.
tudier la validation approprie, par la direction gnrale et la direction des mtiers, des mesures de performance des SI et des plans de
communication vers toutes les parties prenantes du processus.
tudier les comptes-rendus, listes d'actions, politiques, plans et procdures relatifs la mesure des performances pour vrifier l'existence
d'un contrle et d'une mise jour rguliers de la mthode de mesure des performances.
Dterminer si la collecte des donnes de performance est voque de faon approprie dans la documentation sur les exigences mtiers.
tudier le processus de collecte des donnes et s'assurer qu'il tient compte de l'automatisation.
valuer la cohrence, l'exhaustivit et l'intgrit des donnes source.
S'assurer que des objectifs ont t dfinis et dment valids par la direction gnrale, la direction informatique et la direction des mtiers.
Examiner les plans, politiques et procdures relatifs la formation organisationnelle pour garantir les comptences en matire de mesure,
de collecte des donnes et d'analyse, et pour s'assurer que le personnel adopte et dfend la culture de mesure des performances.
Dterminer si les donnes collectes sont rapproches des donnes source, selon une frquence convenue.
Examiner les rapports d'valuation (ex : tableaux de bord quilibrs, graphiques circulaires, tableaux d'indicateurs cls de performance) de
l'entreprise et les systmes d'valuation des SI, et dterminer si la mthode est intgre dans le systme de surveillance de l'entreprise.
Interroger les principaux employs concerns pour dterminer si la mthode ou le systme de surveillance et de reporting est adapt aux
objectifs d'valuation des performances.
Vrifier et confirmer que la qualit et l'exhaustivit des rsultats sont contrles (ex : comparer les rsultats rels avec les conclusions
attendues et confirmer les rsultats auprs du management).
tudier le systme d'valuation des performances pour dterminer si les objectifs et les donnes d'valuation sont corrects et complets.
Vrifier et confirmer que le management tudie rgulirement l'intgrit des mesures de qualit des donnes.
Examiner les rapports de performance pour vrifier si les mesures sont effectues en temps opportun et si la comparaison par rapport aux
objectifs est efficace.
Examiner les rapports de performance pour s'assurer que les rsultats de performance sont valus de faon cohrente et complte par
rapport aux objectifs, selon une frquence tablie, et que les donnes des rapports sont transmises aux parties prenantes concernes.
S'assurer que les causes sont identifies et traduites en actions correctives attribues une personne disposant de l'autorit et des ressources
adaptes et faisant l'objet d'un suivi appropri.
Vrifier et confirmer que les causes premires des anomalies sont rgulirement identifies et qu'elles sont corriges de faon approprie.
Par l'intermdiaire de sources indpendantes, s'assurer que l'analyse de la cause premire est effectue et qu'elle entrane une raction.
S'assurer que la documentation existe et vrifier si les personnes responsables des causes sous-jacentes sont conscientes des problmes.
S'assurer que les rapports de la direction gnrale font apparatre les principales questions (positives et ngatives) gnralement lies la
contribution des SI aux mtiers et, plus prcisment, aux performances et aux capacits de prestation de services et de fourniture de
solutions informatiques.
Vrifier et confirmer que les mesures de performance des SI sont clairement associes aux rsultats mtiers et s'assurer que les SI
soutiennent la stratgie mtiers.
S'assurer que les mesures de performance des SI sont traduites en impacts sur les performances mtiers et intgres dans des rapports
standard rguliers transmis au conseil d'administration.

ANNEXE V
Retracer les rsultats, de la source aux rapports consolids, afin d'valuer la prcision, l'exhaustivit et le bien-fond des rapports de
performance consolids.
tudier les rapports du management pour s'assurer que les carts par rapport aux performances attendues sont identifis et que le
management s'est engag les corriger (ex : mesures prendre, commentaires du management sur les recommandations, dlai de rsolution
estim).
tudier la documentation du projet pour s'assurer que les actions correctives identifies dans les rapports de la direction gnrale respectent
la procdure de gestion des changements de l'entreprise (ex : AI6 Grer les changements) et qu'elles tiennent compte des lments de
gestion des changements, tels que le plan de projet, les autorisations appropries, les rapports d'avancement, le suivi des
carts/modifications du projet, l'excution et la validation.
Examiner la documentation du projet pour identifier les tches associes aux mesures correctives et les comparer l'action de rsolution
adopte pour s'assurer que tous les dfauts de surveillance ont t correctement attnus.
Dterminer si des revues d'avancement sont effectues priodiquement.

Comparer, de faon indpendante, les mesures de performance et la mthode de surveillance par rapport des entreprises similaires ou aux
normes internationales appropries/aux meilleures pratiques reconnues de la profession.
Comparer les mesures de performance utilises par l'entreprise avec des sources indpendantes (ex : bonnes pratiques, points de rfrence
internes et sectoriels).
Comparer les objectifs de performance et la mthode de collecte des donnes de surveillance par rapport des entreprises similaires ou aux
normes internationales appropries/aux meilleures pratiques reconnues dans la profession.
Comparer les performances relles aux performances vises dans tous les segments des SI.
Comparer la satisfaction relle par rapport la satisfaction attendue des utilisateurs concernant tous les segments des SI.
Confirmer auprs de la direction gnrale, de la DSI et de la direction des mtiers si les rapports de performance des SI sont utiles et
comprhensibles.
Comparer les objectifs de performance et la mthode de collecte des donnes de surveillance par rapport des entreprises similaires ou aux
normes internationales appropries/aux meilleures pratiques reconnues dans la profession.
Dterminer si la direction gnrale est satisfaite des rapports sur la surveillance des performances.

SE2 Surveiller et valuer le contrle interne
232

tablir un programme efficace de contrle interne de l'informatique impose de bien dfinir un processus de surveillance. Ce processus comporte la surveillance et les rapports sur les
anomalies releves, les rsultats des autovaluations et des revues par des tiers. L'un des principaux avantages de la surveillance du contrle interne est de fournir l'assurance d'une
exploitation efficace et efficiente et la conformit aux lois et rglementations en vigueur.
SE2.1 Surveillance du rfrentiel de contrle interne SI remplissant leurs objectifs pour les mtiers Augmentation des rpercussions ngatives sur le
Surveiller, comparer l'aide d'analyses et amliorer de faon Impact rduit de l'chec ou de la dfaillance des fonctionnement ou la rputation de l'entreprise
continue l'environnement de contrle de l'informatique et le contrles sur les processus mtiers Faiblesses de contrle contrariant l'excution
rfrentiel de contrle pour atteindre les objectifs de l'entreprise. Amlioration continue des contrles de processus efficace des processus mtiers
par rapport aux pratiques sectorielles Non-dtection du dysfonctionnement d'lments
Dtection et rsolution proactives des anomalies du contrle interne
de contrle
Conformit aux lois et rglementations
Dterminer si la direction fournit une assistance concernant les normes de gouvernance d'entreprise pour le contrle interne et la gestion des risques (ex : comptes-rendus, politiques
d'entreprise, entretien avec le PDG). S'assurer que les politiques et procdures incluent la gouvernance pour les normes internes et la gestion des risques (ex : adoption de COSO
Internal Control Integrated Framework, COSO ERM, COBIT).
Dterminer s'il existe une dmarche d'amlioration continue de la surveillance du contrle interne (ex : tableaux de bord quilibrs, autovaluation).
SE2.2 Revue gnrale Confirmation que les processus informatiques Dfaillances des contrles gnant l'excution des
Surveiller et valuer l'efficacit et l'efficience des revues de contrle favorisant la ralisation des objectifs mtiers sont processus mtiers
interne effectues par le management de l'informatique. soumis des contrles efficients et efficaces Donnes de dfaillance des contrles imprcises
Contribution des rsultats analyss au processus ou incompltes, se traduisant par des dcisions
dcisionnel global errones du management

S'assurer que les contrles internes qui ncessitent une surveillance et une revue gnrales sont identifis et qu'ils tiennent compte de la criticit et des risques des activits des processus
informatiques connexes (ex : existence d'un classement des contrles/processus cls en fonction des risques).
S'assurer qu'une procdure d'escalade a t dfinie pour les problmes identifis par les revues gnrales.
Comprendre le principe d'automatisation du reporting et de la surveillance des contrles.
SE2 Surveiller et valuer le contrle interne (suite)
SE2.3 Anomalies de contrle Capacit mettre en place des mesures Dfaillances de contrle non identifies en
Identifier les anomalies de contrle, les analyser et en identifier les prventives pour les anomalies rcurrentes temps opportun
causes sous-jacentes. Faire remonter les anomalies et en produire un Capacit appliquer les mesures correctives en Management non inform des dfaillances de
rapport pertinent aux parties prenantes. Mettre en place les actions temps opportun contrle
correctives ncessaires.
Optimisation des rapports fournis toutes les Prolongement du dlai requis pour rsoudre les
parties concernes, pour respecter les niveaux de problmes identifis, entranant une baisse des
services dfinis performances des processus
Minimisation du risque de non-conformit
S'assurer que les politiques prvoient l'tablissement de seuils concernant les niveaux acceptables d'anomalies de contrle et d'chec des contrles.
S'assurer que les procdures d'escalade des anomalies de contrle ont t communiques et signales aux parties prenantes mtiers et informatiques (ex : via l'intranet, procdures sur
papier). Les procdures d'escalade doivent inclure des critres ou des seuils pour les remontes d'informations (ex : les anomalies de contrle dont l'impact est infrieur une valeur
spcifique ne doivent pas tre signales, les anomalies de contrle dont l'impact est suprieur une valeur spcifique doivent tre immdiatement signales la DSI, les anomalies de
contrle dont l'impact est suprieur une valeur spcifique doivent tre immdiatement signales au conseil d'administration). Interroger le management pour valuer les connaissances
et la sensibilisation vis--vis des procdures d'escalade, de l'analyse des causes premires et du reporting.
S'assurer que des personnes se sont vues attribuer la responsabilit de l'analyse des causes premires, du reporting, mais aussi de la rsolution des anomalies.
ANNEXE V
233
234

SE2.4 Autovaluation du contrle Capacit mettre en place des mesures Dfaillances de contrle non identifies en
Vrifier que les contrles du management sur les processus prventives pour les anomalies rcurrentes temps opportun
informatiques, les politiques et les contrats sont complets et efficaces Capacit appliquer les mesures correctives en Management non inform des dfaillances de
et raliss au moyen d'un programme permanent d'autovaluation. temps opportun contrle
Optimisation des rapports fournis toutes les Prolongement du dlai requis pour rsoudre les
parties concernes, pour respecter les niveaux de problmes identifis, entranant une baisse des
services dfinis performances des processus
Dfaillances de contrle identifies avant la
survenance des rpercussions ngatives
Dmarche proactive d'amlioration de la qualit
de service
Minimisation du risque de non-conformit
tudier les procdures d'autovaluation des contrles pour s'assurer qu'elles contiennent des informations pertinentes, telles que le champ d'application, la mthode d'autovaluation, les
critres d'valuation, la frquence d'autovaluation, les rles et responsabilits et la communication des rsultats aux parties prenantes des directions mtiers et informatique (ex : normes
de rfrence en audit interne ou pratiques acceptes en matire de conception des autovaluations).
Interroger le management pour dterminer si des revues indpendantes de l'autovaluation des contrles sont effectues, par rapport aux normes du secteur et aux meilleures pratiques,
pour en garantir l'objectivit et pour permettre le partage des bonnes pratiques de contrle interne (ex : comparaisons avec les niveaux de modle de maturit travers des entreprises
similaires et le secteur concern).
SE2.5 Assurance de contrle interne Identification des possibilits d'amlioration du Contrle inefficace des processus et exigences
Obtenir, en fonction des besoins, l'assurance supplmentaire de contrle des processus, entranant une mtiers non satisfaites
l'exhaustivit et de l'efficacit des contrles internes par des revues amlioration des services pour les mtiers Non-obtention de recommandations objectives,
effectues par des tiers. Mise en place et maintenance d'un cadre de se traduisant par l'absence d'optimisation des
rfrence efficace du contrle interne dispositifs de contrle informatique
Comptences et connaissances en matire de Dficiences de contrle non identifies
contrle communiques au sein de l'entreprise Non-conformit vis--vis des obligations
pour accrotre la sensibilisation vis--vis des lgales, rglementaires et contractuelles
pratiques et principes de contrle interne
S'assurer que des homologations, des certifications et des revues de contrle indpendantes sont effectues priodiquement, en fonction des risques et objectifs mtiers, et des
comptences externes requises (ex : effectuer une valuation annuelle des risques et dfinir les secteurs risque tudier).
S'assurer que les rsultats de la revue ont t communiqus au niveau de management appropri (ex : au comit d'audit) et que des mesures correctives ont t prises.
ANNEXE V
235
236

SE2.6 Contrle interne des tiers Identification des possibilits d'amlioration de Garanties insuffisantes vis--vis des
valuer la situation des contrles internes des fournisseurs de services pour les tiers performances de contrle et du rfrentiel de
services externes. Confirmer que les fournisseurs de services externes Confirmation de l'existence d'un cadre de contrle contrle des fournisseurs de services
se conforment aux obligations lgales et rglementaires, ainsi qu' interne efficace vis--vis des fournisseurs de Dysfonctionnement des systmes stratgiques en
leurs obligations contractuelles.
services tiers cours d'opration
Validit garantie des performances et de la Services informatiques ne respectant pas les
conformit des fournisseurs de services vis--vis spcifications du service
des contrles internes Dysfonctionnements et dgradations du service
par le fournisseur non identifis en temps
opportun
Dgts en termes d'image causs par la
dgradation des performances de service du
fournisseur
S'assurer que les obligations de contrle interne sont prises en compte dans les politiques et procdures relatives aux contrats et accords avec les tiers et que les clauses appropries du
droit l'audit sont incluses.
Vrifier qu'une procdure a t mise en place pour s'assurer que des revues sont priodiquement effectues pour accder aux contrles internes de tous les tiers et que les problmes de
non-conformit sont communiqus.
S'assurer que des politiques et procdures sont mises en place pour confirmer la rception de toutes les dclarations de contrle interne obligatoires (lgales et rglementaires) envoyes
par les fournisseurs de services tiers concerns.
S'assurer que des politiques et procdures sont mises en place pour enquter sur les anomalies et obtenir la garantie que des actions correctives appropries ont t mises en uvre.
SE2.7 Actions correctives Garantie que les dficiences de contrle Dficiences de contrle prcdemment
Dfinir, initier, mettre en place et suivre les actions correctives identifies sont corriges au besoin identifies continuant causer des problmes
rsultant des valuations et des rapports de contrle. Garantie du fonctionnement continu des Mauvais fonctionnement des applications
applications critiques pour les mtiers critiques pour les mtiers
Soutien du processus global de gestion des risques Dgts en termes d'image causs par l'incapacit
de l'entreprise corriger les dficiences de contrle des
Maintien des niveaux de services adopts fournisseurs de services
S'assurer que des procdures sont tablies pour initier, hirarchiser et attribuer la responsabilit de toutes les actions correctives, avec un suivi appropri de ces actions.
S'assurer de l'existence d'un mcanisme pour dtecter les mesures correctives inefficaces et s'assurer que les actions correctives sont identifies et contrles par le management (ex :
tapes cls d'un projet). S'assurer qu'en cas de mesures correctives continuellement inefficaces, la direction gnrale est avertie pour prendre des mesures supplmentaires (ex : rapport
d'avancement d'un projet, comptes-rendus du comit de pilotage des SI).
S'assurer que les procdures tablies exigent que les tches associes aux actions correctives aient t correctement excutes par rapport aux rsultats pralablement spcifis.
ANNEXE V
237
tudier les politiques et procdures de surveillance du contrle interne pour s'assurer qu'elles sont conformes aux normes de gouvernance
de l'entreprise, aux rfrentiels en vigueur dans le secteur et aux meilleures pratiques du secteur.
Dterminer si des valuations indpendantes des contrles informatiques sont requises et si des rapports sur les systmes de contrle interne
des SI sont gnrs pour les revues de direction.
tudier les rapports d'valuation indpendants (ex : activits de production ou de dveloppement externalises) du systme de contrle
interne des SI pour dterminer si les dlimitations appropries sont prises en compte et valides par la direction gnrale.
tudier et confirmer l'tablissement de processus et procdures garantissant que les anomalies de contrle sont signales rapidement,
suivies et analyses.
S'assurer que des actions correctives sont choisies et mises en uvre pour faire face aux anomalies de contrle.
tudier les journaux d'activit ou la documentation approprie pour identifier les anomalies de contrle et s'assurer que ces dernires sont
signales rapidement, suivies et corriges.
Vrifier si des revues priodiques sont effectues pour s'assurer que le systme de contrle interne des SI tient compte des changements
mtiers rcents et des risques mtiers et informatiques connexes.
S'assurer que les disparits entre le cadre de rfrence et les processus mtiers ont t identifis et valus, ainsi que les recommandations
appropries. Par exemple, s'assurer que les systmes mtiers pour l'exploitation ne sont pas grs par les SI, ce qui impliquerait que les
politiques et procdures de contrle tablies utilises par les SI ne soient pas appliques.
S'assurer que les performances du cadre de rfrence de contrle des SI sont rgulirement tudies, values et compares aux normes et
aux meilleures pratiques du secteur.
tudier le dernier rapport d'tat d'avancement de la rsolution des anomalies de contrle pour s'assurer que la surveillance des anomalies de
contrle est efficace et effectue en temps opportun.
tudier les plannings d'autovaluation des contrles et slectionner un chantillon de plans et rapports d'autovaluation des contrles pour
dterminer si les procdures en la matire sont suivies afin de garantir une surveillance permanente efficace.
tudier un chantillon des rapports d'autovaluation des contrles pour vrifier l'existence d'une revue indpendante, d'analyses
comparatives et d'actions correctives pour les anomalies de contrle dtectes (envisager de classer les anomalies de contrle par ordre
d'importance et hirarchiser les actions correctives en consquence).
S'assurer que les rsultats d'autovaluation des contrles et les anomalies sont communiqus et qu'une procdure permet d'effectuer le suivi
des anomalies de contrle et des actions correctives.
valuer la comptence des spcialistes externes ou membres du personnel qui effectuent les revues indpendantes (exprience pertinente en
audit des SI, connaissance du secteur et formation/certifications appropries).
S'assurer que les membres du personnel effectuant les revues sont indpendants (ex : contrler l'accord de confidentialit sign).
tudier les contrats existants pour les services tiers relatifs au contrle des SI et s'assurer que les modalits prvoient un primtre
clairement dfini, l'attribution des responsabilits et la confidentialit.
S'assurer que toutes les dficiences de contrle interne significatives identifies sont immdiatement signales au management.
Interroger les membres du management pour dterminer s'ils contrlent les rsultats de la revue de conformit des tiers pour s'assurer que
les tiers respectent les obligations lgales, rglementaires et contractuelles.
Slectionner un chantillon des contrats tiers et dterminer s'ils spcifient les obligations de contrle interne et s'ils tablissent des clauses
de droit l'audit, s'il y a lieu.
Effectuer des vrifications pour dterminer si les tches suivantes sont effectues : contrle des certifications/homologations, contrat d'audit
appropri (ex : contrat SAS 70 Type II) ou audit direct du fournisseur de services par la DSI.
Pour un chantillon de tiers, se procurer et tudier les rapports de test de conformit du contrle interne, pour s'assurer que les fournisseurs
de services tiers respectent les lois et rglementations applicables et leurs engagements contractuels.
Examiner les lments d'information pour s'assurer que les problmes de non-conformit sont communiqus et que des plans d'action
correctifs (prcisant les dlais) sont mis en place pour faire face ces problmes.
Examiner la mthode utilise pour hirarchiser les actions correctives relatives aux dficiences de contrle, afin de s'assurer de son bien-
fond.
Examiner la liste des problmes relatifs aux actions correctives et dterminer si ces problmes sont correctement hirarchiss (ex : critique,
lev, moyen et faible).
Examiner les outils de planification de projet et les comparer aux actions correctives pour s'assurer que les points identifis comme
prsentant un risque lev sont correctement hirarchiss.
Inspecter les validations et dterminer si elles se produisent en temps opportun.

valuer l'impact sur l'entreprise de chaque dficience rel d'un contrle cl.
Quantifier le risque et la probabilit d'impact sur l'entreprise de chaque dficience potentielle d'un contrle cl.

SE3 S'assurer de la conformit aux obligations externes
Un processus de revue est ncessaire pour garantir efficacement la conformit aux lois, aux rglements et aux obligations contractuelles. Ce processus implique d'identifier les obligations de
conformit, d'valuer et d'optimiser la rponse donner, d'avoir l'assurance d'tre conforme aux obligations et, au final, d'intgrer les rapports sur la conformit des SI ceux du reste de
l'entreprise.
SE3.1 S'assurer de la conformit aux obligations externes Identification des bonnes pratiques relatives aux Non-respect des lois et rglementations
Un processus de revue est ncessaire pour garantir efficacement la lois et rglementations applicables, entranant une situation de non-
conformit aux lois, aux rglements et aux obligations contractuelles. Amlioration des connaissances du personnel vis- conformit
Ce processus implique d'identifier les obligations de conformit, -vis des obligations rglementaires Domaines potentiels de pertes financires et de
d'valuer et d'optimiser la rponse donner, d'avoir l'assurance d'tre
Amlioration des performances des processus et sanctions non identifis
conforme aux obligations et, au final, d'intgrer les rapports sur la
conformit des SI ceux du reste de l'entreprise. de la conformit aux lois et rglements Dclin de la satisfaction des clients et des
Amlioration des performances de l'entreprise partenaires commerciaux
Probabilit accrue de conflits avec les clients et
les organismes de contrle
Risque accru d'atteinte la continuit mtiers en
raison de sanctions imposes par les organismes
de contrle
Faibles performances financires et
oprationnelles de l'entreprise
Vrifier que des procdures sont en place pour s'assurer que les obligations lgales, rglementaires et contractuelles ayant une incidence sur les SI sont contrles. Ces procdures de
conformit rglementaire doivent :
- identifier et valuer l'impact des obligations lgales ou rglementaires applicables relatives l'organisation des SI
- mettre jour les procdures et politiques informatiques associes, concernes par les obligations lgales et rglementaires
- inclure des sujets tels que les lois et rglementations sur le commerce lectronique, les flux de donnes, les contrles internes, le reporting financier, les rglementations propres
chaque secteur, les droits de proprit intellectuelle, ainsi que la sant et la scurit
- inclure la frquence de revue des obligations lgales ou rglementaires (ex : annuellement ou en cas d'obligation lgale, rglementaire ou contractuelle nouvelle ou mise jour).
S'assurer qu'il existe un fichier journal de toutes les obligations lgales, rglementaires et contractuelles applicables, de leur impact et des actions requises, et qu'il est tenu jour.
ANNEXE V
239
SE3 S'assurer de la conformit aux obligations externes (suite)
240

SE3.2 Optimisation de la rponse aux obligations externes Soutien de la conformit de l'entreprise vis--vis Domaines de non-conformit non identifis
Rviser et optimiser les politiques, normes, procdures et des lois et rglementations applicables, grce Exigences de conformit obsoltes restant en
mthodologies informatiques pour s'assurer que les obligations l'utilisation de standards et mthodologies vigueur
lgales, rglementaires et contractuelles sont prises en compte et font Politiques rgulirement rvises et conformes Politiques incapables de rpondre aux besoins de
l'objet d'une communication.
aux objectifs de l'entreprise conformit de l'entreprise
Meilleure connaissance, par le personnel, des Personnel ignorant les procdures et pratiques de
exigences de conformit lgale et rglementaire mise en conformit avec les obligations lgales
Accroissement des performances des processus et rglementaires
concernant la conformit aux lois et
rglementations
S'assurer qu'il existe des procdures et pratiques garantissant la conformit aux obligations lgales, rglementaires et contractuelles.
S'assurer que les fonctions appropries sont incluses dans ces pratiques et procdures (ex : service juridique, production, comptabilit, RH).
SE3.3 valuation de la conformit aux obligations externes Intgration des bonnes pratiques relatives aux lois Sanctions et pertes financires
Valider la conformit des politiques, normes, procdures et et rglementations dans les procdures de Dclin de la satisfaction des clients et des
mthodologies informatiques aux obligations externes. l'entreprise partenaires commerciaux
Amlioration des performances des processus et Incidents de non-conformit non identifis,
de la conformit aux lois et rglements entranant des effets ngatifs sur la rputation et
Changements d'orientation identifis pour les performances de l'entreprise
favoriser l'application opportune d'actions Probabilit accrue de conflits
correctives

Examiner les politiques, standards et procdures du service informatique et s'assurer qu'ils sont mis jour rgulirement et en temps opportun pour rsoudre les ventuels problmes de
non-conformit (lgale et rglementaire) identifis.
SE3.4 Assurance positive de la conformit Confirmation de la conformit de l'entreprise vis- Incapacit signaler les incidents de non-
Obtenir l'assurance du respect de la conformit par toutes les -vis des lois et rglementations applicables, conformit, entranant des effets ngatifs sur la
politiques internes issues de directives internes ou d'obligations grce l'utilisation de standards et mthodologies rputation et les performances de l'entreprise
externes lgales, rglementaires et contractuelles et en rendre Identification des bonnes pratiques relatives aux Probabilit accrue de conflits
compte. S'assurer que toutes les actions correctives ont t
lois et rglementations, intgres efficacement Domaines de non-conformit non identifis et
entreprises en temps opportun par le propritaire du processus
responsable pour traiter tous les manquements la conformit. dans les procdures de l'entreprise non signals
Accroissement des performances des processus Actions correctives non mises en place en temps
concernant la conformit aux lois et opportun, entranant des effets ngatifs sur les
rglementations applicables performances gnrales de l'entreprise
Confirmation que les carts par rapports aux
exigences de conformit sont identifis et corrigs
en temps opportun
Examiner, auprs des propritaires de processus, les signes d'une confirmation rgulire de la conformit aux lois, rglementations et obligations contractuelles applicables (rapport final
et courrier des organismes de contrle confirmant l'excution de leur contrle).
S'assurer que des procdures ont t mises en place pour suivre et excuter les contrles internes et externes, pour s'assurer que la planification et l'affectation des ressources appropries
permettent ou favorisent les contrles (ex : inventaire des obligations rglementaires, planification des revues de conformit interne, planification des ressources requises pour favoriser
les contrles).
Demander si des procdures sont en place pour valuer rgulirement les niveaux de conformit vis--vis des obligations lgales et rglementaires par des entits indpendantes.
Examiner les politiques et procdures pour s'assurer que les contrats avec des fournisseurs de services tiers ncessitent la confirmation rgulire de la conformit (ex : rception de
dclarations) vis--vis des lois, rglementations et obligations contractuelles applicables.
S'assurer qu'une procdure a t mise en place pour surveiller et signaler les incidents de non-conformit et qu'elle inclut, si ncessaire, une enqute plus approfondie sur la cause
premire de ces incidents.
ANNEXE V
241
242

SE3.5 Intgration des rapports Facilitation de la communication des problmes Accroissement du risque de non-conformit de
Intgrer les rapports de l'informatique sur les obligations lgales, de conformit par l'entreprise l'entreprise
rglementaires et contractuelles aux rsultats similaires d'autres Facilitation de la dtection opportune des Autres fonctions mtiers ignorant les exigences
fonctions mtiers. dficiences de contrle lorsqu'elles portent de conformit et la situation relatives aux
atteinte d'autres fonctions mtiers processus informatiques
Soutien des mthodologies et standards de Incapacit intgrer les questions de conformit
l'entreprise pour tablir des dispositifs efficaces des SI dans le reporting global, entranant une
de mise en conformit prise de dcision stratgique errone par le
Rduction du risque de conformit global auquel management de l'entreprise
l'entreprise est confronte
- que les obligations sont coordonnes pour le reporting d'entreprise sur la conformit lgale et rglementaire, y compris l'obligation de conserver les donnes historiques ;
- que les rapports de conformit informatique sont conformes aux exigences de reporting de l'entreprise (distribution, frquence, champ d'application, contenu et prsentation) pour
garantir la cohrence et l'exhaustivit des rapports.
ANNEXE V
Effectuer le suivi des exigences de conformit spcifiques, depuis l'identification et la documentation jusqu'aux procdures, pour viter et
dtecter la non-conformit. Interroger et valuer les membres du personnel concerns pour s'assurer qu'ils connaissent les obligations
lgales, rglementaires et contractuelles qui ont t identifies.
Examiner les lments d'information disponibles ou un registre des lois, rglementations et standards et l'tat de conformit de l'entreprise
partir des donnes internes et des donnes d'un conseil indpendant. Concernant les problmes de non-conformit, identifier les actions
correctives mises en place par le management pour y remdier.
S'assurer que la faon d'aborder la conformit, les procdures et les pratiques en la matire font l'objet de contrles rguliers par des experts
internes et externes (ex : audits de scurit, SAS 70).
S'assurer que des conseils sont obtenus, selon les besoins, de la part d'entits tierces appropries.
Examiner la documentation relative aux processus informatiques pour vrifier l'existence d'un contrle rgulier de conformit lgale et
rglementaire et s'assurer que ces documents sont mis jour si besoin.
Vrifier si l'existence de phnomnes rcurrents de non-conformit est recherche et si leur cause est rgulirement value (ex : dterminer
si les modifications apportes aux politiques, standards, procdures, processus et activits sont appliques en consquence des valuations).
Examiner les rapports d'valuation de la conformit sur les obligations lgales et rglementaires produits par des entits indpendantes
internes ou externes pour s'assurer que des contrles rguliers ont lieu.
Examiner un chantillon de contrats tiers pour dterminer si des clauses prvoient de demander rgulirement la confirmation de la
conformit aux lois, rglementations et obligations contractuelles applicables.
Slectionner un chantillon de fournisseurs de services tiers et se procurer la preuve de leurs dclarations de conformit pour dterminer
s'ils respectent leur engagement contractuel consistant confirmer rgulirement leur conformit.
tudier les conclusions des rapports de conformit des tiers ainsi que celles des enqutes de non-conformit et leur rsolution pour
dterminer si les insuffisances d'efficacit fonctionnelle sont prises en main.
S'assurer que les standards relatifs aux rapports de conformit des SI respectent la prsentation adopte, y compris le champ d'application,
le contenu et le format requis pour garantir la cohrence et l'exhaustivit (ex : examiner les procdures d'accord).
tudier les rapports de conformit pour s'assurer que les rsultats de l'valuation de conformit des SI ont t intgrs et prsents
systmatiquement avec les rapports similaires des autres fonctions mtiers.

Identifier et quantifier le cot des amendes et autres sanctions infliges l'entreprise pour non-conformit.
Quantifier le risque et la probabilit de non-conformit aux exigences rglementaires (ex : "Statement of the Securities and Exchange
Commission Concerning Financial Penalties", US Securities and Exchange Commission [SEC], 2006), pour permettre de mieux
comprendre son impact sur l'entreprise.

SE4 Mettre en place une gouvernance des SI
244

Mettre en place un rfrentiel de gouvernance efficace impose de dfinir des structures organisationnelles, des processus, un leadership, des rles et des responsabilits pour s'assurer que les
investissements informatiques de l'entreprise sont aligns sur ses stratgies et ses objectifs et qu'ils travaillent pour eux.
SE4.1 Mise en place d'un cadre de gouvernance des SI Dcisions informatiques conformes aux stratgies Inefficacit des responsabilits oprationnelles
Dfinir, mettre en place et aligner le cadre de gouvernance des SI sur et aux objectifs de l'entreprise et finales tablies pour les processus
celui de l'entreprise et sur son environnement de contrle. Baser le Une dmarche cohrente pour un cadre de informatiques
rfrentiel de gouvernance sur un processus et un modle de contrle gouvernance obtenu et align sur l'approche de Portefeuille des SI ne favorisant pas la
de l'informatique adquats. viter toute ambigut au niveau des
l'entreprise ralisation des stratgies et objectifs de
responsabilits et des pratiques qui dgraderait le contrle interne et
la surveillance. Veiller la conformit aux lois et rglements du Processus superviss de faon efficace et l'entreprise
cadre de gouvernance, son alignement sur les objectifs et la transparente Actions correctives pour maintenir et amliorer
stratgie de l'entreprise ainsi qu' sa contribution en la matire. Confirmation de la conformit aux obligations l'efficience et l'efficacit des processus
Rendre compte sur toutes les composantes de la gouvernance des SI. lgales et rglementaires informatiques non identifies ou non mises en
Exigences du conseil d'administration en termes uvre
de gouvernance susceptibles d'tre satisfaites Contrles ne fonctionnant pas comme prvu
- qu'un processus tabli existe pour aligner le cadre de gouvernance des SI sur l'environnement de contrle et de gouvernance global de l'entreprise
- que ce cadre est bas sur un modle de contrle et de processus informatiques complet, et qu'il dfinit le leadership, des responsabilits et rles clairs, des exigences d'information, des
structures organisationnelles et des pratiques pour viter les dysfonctionnements de supervision et de contrle interne
- qu'il existe des structures de gouvernance/management appropries, telles que le comit stratgique informatique, le comit de pilotage des SI, le conseil technologique, le comit
architecture des SI et le comit audit des SI. S'assurer que des attributions existent pour chacune d'entre elles
- que le cadre de gouvernance des SI est ax sur l'alignement stratgique, l'apport de valeur, la gestion des ressources, la gestion des risques et l'valuation des performances
- qu'il existe un processus pour mesurer et valuer la ralisation des objectifs et stratgies informatiques, et pour runir toutes les questions de gouvernance informatique et les actions
correctives dans un rfrentiel de gestion consolid ou un mcanisme de suivi
- que les responsabilits de la gestion des risques informatiques ont t clairement tablies
- que l'tat et les problmes de gouvernance des SI sont communiqus l'organisme de supervision de la gouvernance de l'entreprise.
SE4 Mettre en place une gouvernance des SI (suite)
SE4.2 Alignement stratgique SI davantage sensibles aux objectifs de Inefficacit de l'affectation et de la gestion des
Faciliter la comprhension par les instances dirigeantes et le l'entreprise investissements informatiques
management des questions stratgiques concernant les SI comme le Ressources informatiques facilitant la ralisation SI incapables de favoriser la ralisation des
rle des SI, les perspectives offertes par les technologies et leurs des objectifs mtiers, de faon efficace et objectifs de l'entreprise
capacits. S'assurer qu'on comprend aussi bien du ct des mtiers
efficiente Planification informatique stratgique non
que des SI la contribution potentielle des SI la stratgie des mtiers.
Travailler avec le conseil dadministration (CA) et les instances en Capacits informatiques offrant des opportunits conforme la stratgie globale de l'entreprise
charge de la gouvernance comme le comit stratgique informatique pour la stratgie mtiers Orientations informatiques non dfinies et ne
pour proposer au management des orientations pour les SI, en Efficacit de l'affectation et de la gestion des favorisant pas les objectifs mtiers
s'assurant que la stratgie et les objectifs sont rpercuts aux units investissements informatiques
mtiers et aux fonctions informatiques, et que la confiance se
dveloppe entre les mtiers et l'informatique. Faciliter l'alignement
des SI sur les mtiers pour la stratgie et le fonctionnement
oprationnel, en encourageant la co-responsabilit entre les mtiers et
l'informatique dans la prise de dcisions et l'obtention de bnfices
des investissements informatiques.
Examiner la documentation sur la stratgie informatique et dterminer si elle soutient l'orientation fournie par le CA et la direction gnrale. Elle doit reflter les stratgies mtiers et
l'alignement appropri des SI sur les oprations mtiers.
Dterminer si la procdure de planification stratgique des SI inclut la participation des oprations mtiers et dmontre l'alignement sur les stratgies et objectifs mtiers.
Examiner les documents sur la stratgie informatique et dterminer s'ils incluent le rle des SI, les principes d'orientation des SI partir de maximes professionnelles, la faon dont
l'informatique surveille l'impact mtiers de l'infrastructure informatique et du portefeuille d'applications, et l'apport potentiel des SI la stratgie mtiers globale (ex : valuation, post-
implmentation, avantages fournis par les projets informatiques).
ANNEXE V
245
246

SE4.3 Apport de valeur Fourniture rentable des solutions et services Mauvaise orientation des investissements
S'assurer que les programmes d'investissements informatiques et les Utilisation optimise des ressources informatiques informatiques
autres actifs et services informatiques apportent le plus de valeur Besoins mtiers pris en charge de faon efficace Valeur non obtenue des actifs et services
possible au service de la stratgie et des objectifs de l'entreprise. Soutien accr de l'utilisation des SI par les parties informatiques
S'assurer que les rsultats des mtiers attendus des investissements
prenantes de l'entreprise Baisse de la satisfaction clientle
informatiques et que la totalit des efforts ncessaires pour obtenir
ces rsultats sont compris, que des tudes de faisabilit compltes et Accroissement de l'apport de valeur des SI aux Augmentation des cots lis aux activits et
cohrentes sont effectues et approuves par les parties prenantes, objectifs mtiers investissements informatiques
que les actifs et les investissements sont grs tout au long de leur Reprsentation fiable et prcise des cots et des Manque d'harmonisation entre les objectifs
cycle de vie, et qu'il existe une gestion active des bnfices raliser, bnfices probables mtiers et l'architecture informatique
comme la contribution de nouveaux services, des gains d'efficience Bnfices attendus non raliss
et une ractivit accrue aux demandes des clients. Imposer une
approche discipline de la gestion des portefeuilles, des programmes
et des projets, en insistant pour que les mtiers assument la proprit
de tous les investissements informatiques et que l'informatique assure
l'optimisation des cots de fourniture de capacits et de services
informatiques.
Confirmer l'existence d'une co-responsabilit entre les mtiers et l'informatique pour tous les investissements informatiques.
Inspecter la documentation dterminant dans quelle mesure les livrables des SI sont conformes la stratgie. Elle doit inclure l'indication d'une livraison dans les dlais, dans les limites
budgtaires, avec les fonctionnalits adquates et les bnfices attendus.
Dterminer s'il existe une procdure permettant d'identifier et d'valuer rgulirement les moyens d'accrotre l'apport de la valeur des SI tout en grant les attentes des mtiers et de la
direction concernant les technologies mergeantes (ex : runions du comit de pilotage).
Dterminer s'il existe un partenariat entre les fournisseurs mtiers et informatiques, ainsi qu'une responsabilit partage concernant les dcisions d'achat.
Dterminer si l'informatique connat les attentes des mtiers concernant la valeur des SI ou si elles sont documentes (dlai de mise sur le march, gestion du temps et des cots,
partenariat russi) et si l'informatique peroit la valeur des SI de faon systmatique.
Dterminer s'il existe une procdure efficace pour s'assurer que les architectures informatique et mtiers sont conues pour gnrer une valeur maximale.
Dterminer si une procdure efficace a t mise en place pour affiner les investissements informatiques en fonction d'un quilibre des risques, cots et bnfices par rapport aux budgets
acceptables et tenir compte du rendement et des aspects concurrentiels des investissements informatiques.
Examiner la documentation informatique pour dterminer si les mtiers ont dfini des attentes concernant le contenu des livrables informatiques : satisfaction des exigences mtiers ;
possibilit d'adopter des exigences futures ; dbits et temps de rponse futurs ; facilit d'utilisation ; scurit ; intgrit, prcision et actualit des informations.
Dterminer s'il existe un processus efficace de gestion du portefeuille des SI, qui est rgulirement valu pour optimiser la valeur relativement aux cots et qui se traduit (pour les
mtiers) en avantage concurrentiel, dlai entre commande et fourniture du service, satisfaction client, productivit et rentabilit du personnel.
tudier les rsultats de la surveillance, par le management, de la planification des investissements et du budget informatique, pour s'assurer qu'elle reste raliste et qu'elle s'intgre dans
le plan financier global (cela peut inclure la conformit aux obligations rglementaires).
Dterminer si le processus de gestion du portefeuille d'actifs informatiques gre efficacement les cots rels et le rendement des investissements, et s'il communique de faon approprie
sur ces donnes.
SE4.4 Gestion des ressources Hirarchisation et utilisation efficaces et Infrastructures fragmentes et inefficaces
Surveiller l'investissement, l'utilisation et l'affectation des actifs efficientes des ressources informatiques Capacits, comptences et ressources
informatiques au moyen d'valuations rgulires des actions et de Optimisation des cots informatiques insuffisantes pour atteindre les objectifs viss
l'exploitation informatique pour s'assurer d'une gestion adquate des Probabilit accrue de la ralisation des bnfices Objectifs stratgiques non raliss
ressources et de leur alignement sur les objectifs stratgiques actuels
Planification informatique soutenue et optimise Priorits inappropries utilises pour
ainsi que sur les besoins des mtiers.
Capacit s'adapter aux changements futurs l'affectation des ressources
Interroger le management pour s'assurer de la mise en place d'une orientation de haut niveau pour l'acquisition et l'utilisation des ressources informatiques.
Examiner les comptes-rendus de runions avec des cadres de haut niveau pour dterminer l'efficacit de ces activits d'orientation.
Vrifier et confirmer que les infrastructures, comptences et ressources informatiques adaptes sont disponibles pour atteindre les objectifs stratgiques et que des politiques sont en
place pour permettre une disponibilit constante.
Vrifier et confirmer que les infrastructures informatiques fournies facilitent la cration et le partage des informations mtiers un cot optimal.
S'assurer que des politiques, procdures et processus ont t mis en place pour la gestion des ressources et vrifier si leur fonctionnement efficace permet :
- d'optimiser et d'quilibrer les investissements informatiques globaux et l'utilisation des ressources entre le maintien et le dveloppement de l'entreprise
- de tirer parti des informations et des connaissances
- d'tablir des priorits mtiers de faon affecter les ressources pour obtenir des performances informatiques efficaces.
Mettre en place, de faon indpendante, un quilibre estim optimal entre les investissements informatiques globaux et l'utilisation des ressources, et effectuer une comparaison avec les
constatations relles.
Effectuer le suivi des lments travers les infrastructures informatiques et dterminer si la cration et le partage des informations sont efficacement facilits.
Vrifier et confirmer que les rles critiques sont attribus et dfinis de faon tirer le meilleur parti des SI, avec le personnel et les ressources appropris.
Examiner les rles dfinis et s'assurer qu'ils sont attribus et excuts de faon efficace.
Vrifier et confirmer que les procdures pour les valuations des capacits sont en place et rgulirement excutes pour garantir la possibilit de soutenir la stratgie mtiers.
valuer de nouveau les capacits et effectuer une comparaison avec les stratgies mtiers dfinies.
ANNEXE V
247
248

SE4.5 Gestion des risques Risques identifis avant de se traduire dans les Risques identifis ou grs de faon inefficace
Travailler avec le CA pour dfinir l'apptence de l'entreprise pour le faits Augmentation des cots et dpenses lis la
risque informatique et obtenir l'assurance raisonnable que les Plus grande sensibilisation l'exposition aux gestion des risques imprvus
pratiques de gestion des risques sont adquates pour s'assurer que le risques chec des services et applications informatiques
niveau de risque informatique actuel n'excde pas le niveau
Responsabilits finales et oprationnelles critiques
d'apptence du CA pour le risque. Intgrer les responsabilits de
gestion du risque dans l'entreprise, en s'assurant que les mtiers et clairement dfinies pour la gestion des risques Absence de responsable des risques
l'informatique valuent rgulirement les risques informatiques, leurs critiques informatiques
consquences et en rendent compte, et que la position de l'entreprise Mthode efficace de gestion des risques
vis--vis du risque informatique est transparente pour les parties informatiques
prenantes. Profil de risque informatique align sur les
attentes du management
Limitation des possibilits de non-conformit
- que, partir d'informations fournies par le management, telles que l'exposition aux risques informatiques, les mesures de gestion des risques et les cots associs, le CA dfinit,
rvalue rgulirement et communique l'apptence de l'entreprise pour le risque
- que le management analyse le rsultat de l'valuation des risques des activits informatiques, pour s'assurer que le risque couru global n'est pas suprieur l'apptence pour le risque
dfinie, en tenant compte des contrles compensatoires mis en place, et qu'il supervise la mise en uvre de contrles compensatoires supplmentaires pour rduire le risque couru
global si ncessaire
- qu'il existe une procdure pour inclure les questions de gestion des risques informatiques dans les rapports sur les questions et la situation de gouvernance des SI et pour assurer la
transparence des risques informatiques vis--vis de toutes les parties prenantes.
SE4.6 Mesure de la performance Amlioration de la performance des processus carts de performance non identifis en temps
Valider que les objectifs informatiques convenus ont t atteints ou Identification des points d'amlioration opportun
dpasss, ou que la progression vers ces objectifs est conforme aux Stratgies et objectifs informatiques qui sont et Baisse de confiance des parties prenantes
attentes. Rviser les actions correctives prises par le management restent conformes la stratgie de l'entreprise Anomalies et dysfonctionnements des services
pour les cas o les objectifs convenus n'ont pas t atteints ou la
Supervision efficace et transparente des processus non dtects et pris en main, entranant une
progression non conforme aux attentes. Rendre compte au CA de la
performance des portefeuilles, des programmes et des SI en l'tayant Gnration efficace et opportune de rapports de incapacit satisfaire les exigences mtiers
par des rapports pour permettre la direction gnrale de passer en gestion Dfauts de performance des services, entranant
revue la progression de l'entreprise vers les objectifs fixs. des risques de non-conformit lgale et
rglementaire
- que les mesures de performance du tableau de bord informatique sont correctement alignes sur les mesures du tableau de bord mtiers et acceptes par les mtiers
- que le management value et approuve l'efficacit des processus et la prcision et l'exhaustivit des livrables pour valuer et rendre compte des performances informatiques par rapport
la ralisation des objectifs informatiques stratgiques. S'assurer que les rapports de situation indiquent dans quelle mesure les objectifs prvus ont t atteints, les livrables livrs et
les objectifs de performance atteints
- que le CA value le bien-fond des actions correctives du management pour les problmes de performance significatifs et qu'il donne des recommandations pour corriger les causes
organisationnelles ou systmiques si ncessaire.
ANNEXE V
249
250

SE4.7 Assurance indpendante Identification des possibilits d'amlioration des Dgts en termes d'image cause de l'incapacit
Obtenir une assurance indpendante (interne ou externe) sur la services dtecter ou viter la dgradation des
conformit des SI aux lois et rglements dont ils relvent, aux carts dtects en temps opportun performances des services
politiques, normes et procdures de l'entreprise, aux pratiques Assurance fiable de l'existence de procdures et Mcanismes inefficaces de gouvernance des SI,
gnralement acceptes, et la performance de l'informatique en
mcanismes efficaces de gouvernance, de gestion de gestion des risques et de contrle interne
termes d'efficacit et d'efficience.
des risques et de contrle interne Comportements contraires l'thique adopts et
Certification, auprs du CA et de la direction accepts
gnrale, que la gouvernance fonctionne
efficacement
Vrifier et confirmer qu'un comit d'audit a t tabli et qu'il a pour mission de prendre en compte les risques significatifs ; dterminer la faon de les identifier, les valuer et les grer ;
missionner les audits informatiques et de scurit ; suivre rigoureusement la mise en place de leurs recommandations.
Interroger le comit d'audit et valuer ses connaissances et sa sensibilisation vis--vis de ses responsabilits. Dterminer si le comit d'audit tabli fonctionne efficacement.
Vrifier et confirmer que des homologations, des certifications et des revues indpendantes de conformit aux procdures, standards et politiques informatiques ont t obtenues.
Examiner physiquement l'adquation des documents produits par les revues indpendantes.
ANNEXE V
Examiner les comptes-rendus des runions du CA et de la direction gnrale pour dterminer si l'orientation mtiers est fournie concernant
l'utilisation des capacits et des ressources informatiques.
Examiner le leadership d'entreprise et les structures organisationnelles relatifs l'utilisation des ressources informatiques pour dterminer
leur bien-fond par rapport l'ensemble de l'entreprise et l'exhaustivit de leur prise en compte de la supervision et de la gestion des
ressources informatiques.
Identifier le modle de processus utilis pour tablir et soutenir la gouvernance des SI et valuer son adquation et l'efficacit de son
application.
Examiner les comptes-rendus de la planification stratgique des SI pour s'assurer que les buts et objectifs informatiques et mtiers sont
aligns.
S'assurer que des commanditaires mtiers ont t dsigns pour participer directement et activement tous les investissements
informatiques importants et pour en assumer la responsabilit.
Examiner les plans des services informatiques et les comparer avec la stratgie mtiers pour dterminer si l'orientation permet
l'informatique d'offrir une assistance optimale.
Interroger les responsables de la stratgie informatique pour s'assurer qu'elle s'intgre correctement dans les objectifs mtiers globaux.
Dterminer si les buts et objectifs des mtiers et de l'informatique sont clairement communiqus aux parties concernes et si une mdiation
approprie existe et fonctionne efficacement (ex : plans technologiques).
Dterminer si un comit de pilotage des SI dtermine l'alignement mtiers en s'assurant que la stratgie informatique est conforme la
stratgie mtiers et que les stratgies et plans connexes sont cohrents et intgrs.
Dterminer s'il existe une procdure permettant la direction gnrale d'tudier rgulirement les rapports de gouvernance des SI pour
dterminer s'ils rendent compte des problmes informatiques stratgiques et des actions permettant de les rsoudre. Ces rapports doivent
inclure l'tat d'avancement vis--vis des plans stratgiques, les mesures cls de performance des services et les aspects d'attnuation et
d'valuation des risques significatifs.
Identifier et valuer l'ampleur de l'assurance indpendante fournie l'entreprise concernant l'tablissement et l'efficacit des mcanismes de
gouvernance des SI.

Quantifier l'impact des dysfonctionnements des SI pour favoriser de nouvelles initiatives mtiers ou des services mtiers critiques.
Identifier les problmes et incidents relatifs aux SI qui attirent l'attention et les commentaires des mdias (ex : chec de projets de grande
envergure, non-conformit, dfauts de scurit).

PAGE BLANCHE

ANNEXE VI - CONTRLE DES APPLICATIONS (CA)
ANNEXE VI
CONTRLE DES APPLICATIONS (CA)
CA1 Autorisation et prparation des donnes source

CA2 Collecte et saisie des donnes source
CA4 Intgrit et validit du traitement
CA5 Vrification des sorties, rapprochement et traitement des erreurs
CA6 Authentification et intgrit des transactions
A NNEXE VI- CONTRLE DES A PPLICATIONS (CA)

CA1 Autorisation et prparation des donnes source
S'assurer que les documents source sont prpars par le personnel Intgrit des donnes Intgrit compromise des donnes critiques
qualifi et autoris, en respectant les procdures tablies, en tenant Documents de transaction standardiss et Transactions non autorises et/ou errones
compte de la sparation adquate des tches entre la autoriss Inefficacit du traitement et tches rexcuter
gnration/cration et la validation de ces documents. La bonne Amlioration des performances applicatives
conception des masques de saisie permet de rduire les erreurs et
Prcision des donnes de transaction
omissions. Dtecter les erreurs et les anomalies de faon pouvoir
les signaler et les corriger.
S'assurer que la conception du systme prvoit l'identification et la gestion des niveaux d'autorisation.
Vrifier et confirmer que la conception du systme prvoit l'utilisation de listes d'autorisation pr-approuves et des signatures associes pour dterminer si les documents ont fait l'objet
d'une autorisation approprie.
Dterminer si les documents source et/ou les crans de saisie sont conus en dterminant les choix, le codage, etc. au pralable, afin de favoriser l'excution en temps opportun et de
minimiser le risque d'erreur.
Vrifier et confirmer que la conception du systme encourage le contrle des formulaires pour s'assurer qu'ils sont complets et valids et qu'elle identifie les situations dans lesquelles se
produisent des tentatives de traitement de documents incomplets et/ou non autoriss.
Vrifier et confirmer que, une fois identifi, le systme est conu pour suivre et signaler les documents incomplets et/ou non autoriss qui sont refuss et renvoys au propritaire pour
tre corrigs.
Inspecter les listes d'autorisation pour s'assurer que les niveaux d'autorisation sont correctement dfinis pour chaque groupe de transactions. S'assurer que les niveaux d'autorisation sont
correctement appliqus.
Examiner et observer la cration et la documentation des procdures de prparation des donnes et vrifier et confirmer que ces procdures sont comprises et que les supports source
appropris sont utiliss.
Lorsque les procdures l'exigent, vrifier et s'assurer qu'il existe une sparation approprie des tches entre l'initiateur et l'approbateur.
Inspecter les documents, suivre les transactions tout au long du processus et, si possible, utiliser la collecte automatise des donnes disponibles, y compris les chantillons de donnes,
les modules d'audit intgrs ou les techniques d'audit assist par ordinateur, pour suivre les transactions afin de s'assurer que les contrles d'accs/autorisation sont efficaces.
Vrifier et confirmer qu'une liste des employs autoriss et de leurs signatures est tenue jour par les services concerns. Si possible, utiliser la collecte automatise des donnes
disponibles, y compris les chantillons de donnes, les modules d'audit intgrs ou les techniques d'audit assist par ordinateur, pour suivre les transactions afin de s'assurer que la liste
ANNEXE VI
des employs autoriss est effectivement conue pour autoriser le personnel ou certains employs saisir des donnes.
253
CA1 Autorisation et prparation des donnes source (suite)
254

Evaluer le rsultat des objectifs de contrle (suite)
Examiner la liste des employs autoriss et les autres documents, et observer les processus et procdures pour s'assurer que ceux qui permettent de tenir la liste jour sont efficaces et
excuts en temps opportun. Slectionner un chantillon d'employs et dterminer si leurs niveaux d'autorisation correspondent leurs rles et responsabilits.
Vrifier et confirmer que tous les documents source incluent des composants standard, tels que les codes d'entre prdtermins et les valeurs par dfaut pour rduire les erreurs,
enregistrent la date et l'heure des transactions pour permettre la surveillance et obtiennent les informations d'autorisation pour garantir la validit.
Si possible, utiliser la collecte automatise des donnes disponibles, y compris les chantillons de donnes, les modules d'audit intgrs ou les techniques d'audit assist par ordinateur,
pour slectionner des transactions afin de vrifier ultrieurement les composants standard qui amliorent la prcision et apportent la preuve de l'autorisation.
Vrifier et confirmer que, lors de la saisie des donnes, les documents source sont passs en revue ; que les documents non signs ou incorrectement autoriss sont renvoys leurs
auteurs pour correction et sont journaliss ; que les fichiers journaux sont rgulirement examins pour s'assurer que les documents corrigs sont renvoys par les auteurs en temps
opportun. Examiner les documents source et passer en revue les fichiers journaux et autres documents pour s'assurer que les documents incomplets sont dtects efficacement et
complts en temps opportun par leurs auteurs.
Examiner les formulaires des documents source pour s'assurer qu'ils sont utilisables, qu'ils facilitent la prvention des erreurs et permettent une prparation rapide et efficace.
CA2 Collecte et saisie des donnes source
Prvoir que la saisie des donnes sera effectue en temps utile, par le Saisie de donnes prcises et traitement efficace Saisie de donnes incompltes se traduisant par
personnel autoris et qualifi. La correction et la ressaisie des Erreurs dtectes en temps opportun l'inefficacit du traitement
donnes errones doivent tre effectues sans compromettre le Scurisation des donnes de transaction sensibles Intgrit compromise des donnes critiques
niveau d'origine d'autorisation des transactions. Si la reconstruction Violations du contrle d'accs
des donnes le requiert, conserver les documents source d'origine
Non-dtection d'erreurs de saisie de donnes
pendant un laps de temps adquat.
Vrifier et confirmer que les critres de disponibilit, d'exhaustivit et de prcision des documents source sont dfinis et communiqus.
Vrifier et confirmer l'existence de procdures documentes pour la correction des erreurs, des tats de dsquilibre et la saisie de donnes de remplacement. S'assurer que ces
procdures incluent des mcanismes de suivi, de correction, de validation et de ressaisie en temps opportun. valuer les procdures par rapport des facteurs tels que la description des
messages d'erreur et les mcanismes de remplacement.
Vrifier et confirmer que des politiques et procdures sont tablies pour dterminer les critres d'identification des catgories de transactions critiques qui requirent des documents
source prnumrots ou d'autres mthodes uniques d'identification des donnes source.
Vrifier et confirmer que des politiques et procdures ont t mises en place pour dfinir les politiques de conservation des documents. Les facteurs prendre en compte pour valuer la
politique de conservation des documents sont les suivants : criticit de la transaction, format des donnes source, mthode de conservation, emplacement du stockage, priode de
conservation, exigences rglementaires et de conformit.
Pour chaque grand groupe de transactions, vrifier et confirmer l'existence de documents sur les critres permettant de dfinir l'autorisation de saisie, de modification, d'acceptation, de
refus et de remplacement.
Inspecter la documentation sur les politiques et procdures pour s'assurer que les critres de disponibilit, d'exhaustivit et de prcision sont correctement reprsents.
Vrifier et confirmer que les documents source critiques sont prnumrots et que les numros qui ne sont pas dans l'ordre sont identifis et pris en compte.
Vrifier et confirmer que les messages d'erreur sont gnrs en temps opportun, que les transactions ne sont pas traites sauf si les erreurs sont corriges ou correctement annules, que
les erreurs qui ne peuvent pas tre immdiatement corriges sont journalises et que le traitement des transactions correctes continue, que les journaux d'erreurs sont examins et que les
actions correctives en dcoulant sont excutes dans des dlais raisonnables et spcifis.
Vrifier et confirmer que les rapports sur les erreurs et les tats de dsquilibre sont examins par le personnel comptent, que toutes les erreurs sont identifies, corriges et contrles
dans un laps de temps raisonnable, et que les erreurs sont consignes dans des rapports jusqu' ce qu'elles soient corriges.
Pour un chantillon de flux de transactions, vrifier et confirmer que la conservation des documents source est dfinie et applique conformment aux critres tablis en la matire.
Slectionner un ensemble de transactions critiques et :
- comparer l'tat rel des contrles d'accs en matire de saisie des transactions, de modification, de validation, etc. par rapport aux critres, politiques ou procdures tablis ;
- dterminer si les documents source critiques sont prnumrots ou si d'autres mthodes uniques d'identification des donnes source sont utilises ;
- examiner la documentation ou inspecter les transactions pour identifier les employs qui peuvent saisir, modifier, autoriser, valider et refuser des transactions, et annuler les erreurs ;
- se procurer un chantillon de transactions appartenant cet ensemble et correspondant une priode spcifique, et inspecter les documents source relatifs ces transactions. Vrifier si
ANNEXE VI
tous les documents source appropris sont disponibles.
Identifier et tudier les numros qui ne sont pas dans l'ordre, les anomalies et les doublons l'aide d'outils automatiss (techniques d'audit assist par ordinateur).
Inspecter les documents, suivre les transactions tout au long du processus et, si possible, utiliser la collecte automatise des donnes disponibles, les modules d'audit intgrs ou les
techniques d'audit assist par ordinateur, pour suivre les transactions afin de s'assurer que les contrles d'autorisation sont efficaces et qu'un nombre suffisant d'lments d'information
sont enregistrs et contrls de faon fiable.
255
CA2 Collecte et saisie des donnes source (suite)
256

Evaluer le rsultat des objectifs de contrle (suite)
Inspecter les documents, suivre les transactions tout au long du processus et, si possible, utiliser la collecte automatise des donnes disponibles, les modules d'audit intgrs ou les
techniques d'audit assist par ordinateur, pour suivre les transactions afin de s'assurer que les messages d'erreur opportuns, les restrictions de traitement des transactions et les journaux
d'erreurs sont efficacement gnrs, appliqus et contrls.
Examiner les rapports d'erreur et d'tat de dsquilibre, les corrections d'erreurs et les autres documents pour s'assurer que les erreurs et les situations de dsquilibre sont efficacement
contrles, corriges, vrifies et signales jusqu' ce qu'elles soient corriges.
S'assurer que les transactions sont exactes, compltes et valides. Correction efficace des erreurs de traitement de Saisie de donnes incompltes, incorrectes ou
Valider les donnes saisies et modifier ou renvoyer pour correction donnes imprcises se traduisant par l'inefficacit du
aussi prs que possible du point de cration. Maintien de l'exactitude, de l'exhaustivit et de la traitement et par la ncessit de rexcuter des
validit des donnes au cours du traitement tches
Traitement ininterrompu des transactions Intgrit compromise des donnes critiques
Sparation des tches pour le traitement et la Non-dtection d'erreurs de saisie de donnes
saisie des donnes Saisie de donnes non autorises
Vrifier et confirmer l'existence de politiques et procdures pour le traitement des transactions pour lesquelles les contrles de prparation et de validation n'ont pas t concluants.
Vrifier et confirmer que des processus et procdures sont tablis pour la sparation des tches concernant la saisie, la modification et la validation des donnes de transactions, ainsi que
les rgles de validation. Les facteurs prendre en compte pour l'valuation des politiques de sparation des tches incluent la criticit du systme de transaction et les mthodes
d'application de la sparation des tches.
Vrifier et confirmer que les critres de validation et les paramtres des donnes saisies sont rgulirement contrls, confirms et mis jour, de faon approprie, par des moyens
autoriss et en temps opportun.
Pour les systmes critiques ou importants, inspecter le processus de saisie des donnes pour s'assurer que les contrles d'autorisation permettent uniquement aux personnes autorises de
saisir ou de modifier des donnes.
Se procurer une description fonctionnelle et des renseignements descriptifs sur les contrles relatifs la saisie des donnes. Examiner la fonctionnalit et la conception des contrles
appropris. Voici quelques exemples de contrles : contrle de squence, de valeur limite, des limites, de validit, de vraisemblance, consultation de table, contrle d'existence,
vrification des cls, chiffre de contrle, contrle d'intgralit (ex : montant total, nombre total d'lments, nombre total de documents, sommes de contrle), double contrle, contrles
d'accs logique et modifications d'heures.
Se procurer une description fonctionnelle et des renseignements descriptifs sur les contrles d'autorisation de saisie des donnes. Examiner la fonctionnalit et la conception concernant
la prsence de contrles d'autorisation.
Se procurer une description fonctionnelle et des renseignements descriptifs sur la saisie des donnes de transaction. Examiner la fonctionnalit et la conception concernant la prsence de
contrles complets et opportuns et de messages d'erreurs. Si possible, observer la saisie des donnes de transaction.
Se procurer une description fonctionnelle et des renseignements descriptifs sur la validation des donnes de transaction.
Examiner les rapports d'erreur et d'tat de dsquilibre, les corrections d'erreurs et les autres documents pour s'assurer que les erreurs et les situations de dsquilibre sont efficacement
contrles, corriges, vrifies et signales jusqu' ce qu'elles soient corriges.
Examiner les corrections d'erreurs, les situations de dsquilibre, les annulations de saisie et autres documents pour vrifier si les procdures sont respectes.
Slectionner un chantillon de donnes source saisies dans les documents source. Procder une inspection ou utiliser des techniques d'audit assist par ordinateur ou d'autres outils
d'valuation et de collecte automatise des donnes disponibles pour s'assurer que les donnes saisies reprsentent de faon prcise et exhaustive les documents source sous-jacents.
Slectionner un chantillon des processus de saisie des donnes source. Vrifier et confirmer que des mcanismes ont t mis en place pour s'assurer que les processus de saisie des
ANNEXE VI
donnes source ont t excuts conformment aux critres de disponibilit, d'exhaustivit et de prcision tablis.
Vrifier et confirmer que les transactions qui ne suivent pas les procdures standard de prparation et de validation font l'objet d'un suivi appropri jusqu' ce qu'elles soient corriges.
257
CA4 Intgrit et validit du traitement
258

Maintenir l'intgrit et la validit des donnes tout au long du cycle Erreurs de traitement dtectes en temps opportun Manifestation insuffisante des erreurs ou des
de traitement. S'assurer que la dtection des transactions errones Capacit enquter sur les problmes utilisations abusives
n'interrompt pas le traitement des transactions valides. Non-dtection des erreurs de saisie de donnes
Traitement de donnes non autorises
Vrifier et confirmer que le traitement des transactions a lieu uniquement aprs avoir t dment autoris.
tudier la documentation relative aux outils et aux applications pour s'assurer qu'ils sont applicables et adapts la tche. Dans le cas de transactions critiques, vrifier le code pour
s'assurer que les contrles fonctionnent comme prvu dans les outils et applications. Traiter de nouveau un chantillon reprsentatif pour s'assurer que les outils automatiss fonctionnent
comme prvu.
Se procurer une description fonctionnelle et des renseignements descriptifs sur les contrles relatifs la saisie des donnes. Examiner la fonctionnalit et la conception concernant la
prsence d'erreurs de squence et de duplication, les contrles d'intgrit rfrentielle, les sommes de contrle et les totaux factices. Utiliser des outils de recherche pour identifier les cas
dans lesquels des erreurs ont t identifies tort et les cas dans lesquels des erreurs n'ont pas t dtectes.
Examiner la description fonctionnelle et les renseignements descriptifs sur la saisie des donnes de transaction pour dterminer si les transactions qui ne suivent pas les procdures
standard de prparation et de validation sont transmises aux fichiers d'attente. Vrifier si les fichiers d'attente sont produits de faon approprie et cohrente et si les utilisateurs sont
informs des transactions enregistres dans les comptes d'attente. S'assurer que le traitement des transactions n'est pas retard par des erreurs de saisie de donnes ou d'autorisation de
transaction. Utiliser la collecte automatise des donnes disponibles, y compris les chantillons de donnes, les scnarios de rfrence (transactions prpares avec un rsultat attendu),
les modules d'audit intgrs ou les techniques d'audit assist par ordinateur, pour suivre les transactions afin de s'assurer qu'elles sont traites efficacement, que les transactions correctes
sont traites sans interruptions causes par les transactions incorrectes et que les transactions errones sont signales.
Analyser un chantillon reprsentatif des transactions errones dans les comptes et fichiers d'attente et s'assurer que les transactions qui ne suivent pas les procdures standard de
validation sont contrles jusqu' ce qu'elles soient corriges. Vrifier si les comptes et fichiers d'attente relatifs aux transactions qui ne suivent pas les procdures standard de validation
contiennent uniquement des erreurs rcentes, confirmant que les plus anciennes ont t corriges de faon approprie.
Vrifier et confirmer que l'ordre des tches est indiqu l'exploitation informatique. Vrifier et confirmer que les travaux fournissent des instructions adquates au systme
d'ordonnancement des travaux, afin d'viter l'ajout, la modification ou la perte inapproprie de donnes lors du traitement. Inspecter les documents source, suivre les transactions tout au
long du processus et, si possible, utiliser la collecte automatise des donnes disponibles, les modules d'audit intgrs ou les techniques d'audit assist par ordinateur, pour suivre les
transactions afin de s'assurer que le logiciel d'ordonnancement des travaux de production est utilis efficacement, pour excuter les travaux dans l'ordre correct et fournir des instructions
adquates au systme.
Vrifier et confirmer qu'un identifiant ou un nombre ordinal unique (ex : indice, date, heure) est affect chaque transaction. Inspecter les documents source, suivre les transactions tout
au long du processus et, si possible, utiliser la collecte automatise des donnes disponibles, les modules d'audit intgrs ou les techniques d'audit assist par ordinateur, pour suivre les
transactions afin de vrifier l'absence de doublons pour les transactions qui ncessitent des identifiants uniques et l'absence d'anomalies ncessitant une numrotation squentielle.
Vrifier et confirmer que la piste d'audit des transactions traites est tenue jour. Examiner la piste d'audit et les autres documents pour s'assurer que la conception de la piste d'audit est
efficace. Utiliser la collecte automatise des donnes disponibles, y compris les chantillons de donnes, les modules d'audit intgrs ou les techniques d'audit assist par ordinateur pour
suivre les transactions, afin de vrifier que la piste d'audit est tenue jour de faon efficace. S'assurer que les images avant/aprs sont conserves et rgulirement examines par le
personnel comptent.
Vrifier et confirmer que la piste d'audit des transactions est tenue jour et rgulirement tudie pour dtecter les ventuelles activits inhabituelles. S'assurer que l'examen est effectu
par un superviseur qui ne procde pas la saisie des donnes. Examiner la piste d'audit, les transactions (ou lots), les revues et autres documents ; suivre les transactions tout au long du
processus ; si possible, utiliser la collecte automatise des donnes disponibles, y compris les chantillons de donnes, les modules d'audit intgrs ou les techniques d'audit assist par
ordinateur, vrifier que l'examen priodique et la gestion de la piste d'audit permettent de dtecter efficacement les activits inhabituelles et que les revues des superviseurs permettent
de vrifier efficacement la validit des ajustements, remplacements et transactions importantes, en temps opportun.
Vrifier et confirmer que les outils appropris sont utiliss et que la gestion des seuils est conforme aux exigences de scurit. Vrifier et confirmer qu'un superviseur examine
rgulirement les seuils et les sorties systme. Utiliser la collecte automatise des donnes disponibles, y compris les chantillons de donnes, les modules d'audit intgrs ou les
techniques d'audit assist par ordinateur pour suivre les transactions, afin de vrifier que les outils fonctionnent comme prvu.
CA4 Intgrit et validit du traitement (suite)

Evaluer les contrles (suite)
Vrifier et confirmer que des outils sont utiliss, lorsque cela est possible, pour prserver automatiquement l'intgrit des donnes en cas d'interruption imprvue du traitement des
donnes. Examiner la piste d'audit et autres documents, plans, politiques et procdures, pour s'assurer que les fonctionnalits du systme sont effectivement conues pour prserver
automatiquement l'intgrit des donnes. Examiner les enregistrements des interruptions relles ayant caus des problmes d'intgrit des donnes et s'assurer que les outils appropris
ont t utiliss efficacement.
Vrifier et confirmer que l'adquation des ajustements, des remplacements et des transactions importantes est examine rapidement et en dtail, par un superviseur qui n'effectue pas de
saisie de donnes. Examiner la piste d'audit et autres documents, plans, politiques et procdures, pour s'assurer que la conception des ajustements, des remplacements et des transactions
importantes permet de contrler ces derniers rapidement et en dtail. Examiner la piste d'audit, les transactions (ou lots), les revues et autres documents ; suivre les transactions tout au
long du processus ; si possible, utiliser la collecte automatise des donnes disponibles, y compris les chantillons de donnes, les modules d'audit intgrs ou les techniques d'audit
assist par ordinateur, pour vrifier que les revues des superviseurs permettent de s'assurer efficacement de la validit des ajustements, remplacements et transactions importantes, en
temps opportun.
Vrifier et confirmer que le rapprochement des fichiers totaux est effectu rgulirement et que les situations de dsquilibre sont signales. Examiner les rapprochements et autres
documents et suivre les transactions tout au long du processus pour s'assurer que les rapprochements dterminent efficacement si les fichiers totaux correspondent ou si la situation de
dsquilibre est signale au personnel concern.
Pour un chantillon d'applications, vrifier et confirmer que la sparation des tches a t mise en place. Vrifier si la sparation des tches est mise en uvre pour la saisie, la
modification et la validation des donnes de transaction, ainsi que pour les rgles de validation.
Pour un chantillon de processus de transactions critiques, dterminer si les contrles d'accs permettent d'viter la saisie de donnes non autorises. l'aide d'outils de recherche,
identifier les situations dans lesquelles les employs non autoriss ont la possibilit de saisir ou de modifier des donnes.
Pour un chantillon de systmes de transaction, vrifier si les comptes et les fichiers d'attente (pour les transactions qui ne suivent pas les procdures standard de prparation et de
validation) contiennent uniquement des erreurs rcentes. S'assurer que des actions correctives appropries ont t appliques aux transactions de ce type les plus anciennes.
Pour un chantillon de transactions, s'assurer que la saisie de donnes n'est pas retarde par des transactions incorrectes.
Pour les transactions d'importance capitale, mettre en place un systme de test fonctionnant de la mme faon que le systme rel. Entrer diffrents types d'erreurs.
Vrifier si la dtection et le signalement des erreurs sont complets et effectus en temps opportun, et s'ils fournissent suffisamment d'informations pour corriger la transaction.
Pour les transactions d'importance capitale, mettre en place un systme de test fonctionnant de la mme faon que le systme rel. Traiter les transactions dans le systme de test pour
s'assurer que les transactions valides sont traites de faon approprie et en temps opportun.
S'assurer que les erreurs sont signales de faon approprie et en temps opportun.
Inspecter les messages d'erreur lors de la saisie des donnes ou du traitement en ligne.
S'assurer que les messages d'erreur correspondent au flux de transaction. Exemples illustrant le caractre appropri des messages : comprhensibilit, instantanit et visibilit.
Dterminer si les transactions qui ne suivent pas les procdures standard de prparation et de validation sont transmises aux fichiers d'attente.
Vrifier si les fichiers d'attente sont gnrs correctement et de faon cohrente.
Vrifier si l'utilisateur est inform des transactions transmises aux comptes d'attente.
Se procurer un chantillon d'oprations de saisie de donnes. Utiliser des outils appropris de recherche et d'analyse automatique pour identifier les cas dans lesquels des erreurs ont t
ANNEXE VI
identifies tort et les cas dans lesquels des erreurs n'ont pas t dtectes.
Utiliser la collecte automatise des donnes disponibles, y compris les chantillons de donnes, les modules d'audit intgrs ou les techniques d'audit assist par ordinateur pour suivre
les transactions, afin de vrifier que le traitement des transactions valides est effectu sans interruption. Vrifier et confirmer que les transactions incorrectes sont signales en temps
opportun.
259
CA5 Vrification des sorties, rapprochement et traitement des erreurs
260

tablir des procdures et les responsabilits connexes pour s'assurer Protection des donnes confidentielles en sortie Donnes de transaction confidentielles
que le traitement des donnes en sortie est dment effectu, que ces Rsultats du traitement complets et sans erreur, transmises un mauvais destinataire
donnes sont transmises au destinataire appropri et protges lors de transmis au destinataire concern Confidentialit des donnes compromise
leur transmission ; que la vrification, la dtection et la correction de Erreurs dtectes en temps opportun Traitement inefficace des transactions
l'exactitude des donnes en sortie a lieu et que les informations
Non-dtection des erreurs de donnes de
fournies dans ces donnes sont utilises.
transaction en sortie
Examiner les critres de conception et s'assurer qu'ils ncessitent l'utilisation de processus de contrle axs sur l'intgrit, tels que l'utilisation de sommes de contrle dans les
enregistrements de dbut (header) et/ou de fin (trailer) et l'quilibrage des sorties par rapport aux sommes de contrle produites par le systme.
Vrifier et confirmer que les situations de dsquilibre dtectes font l'objet de rapports, que ces rapports ont t labors dans le systme et que des procdures ont t tablies pour
s'assurer que les rapports sont transmis au niveau de management appropri.
Vrifier et confirmer que les procdures exigent que les situations de dsquilibre et autres anomalies fassent l'objet d'enqutes et de rapports dans des dlais brefs.
tudier la documentation et s'assurer que les procdures prcisent que des inventaires priodiques sont raliss vis--vis des documents confidentiels cls et que des enqutes sont
menes sur les ventuelles anomalies.
Vrifier et confirmer que des procdures ont t tablies pour s'assurer que l'exhaustivit et la prcision de la sortie d'application sont valides avant que la sortie soit utilise pour le
traitement ultrieur, y compris pour l'utilisation dans le cadre du traitement d'utilisateur final.
Vrifier et confirmer que des procdures ont t labores pour s'assurer qu'un contrle du caractre raisonnable et de la prcision de la sortie est effectu, ou par rapport d'autres
critres tablis par le propritaire du processus, avant utilisation.
Dterminer si des procdures ont t dfinies, ncessitant la journalisation des erreurs potentielles et leur rsolution avant la distribution des rapports.
Vrifier et confirmer que les sommes de contrle sont correctement mises en uvre dans les enregistrements de dbut (header) et/ou de fin (trailer) des sorties pour effectuer un
quilibrage par rapport aux sommes de contrle produites par le systme.
Vrifier et confirmer que les situations de dsquilibre dtectes font l'objet de rapports transmis au niveau de management appropri. Examiner les rapports de dsquilibre. Si possible,
utiliser la collecte automatise des donnes disponibles pour rechercher les erreurs de sommes de contrle et s'assurer que des mesures correctives appropries ont t prises temps.
Vrifier et confirmer que des inventaires physiques des donnes de sortie confidentielles sont effectus selon une frquence approprie. S'assurer qu'ils sont compars aux registres
d'inventaire et que des mesures correctives sont appliques aux anomalies potentielles. S'assurer que des pistes d'audit sont cres pour tenir compte de toutes les anomalies et des refus
de documents de sortie confidentiels. Examiner un chantillon reprsentatif des pistes d'audit utilisant la collecte automatise des donnes disponibles, si possible, pour identifier les
anomalies et vrifier si elles ont t dtectes et si des mesures correctives ont t prises. Se procurer un exemple d'inventaire physique et le comparer aux pistes d'audit associes pour
s'assurer que la dtection est efficace.
Se procurer une liste des sorties lectroniques qui sont rutilises dans les applications des utilisateurs finaux. S'assurer que le caractre complet et prcis de la sortie lectronique est
vrifi avant sa rutilisation et son retraitement. Slectionner un chantillon reprsentatif de sorties lectroniques et suivre les documents slectionns tout au long du processus pour
s'assurer que la prcision et l'exhaustivit sont vrifis avant l'excution d'autres oprations. Rexcuter les tests d'exhaustivit et de prcision pour s'assurer qu'ils sont efficaces.
Vrifier et confirmer que le bien-fond et la prcision de la sortie sont contrls. Slectionner un chantillon reprsentatif de rapports de sortie et vrifier le bien-fond et la prcision des
sorties. S'assurer que les erreurs potentielles sont signales et consignes dans un fichier journal centralis. Slectionner un chantillon reprsentatif de transactions et s'assurer que les
erreurs sont identifies et corriges en temps opportun. Examiner les journaux d'erreurs pour vrifier si les erreurs sont corriges en temps opportun.
Vrifier et confirmer que les informations confidentielles sont dfinies, valides par le propritaire du processus et traites de faon approprie. Il peut s'agir, notamment, d'tiqueter les
sorties d'application sensibles et, si ncessaire, d'envoyer les sorties sensibles des priphriques de sortie spciaux dont l'accs est contrl. Pour un chantillon de donnes
confidentielles, rechercher les fichiers en sortie et s'assurer qu'ils sont correctement tiquets. Examiner les mthodes de diffusion des informations confidentielles et les mcanismes de
contrle d'accs des priphriques de sortie sensibles. S'assurer que les mcanismes assurent l'application correcte des droits d'accs prtablis.
CA6 Authentification et intgrit des transactions
Avant d'changer des donnes de transaction entre les applications Traitement direct Transactions errones et/ou non autorises
internes et les fonctions mtiers/fonctions oprationnelles (dans Confiance dans la validit et l'authenticit des Erreurs de transaction non dtectes
l'entreprise ou en dehors), vrifier l'exactitude des destinataires, transactions Inefficacits et tches supplmentaires
l'authenticit de l'original et l'intgrit du contenu. Maintenir Erreurs et utilisations abusives vites effectuer
l'authenticit et l'intgrit lors de la transmission ou du transport.
Vrifier et confirmer qu'une procdure a t mise au point pour s'assurer que, en matire de transactions critiques, des accords adquats ont t conclus avec les contreparties, incluant
des normes de communication et de prsentation des transactions, les responsabilits, et les exigences d'authentification et de scurit.
Vrifier et confirmer que les systmes sont conus pour contenir des mcanismes appropris en matire d'intgrit, d'authenticit et de non-rpudiation, tels que l'adoption d'une norme
scurise et d'une norme faisant l'objet d'une vrification indpendante.
Vrifier et confirmer que les systmes sont conus pour intgrer un marquage de sortie conforme aux normes du secteur, afin d'identifier les informations authentifies.
Examiner les manuels et la documentation relatifs aux applications critiques pour s'assurer que les spcifications de conception exigent la vrification approprie de l'authenticit des
entres.
Vrifier et confirmer que les systmes sont conus pour identifier les transactions reues d'autres applications de traitement et analyser ces informations pour dterminer l'authenticit de
l'origine des informations et dterminer si l'intgrit du contenu a t maintenue pendant la transmission.
Se procurer et examiner les accords conclus avec les contreparties concernant les transactions critiques et s'assurer qu'ils prcisent les exigences relatives aux normes de communication
et de prsentation des transactions, les responsabilits, et les exigences d'authentification et de scurit
Slectionner un chantillon d'accords conclus avec les contreparties concernant les transactions critiques et s'assurer qu'ils sont complets.
Slectionner un chantillon d'checs d'authentification pour s'assurer que les accords conclus avec les contreparties sont efficaces.
Examiner la documentation et procder une inspection pour identifier les applications qui jouent un rle dterminant en matire d'intgrit, d'authenticit et de non-rpudiation des
transactions. Pour ces applications, vrifier et confirmer qu'un mcanisme appropri d'intgrit, d'authenticit et de non-rpudiation a t adopt (norme scurise ou norme faisant
l'objet d'une vrification indpendante).
Examiner les manuels et la documentation relatifs aux applications critiques pour s'assurer que les spcifications et la conception garantissent que les sorties sont correctement tiquetes
avec les donnes d'authentification.
Inspecter le code d'un chantillon d'applications pour s'assurer que ces spcifications et cette conception s'appliquent. Vrifier si ces spcifications ont t testes et ont produit de bons
rsultats.
Slectionner un chantillon reprsentatif de transactions et s'assurer que les informations d'authenticit et d'intgrit sont correctement transmises tout au long du cycle de traitement.
Examiner les journaux d'erreurs relatifs aux transactions qui n'ont pas t correctement authentifies et en vrifier la cause.
Inspecter le code d'un chantillon d'applications pour s'assurer que les spcifications d'authenticit ont t appliques. Vrifier si ces spcifications ont t testes et ont produit de bons
rsultats.
Examiner les journaux d'erreurs relatifs aux transactions qui n'ont pas t correctement authentifies et en vrifier la cause.
ANNEXE VI
261
PAGE BLANCHE

ANNEXE VII - MODLE DE MATURIT DU CONTRLE INTERNE
DU CONTRLE INTERNE
DE MATURIT
ANNEXE VII
MODLE
ANNEXE VII
A NNEXE VII M ODLE DE MATURIT DU CONTRLE INTERNE

L'annexe 7 propose un modle de maturit gnrique qui montre la situation de l'environnement de contrle interne et la mise
en place des contrles internes dans une entreprise. Elle montre comment la gestion du contrle interne, et la conscience du
besoin de mettre en place de meilleurs contrles internes, font typiquement progresser d'un niveau donn un niveau optimis.
Ce modle propose un guide gnral pour aider les utilisateurs de COBIT juger de ce qui est ncessaire pour des contrles
internes efficaces de l'informatique et pour les aider positionner leur entreprise par rapport au modle de maturit.
Niveau de maturit Situation de l'environnement de contrle interne Mise en place de contrles internes
0 Inexistant On ne reconnat pas le besoin d'un contrle interne. Le On n'est pas dcid valuer le besoin d'un contrle interne.
contrle ne fait pas partie de la culture ou de la mission de On traite les incidents quant ils surviennent.
l'entreprise Il existe un risqu lev de dfaillances des
contrles et d'incidents.
1 Initialis, au cas par On reconnat en partie le besoin d'un contrle interne. On n'est pas conscient du besoin d'une valuation de ce qui
cas L'approche du risque et des exigences de contrle se fait est ncessaire pour les contrles de l'informatique. Lorsqu'on
au cas par cas, est mal organise, sans communication ni en fait, ce n'est qu'au cas par cas, un niveau gnral et en
surveillance. On ne sait pas identifier les dfaillances. Les raction des incidents srieux. Les valuations ne
employs ne sont pas conscients de leurs responsabilits. concernent que les incidents avrs.
2 Reproductible mais Les contrles sont en place, mais ils ne sont pas L'valuation des besoins en contrles n'a lieu que lorsqu'il est
intuitif documents. Leur fonctionnement dpend des ncessaire de dterminer, pour certains processus
connaissances et des motivations d'individus particuliers. informatiques particuliers, le niveau actuel de maturit des
L'valuation de l'efficacit n'est pas bien faite. Les contrles, la cible vise et l'cart qui existe. On utilise une
contrles ont de nombreuses faiblesses et on ne les utilise approche informelle d'atelier de travail, avec les responsables
pas comme il faut ; les consquences peuvent tre graves. de l'informatique et l'quipe implique dans le processus,
Les actions du management pour rsoudre les problmes pour dfinir une approche adquate des contrles pour ce
du contrle ne sont ni hirarchises ni logiques. processus et pour convenir d'un plan d'action.
Les employs ne sont pas toujours conscients de leurs
responsabilits l'gard du contrle.
3 Dfini Les contrles sont en place et ils sont correctement On a identifi les processus informatiques critiques en
documents. On value priodiquement l'efficacit fonction d'inducteurs de valeur et de risques. On procde
fonctionnelle et le nombre de problmes n'est ni trs lev une analyse dtaille pour dterminer les exigences de
ni trs bas. En revanche, le processus d'valuation n'est contrle et les causes des carences, et pour trouver des
pas document. Bien que le management soit capable de possibilits d'amlioration. En plus d'ateliers organiss, on
traiter couramment les problmes de contrle, certaines utilise des outils et on pratique des entretiens pour enrichir
faiblesses persistantes pourraient encore avoir de graves l'analyse et pour s'assurer que les processus d'valuation et
consquences. Les employs sont conscients de leurs d'amlioration sont bien attribus un propritaire et que
responsabilits l'gard des contrles. celui-ci les met en uvre.
4 Gr et mesurable Il existe un environnement efficace de gestion du contrle L'aspect critique des processus informatiques est
interne et des risques. On procde frquemment une rgulirement dtermin avec le soutien et l'accord complets
valuation documente des contrles. De nombreux des propritaires de processus mtiers concerns.
contrles sont automatiss et rgulirement examins. Le L'valuation des exigences de contrle se base sur la
management dtecte la plupart des problmes lis aux politique et sur le niveau de maturit de ces processus, selon
contrles, mais ce n'est pas systmatique. Il existe un suivi une analyse complte et chiffre qui implique les parties
srieux qui permet de traiter les faiblesses reconnues des prenantes les plus concernes. On sait clairement qui a la
contrles. L'informatique est utilise de faon limite et responsabilit finale de ces valuations et on vrifie qu'il
tactique pour automatiser les contrles. l'assume. Les stratgies d'amlioration s'appuient sur des
tudes de faisabilit. On vrifie constamment si la
performance aboutit au rsultat souhait. On organise
occasionnellement des revues de contrle externe.
5 Optimis L'entreprise a un programme gnral risque/contrle qui Les modifications mtiers prennent en compte la dimension
permet de rsoudre les problmes de faon efficace et critique des processus informatiques et couvrent tous les
continue. La gestion du contrle et du risque est intgre besoins de rvaluation des capacits des contrles des
dans les pratiques d'entreprise, assiste par une processus. Les propritaires de processus informatiques
surveillance automatique en temps rel, et la responsabilit effectuent rgulirement des autovaluations pour confirmer
finale de la surveillance des contrles, de la gestion des que les contrles sont au bon niveau de maturit pour
risques et du respect de la conformit est pleinement satisfaire les besoins mtiers, et ils prennent en compte les
assume. L'valuation des contrles est continue, base attributs de maturit pour trouver comment rendre les
sur des autovaluations et sur l'analyse des carences et contrles plus efficients et plus efficaces. L'entreprise se
des causes. Les employs s'impliquent activement dans compare aux bonnes pratiques externes et cherche des
l'amlioration des contrles. conseils l'extrieur sur l'efficacit du contrle interne. Pour
les processus cruciaux, on procde des revues
indpendantes pour apporter l'assurance raisonnable que les
contrles sont au niveau de maturit dsir et qu'ils
fonctionnent selon les prvisions.

ANNEXE VIII - CADRAGE DES SI
CADRAGE DES SI
ANNEXE VIII
ANNEXE VIII
A NNEXE VIII - C ADRAGE DES SI
1. Dfinir le projet.
Dfinir le but du projet, l'objectif des mtiers et les bnfices escompts. Documenter les secteurs de l'entreprise concerns et ceux sur
lesquels le projet aura des rpercussions. Lister les facteurs de russite, les exigences de conformit, les risques potentiels et les critres de
clture du projet. Dterminer la faon de grer les ventuels changements de ces inducteurs et rsultats du projet.
tape Activits Livrables

tape 1.1 Dfinir les objectifs. Identifier les raisons et les objectifs lis la mise en Valeurs mtiers documentes
Identifier les principaux buts et objectifs du uvre du projet et les examiner avec le management. Objectifs documents du projet
projet. laborer la proposition de valeur et Rechercher et documenter les principaux problmes et informatique
indiquer comment les objectifs soutiennent et facteurs de proccupation. Rsultats escompts documents
optimisent les buts de l'entreprise.
Tirer les enseignements des projets similaires dj mis
en uvre.
Identifier et obtenir les documents appropris.
Identifier les rsultats escompts et les livrables du
projet (haut niveau).
Identifier le paysage concurrentiel.
tape 1.2 Dfinir le primtre. Identifier les activits cls, les units mtiers, les entits Primtre document du projet
Dfinir le projet informatique et son primtre organisationnelles, les oprations, etc. inclure dans le informatique
(ce qui est inclus et ce qui est ne l'est pas). primtre du projet. Primtre document des problmes de
Identifier les units organisationnelles, les Identifier et documenter les lments qui sont dlimitation et les actions correctives
activits mtiers et les processus mtiers qui gnralement inclus dans le primtre de ce type de associes
sont inclus, et ceux qui n'entrent pas dans le
primtre du projet. projet mais qui sont ici exclure. Communication du primtre aux
Identifier tous les problmes de cadrage, tels que les principales parties prenantes
entits dtenues en partie, les juridictions trangres ou
les exclusions.
S'assurer que le primtre est suffisant pour garantir que
les rsultats obtenus atteindront les objectifs et
correspondront aux livrables attendus.
tablir la liaison avec les entits concernes pour
garantir la coordination.
tape 1.3 Dfinir des standards. Identifier les rgles contractuelles, lgislatives, Standards documents qui seront utiliss
Identifier les standards, les cadres de rglementaires, sectorielles ou autres standards que lors de la mise en uvre du projet
rfrence, les politiques et/ou contrats qui l'entit et le projet doivent respecter. Facteurs cls de russite et mtriques
doivent tre respects par le projet. Les Identifier tous les standards et cadres de rfrence que documents utiliser pour valuer les
standards peuvent inclure des exigences
le projet doit prendre en compte. rsultats du projet
sectorielles, des normes rglementaires et
les politiques des diffrentes entits. Documenter les facteurs de russite pour permettre la
Identifier les indicateurs de mesure et tablir conformit aux standards et les mtriques cls pour
des facteurs cls de russite pour la mise en l'attester.
conformit.
tape 1.4 Dfinir les risques. Identifier les raisons potentielles de l'incapacit du projet valuation documente des risques du
Identifier et valuer les risques associs au atteindre les objectifs ou du retard de ralisation de projet informatique
projet, y compris les risques mtiers et les ces objectifs. Plan d'attnuation des risques (si
risques de projet. Le degr d'valuation et Identifier les scnarios importants qui peuvent mettre en ncessaire) et cots estims
d'attnuation des risques dpend de la taille
pril les objectifs du projet, ainsi que les ventuels
du projet, de la valeur apporte et de l'impact
du projet. impacts ngatifs de ce projet sur les autres objectifs de
l'entreprise.
Identifier l'importance des risques et les probabilits
d'occurrence.
Crer des plans pour grer et attnuer les risques.
tape 1.5 Dfinir la procdure de gestion Identifier les facteurs internes et externes qui pourraient Description de la procdure de
des changements. gnrer des modifications du projet. changement
Identifier les facteurs internes et externes qui Dfinir et documenter le processus et les procdures Guide de gestion des changements,
pourraient gnrer des modifications du d'autorisation, d'acceptation et de communication des prvoyant l'utilisation d'outils et de
projet, et dfinir la faon dont les objectifs, le
changements apports aux inducteurs et aux rsultats. techniques
primtre, les risques et les facteurs de
russite du projet seront modifis. Identifier les techniques et les outils appropris
permettant de grer la procdure de changement.

tape 1.6 Dfinir la russite du projet. Identifier les activits d'acceptation d'avant-projet. Preuves (mtriques, critres de qualit, etc.)
Identifier les conditions runir pour que le Identifier les preuves demandes pour indiquer que demandes pour indiquer que le projet a t
projet soit considr comme achev, y les livrables du projet ont t fournis et accepts par men bien avec succs
compris les activits, tches et livrables le responsable du projet et par les personnes Preuves que les activits post-excution ont
spcifiques requis pour clturer le projet.
charges des activits courantes que le projet peut t identifies et transmises aux units
Dfinir les critres de sortie du projet
(conditions qui dterminent si les objectifs ont gnrer. organisationnelles concernes
t atteints).
tape 1.7 Dfinir les ressources. Preuves (mtriques, critres de qualit, etc.) Modle de ressources
Identifier les ressources requises pour mener demandes pour indiquer que le projet a t men Planification des cots des ressources
bien le projet, y compris les personnes, les bien avec succs
technologies, le financement et les Preuves que les activits post-excution ont t
comptences.
identifies et transmises aux units
organisationnelles concernes
tape 1.8 Dfinir les livrables. Identifier les livrables externes qui seront gnrs par Liste des livrables du projet
Dfinir les livrables spcifiques produire au le projet. chantillon de livrables slectionns
cours du projet. Crer un exemple caractristique de livrable.
2. Planifier le projet.
Dfinir les livrables de faon dtaille. Ensuite, identifier les ressources, le soutien et les responsabilits requis pour produire ces livrables.
Obtenir l'autorisation, dfinir les priorits au sein du projet, activer les ressources et laborer un plan de communication afin de dfinir les
tapes cls du projet.

tape 2.1 Obtenir le soutien de la Dterminer si les commanditaires potentiels sont Propritaire/commanditaire du projet
direction. appropris. Charte et documentation complte du projet
Identifier et dsigner les commanditaires valuer la disponibilit des commanditaires potentiels
appropris du projet. pour rpondre aux attentes.
Mettre au point des supports de prsentation destins
aux cadres, axs sur les avantages et les objectifs du
projet.
tape 2.2 Finaliser les besoins en tudier la planification des cots et le modle de Modle de ressources mis jour
ressources. ressources prvus. Planning dtaill d'acquisitions des
Obtenir les financements et les ressources Prparer un planning d'acquisitions dtaill. ressources.
ncessaires, dfinis dans le modle de Prparer un budget dtaill du projet, associ un Budget dtaill du projet
ressources.
chancier, prvoyant l'utilisation et la consommation
des ressources et les besoins de financement.
tape 2.3 Dfinir l'organisation pour la Documenter les rles et responsabilits. Modle d'organisation
ralisation du projet Dfinir les attentes du leadership. Autorit hirarchique
Dfinir et mettre en uvre la structure Crer et tablir la structure d'organisation. Rles et responsabilits
organisationnelle requise pour mener bien Affecter, ds le dpart, le personnel cl cette
le projet. Elle inclut le leadership, le
structure.
personnel, le principal commanditaire, etc., et
peut inclure un bureau de gestion de projets. Crer les rles, les responsabilits et les descriptions
de postes.

ANNEXE VIII
tape 2.4 Dfinir l'chancier. tudier les buts et objectifs et le modle de chanciers documents intgrs dans les
Dfinir l'chancier spcifique d'excution du ressources prvus. informations de planification des ressources
projet, afin d'atteindre les buts et objectifs En s'appuyant sur cet examen, dfinir les tapes cls Document de planification du projet
noncs en tenant compte des ressources pour les livrables et les principaux points de contrle indiquant :
escomptes et des livrables dfinis pour le
du projet avec les commanditaires du projet. les activits et les tches
projet. Inclure les tapes cls et identifier le
chemin critique. Prparer un chronogramme de haut niveau et la dpendance des activits
identifier le chemin critique potentiel et les activits les dates des principales tapes
qui en dpendent. les principaux points de contrle du
Prparer des diagrammes de Gantt pour chacune des
projet
principales phases du sous-projet, y compris l'analyse
du chemin marge libre et du chemin critique, les les dates des principaux livrables
besoins en comptences et les plans de ressources. les dates d'indication de l'tat
S'assurer que le planning rpondra aux attentes d'avancement et de gnration des
concernant le reporting externe critique, le rapports
financement et autres dlais au sein du cycle mtiers. les activits mtiers et autres dates
Dfinir la gnration de rapports d'avancement au cls
sein du projet et destination des principales parties Documents de communication dfinis
prenantes externes et des employs concerns.
tape 2.5 Dfinir l'approche et la laborer les phases et sous-phases du projet, Plan de projet dtaill
mthodologie. chacune tant associe des objectifs, des activits
Dterminer les mthodologies utiliser et et des livrables.
laborer des plans dtaills, prcisant les Dterminer l'approche et les mthodologies utiliser,
phases, sous-phases, activits et tches,
et les informations obtenir.
pour permettre au projet d'atteindre
brillamment ses objectifs. laborer des programmes de travail dtaills pour
chaque phase, sous-phase et activit.
tape 2.6 Crer un plan de Communiquer l'tat du projet, le plan de ressources et Plan de communication document,
communication. les cots (selon les cas). comprenant un chancier et des tapes cls
laborer un plan permettant de communiquer Communiquer l'tat du plan de gestion des risques.
les informations sur le projet, de grer les Communiquer les modifications des buts et objectifs
attentes et de soutenir les objectifs du projet
du projet.
tout au long de son cycle de vie. Tenir
compte des tapes cls et des diffrents Communiquer sur l'avancement du projet.
publics.

PAGE BLANCHE

ANNEXE IX - COBIT ET PRODUITS DE LA FAMILLE COBIT
FAMILLE
ET PRODUITS DE LA
ANNEXE IX
COBIT
COBIT
ANNEXE IX
ANNEXE IX- COBIT ET PRODUITS DE LA FAMILLE COBIT
Le rfrentiel COBIT dans la version 4 et suivantes comprend :
Le cadre de rfrence : explique comment COBIT structure les objectifs de la gouvernance des SI, les objectifs de contrle et les bonnes
pratiques, par domaine informatique et par processus, et les relie aux exigences mtiers
La description des processus : comprend 34 processus informatiques couvrant tous les domaines de responsabilit de l'informatique
de A Z
Les objectifs de contrle : dcrivent sous forme de bonnes pratiques gnriques les objectifs de gestion des processus informatiques
Le guide de management : propose des outils pour aider rpartir les responsabilits et mesurer la performance
Les modles de maturit : apportent diffrents profils de processus informatiques par la description de diffrents tats possibles actuels et
futurs
Depuis sa cration, le contenu de base de COBIT n'a cess d'voluer au fil des ans et le nombre de produits drivs de COBIT n'a cess
d'augmenter. Les publications drives de COBIT sont aujourd'hui les suivantes :
Conseils aux dirigeants d'entreprises pour la gouvernance des SI, 2e dition : ce document aide les dirigeants comprendre l'importance de
la gouvernance des SI, quels sont ses enjeux et quel est leur rle dans sa mise en uvre.
COBIT Online : permet de personnaliser COBIT afin de l'adapter son entreprise, d'enregistrer et de modifier les versions volont. Les
services en ligne comprennent la ralisation d'tudes en temps rel, une foire aux questions, des tests comparatifs et un forum permettant de
poser des questions et de partager des expriences.
Pratiques de contrle COBIT: Recommandations pour atteindre les objectifs de contrle et russir la gouvernance des SI, 2me dition :
recommandations pour limiter les risques et accrotre la valeur grce la mise en uvre d'objectifs de contrle et indications pour les
mettre en place. Il est vivement recommand d'utiliser les Pratiques de contrle COBIT avec le Guide de mise en place de la gouvernance
informatique : Utilisation de COBIT et Val IT 2me dition.
Guide d'Audit informatique : Utilisation de COBIT : fournit des conseils sur la faon d'utiliser COBIT pour favoriser diffrentes activits
d'audit ainsi que des propositions de procdures d'valuation pour tous les processus informatiques COBIT et les objectifs de contrle. Il
remplace le Guide d'Audit pour l'audit ou l'autovaluation des objectifs de contrle de COBIT 4.1.
Objectifs de contrle informatique pour Sarbanes-Oxley : rle de l'informatique dans la conception et la mise en place du contrle interne
des rapports financiers, 2me dition : fournit un guide pour assurer la conformit la loi de l'environnement informatique en s'appuyant
sur les objectifs de contrle COBIT.
Guide de mise en place de la gouvernance informatique : Utilisation de COBIT et Val IT, 2me dition : fournit une feuille de route
gnrique pour mettre en place la gouvernance des SI en utilisant les ressources de COBIT et Val IT ainsi qu'un ensemble d'outils associs.
COBIT Quickstart : fournit une base de contrle pour les PMI-PME et peut servir d'tape prliminaire pour une grande entreprise. La
deuxime dition est actuellement en cours d'laboration.
COBIT Base pour la scurit, 2me dition : se focalise sur les tapes fondamentales de mise en oeuvre de la scurit des SI de l'entreprise.
La deuxime dition est actuellement en cours de finalisation.
COBIT Mappings actuellement disponibles l'adresse suivante : www.isaca.org/downloads :
Aligning COBIT, ITIL and ISO 17799 for Business Benefit
COBIT Mapping: Overview of International IT Guidance, 2nd Edition
COBIT Mapping: Mapping de CMMI for Development V1.2 avec COBIT 4.0
COBIT Mapping: Mapping de ISO/IEC 17799:2000 avec COBIT, 2nd Edition
COBIT Mapping: Mapping de ISO/IEC 17799:2005 avec COBIT 4.0
COBIT Mapping: Mapping de ITIL avec COBIT 4.0
COBIT Mapping: Mapping de PMBOK avec COBIT 4.0
COBIT Mapping: Mapping de PRINCE2 avec COBIT 4.0
COBIT Mapping: Mapping de CMM for Software (SEI) avec COBIT 4.0
Gouvernance de la scurit des SI : recommandations aux dirigeants d'entreprise, 2me dition : prsente la scurit des SI en termes
mtiers et renferme des outils et des techniques pour aider dtecter les problmes de scurit
Val IT est le terme gnral retenu pour prsenter les publications ainsi que les produits et activits venir se rfrant au rfrentiel Val IT.
Les publications actuelles de la famille Val IT sont :

Valeur dans l'entreprise : gouvernance des investissements informatiques - le cadre de rfrence Val IT explique comment une entreprise
peut tirer la meilleure valeur possible de ses investissements informatiques. Il est bas sur COBIT et est structur en :
Trois processus : gouvernance de la valeur, gestion de portefeuille et gestion de l'investissement
Des pratiques cls de management des SI : les principes de gestion fondamentaux qui facilitent l'atteinte d'un but ou du rsultat souhait
d'une activit particulire. Ils appuient les processus de Val IT et jouent peu prs le mme rle que les objectifs de contrle de COBIT.
Valeur dans l'entreprise : gouvernance des investissements informatiques - l'tude de faisabilit, se focalise sur un lment cl du processus
de gestion de l'investissement
Valeur dans l'entreprise : gouvernance des investissements informatiques - l'tude de cas ING, dcrit comment une grande entreprise du
secteur financier gre un portefeuille d'investissements informatiques dans le contexte Val IT
Visitez les sites www.isaca.org/cobit ou www.isaca.org/valit pour avoir connaissance des informations les plus jour et les plus compltes sur
COBIT et Val IT, les produits drivs, les tudes de cas, les programmes de formation, les lettres d'information et toute autre information
particulire sur ces rfrentiels. En France, consultez le site de l'AFAI : www.afai.fr.

IT Governance Institute AFAI
3701 Algonquin Road, Suite 1010 Association Franaise de l'Audit et
Rolling Meadows, IL 60008 tats-Unis du Conseil Informatiques
Tl :+1.847.590.7491 171 bis, avenue Charles de Gaulle
Fax :+1.847.253.1443 92200 NEUILLY sur SEINE (France)
E-mail: info@itgi.org Tl. 33 (0)1 40 88 10 44
Sites Internet : www.itgi.org E-Mail : afai@afai.fr
Site Internet : www.afai.fr

Guide D - Audit Des SI - VF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Guide D - Audit Des SI - VF

Uploaded by

Copyright:

Available Formats

GUIDE DAUDIT

DES SYSTMES dINFORMATION

Limportance de la gouvernance et de l'audit des SI

Le cadre de rfrence COBIT

Les dmarches d'audit des SI

COBIT soutient les activits d'audit des SI

L'IT Governance Institute

2008 AFAI. Tous droits rservs. www.afai.fr

2008 AFAI. Tous droits rservs. www.afai.fr

2008 AFAI. Tous droits rservs. www.afai.fr

Les participants aux sminaires et les rviseurs experts

2008 AFAI. Tous droits rservs. www.afai.fr 3

Lynn Lawton, CISA, BA, FCA, FIIA, PII, KPMG LLP, UK

4 2008 AFAI. Tous droits rservs. www.afai.fr

Le Conseil d'administration de l'ITGI

Le Comit de Gouvernance des SI

Le Comit de pilotage COBIT

Le Comit consultatif de l'ITGI

2008 AFAI. Tous droits rservs. www.afai.fr 5

Les socits affilies et partenaires financiers de l'ITGI

6 2008 AFAI. Tous droits rservs. www.afai.fr

T ABLE DES MATIRES

2. Principes et environnement de l'audit des SI....................................................................................................17

3. Planification de l'audit .........................................................................................................................................25

4. Cadrage des objectifs de contrle et des ressources informatiques ................................................................31

5. Excution de la mission d'audit..........................................................................................................................35

2008 AFAI. Tous droits rservs. www.afai.fr 7

6. Principes d'audit des processus et des contrles COBIT ..................................................................................39

Annexe I. Contrle des Processus (CP) ..............................................................................................................45

Annexe II. Planifier et Organiser (PO) ................................................................................................................51

Annexe III. Acqurir et Implmenter (AI)..........................................................................................................115

Annexe IV. Dlivrer et Supporter (DS) ...............................................................................................................153

Annexe V. Surveiller et valuer (SE).................................................................................................................225

Annexe VI. Contrle des Applications (CA) .......................................................................................................253

Annexe VII. Modle de maturit pour le contrle interne..................................................................................263

Annexe VIII. Cadrage des SI.................................................................................................................................265

Annexe IX. COBIT et produits de la famille COBIT.............................................................................................269

8 2008 AFAI. Tous droits rservs. www.afai.fr

PRSENTATION SOMMAIRE DE COBIT

Pour rpondre aux besoins des entreprises, COBIT :

Le cadre de rfrence COBIT est rsum par la figure 1.

2008 AFAI. Tous droits rservs. www.afai.fr 9

PO 1 Dfinir un plan informatique stratgique

DS 1 Dfinir et grer les niveaux de service

10 2008 AFAI. Tous droits rservs. www.afai.fr

Conseils aux dirigeants pour la

Responsables mtiers et informatique

Quel est le Comment valuer

Professionnels de la gouvernance, de lassurance, du contrle et de la scurit

Rfrentiels COBIT et VALIT Guide dimplmentation de la Guide daudit des SI

Pratiques cls de gestion 2me dition

2008 AFAI. Tous droits rservs. www.afai.fr 11

Figure 3 Mise en uvre et Guides dAudit

Rfrentiel sur la gouvernance des Rfrentiel sur la gouvernance des

COMPOSANTS DU GUIDE D'AUDIT DES SYSTMES D'INFORMATION

12 2008 AFAI. Tous droits rservs. www.afai.fr

amliors par valus par contrls par

Faiblesses de Evaluation du dcoulant de

Evaluation des dcoulant de

Conseils gnriques ( ) et spcifiques ( ) issus du Guide d'audit des Systmes d'Information

dterminer les pratiques de contrle mettre en uvre

2008 AFAI. Tous droits rservs. www.afai.fr 13

RELATIONS AVEC LES PRATIQUES DE CONTRLE COBIT