Professional Documents
Culture Documents
Utilisation de COBIT
Avertissement
L'ITGI (le Propritaire ) a conu et rdig ce document, intitul Guide d'audit des Systmes d'Information : Utilisation de COBIT
(l' uvre ), essentiellement comme une ressource pdagogique destine aux professionnels de l'audit. Le Propritaire ne garantit pas que
l'utilisation d'une partie quelconque de l'uvre produira de faon certaine un rsultat positif. On ne doit pas considrer a priori que l'uvre
contient toutes les informations, les procdures et les tests ncessaires, ni qu'elle exclut le recours d'autres informations, procdures ou tests
qui visent raisonnablement produire des rsultats semblables. Pour dterminer si une information, une procdure ou un test spcifique est
appropri, les responsables des SI, les directions gnrales, les directions informatiques et les professionnels du contrle doivent appliquer
leur propre jugement aux circonstances particulires qui se prsentent dans leurs environnements informationnels et technologiques
spcifiques.
Droits de proprit
Diffusion et Copyright 2007 IT Governance Institute. Tous droits rservs. Il est interdit d'utiliser, copier, reproduire, modifier, diffuser,
prsenter, archiver ou transmettre par quelque moyen que ce soit (lectronique, mcanique, photocopie, enregistrement ou autre) une partie
quelconque de cette publication, sans l'autorisation crite pralable de l'ITGI. La reproduction de passages de cette publication, pour un usage
interne et non commercial exclusivement ou dans un but pdagogique, est autorise sous rserve que la source soit mentionne avec
prcision. Aucun autre droit et aucune autre autorisation ne sont accords pour cette uvre.
.
IT Governance Institute AFAI
3701 Algonquin Road, Suite 1010 Association Franaise de l'Audit et du Conseil Informatiques
Rolling Meadows, IL 60008 tats-Unis 171 bis, avenue Charles de Gaulle
Tl :+1.847.590.7491 92200 NEUILLY sur SEINE (France)
Fax :+1.847.253.1443 Tl. 33 (0)1 40 88 10 44
E-mail: info@itgi.org E-Mail : afai@afai.fr
Sites Internet : www.itgi.org Site Internet : www.afai.fr
Translated into French language from the English language version of IT Assurance Guide using COBIT by AFAI the French Chapter of
the Information Systems Audit and Control Association (ISACA) with the permission of the IT Governance Institute and the Information
Systems Audit and Control Foundation. AFAI assumes sole responsibility for the accuracy and faithfulness of the translation.
Traduction franaise du Guide d'Audit des Systmes d'Information : utilisation de COBIT ralise par l'AFAI, chapitre franais de
l'Information Systems Audit and Control Association (ISACA), avec l'autorisation de l'IT Governance Institute et de la Information Systems
Audit and Control Foundation. L'AFAI est seule responsable de l'exactitude et de la fidlit de la traduction.
Copyright 2007 IT Governance Institute, Rolling Meadows, Illinois, USA. All rights reserved. No part of this publication may be reproduced
in any form without the written permission of the IT Governance Institute.
Copyright 2007 IT Governance Institute, Rolling Meadows, Illinois, USA. Tous droits rservs. Reproduction mme partielle interdite sans
l'autorisation crite de l'IT Governance Institute.
Copyright 2008 AFAI. Tous droits rservs. Reproduction mme partielle interdite sans l'autorisation crite du Conseil
d'Administration de l'AFAI.
REMERCIEMENTS
La version franaise du Guide d'Audit des Systmes d'Information : Utilisation de COBIT est l'uvre de la Commission
COBIT de l'AFAI prside par Jean-Louis BLEICHER, Administrateur de l'AFAI, Banque Fdrale des Banques
Populaires.
Ont galement particip la version franaise Stphane GARIAZZO pour la traduction et Marie-Laure SIMON pour
la mise en forme.
PAGE BLANCHE
R EMERCIEMENTS
LIT Governance Institute tient remercier :
Les chefs de projets et prescripteurs
Roger S. Debreceny, Ph.D., FCPA, University of Hawaii, USA
Erik Guldentops, CISA, CISM, University of Antwerp Management School, Belgium
Les enseignants et tudiants suivants pour leur travail sur les pratiques de contrle
et les procdures de test d'audit de COBIT 4.1
Scott L. Summers, Ph.D., Brigham Young University, USA
Keith Ballante, Brigham Young University, USA
David Butler, Brigham Young University, USA
Phil Harrison, Brigham Young University, USA
William Lancaster, Brigham Young University, USA
Chase Manderino, Brigham Young University, USA
Paul Schneider, Brigham Young University, USA
Jacob Sperry, Brigham Young University, USA
Brian Updike, Brigham Young University, USA
Le Comit d'audit
Lynn C. Lawton, CISA, BA, FCA, FIIA, PII, KPMG LLP, UK
Pippa G. Andrews, CISA, ACA, CIA, Amcor, Australia
John Warner Beveridge, CISA, CISM, CFE, CGFM, Office of the Massachusetts State Auditor, USA
Daniel Patrick Casciano, CISA, Ernst & Young LLP, USA
Gregory T. Grocholski, CISA, The Dow Chemical Company, USA
Avinash W. Kadam, CISA, CISM, CBCP, CISSP, MIEL e-Security Pvt. Ltd., India
Anthony P. Noble, CISA, CCP, Viacom Inc., USA
Gustavo A. Solis, Grupo Cynthus S.A. de C.V., Mexico
Paul A. Zonneveld, CISA, CA, Deloitte & Touche, Canada
Corresponding Member Robert G. Parker, CISA, CA, CMC, FCA, Canada
7. Comment les composants COBIT favorisent-ils les activits d'audit des SI ? ................................................43
Introduction ...........................................................................................................................................................43
Composants de COBIT...........................................................................................................................................43
Missions d'audit des SI ..........................................................................................................................................44
Les corrlations les plus fortes ..............................................................................................................................44
1. INTRODUCTION
OBJECTIFS DU GUIDE
L'objectif du Guide d'audit des Systmes d'Information est de donner des orientations sur l'utilisation de COBIT pour raliser divers types
d'audit des SI. Si l'entreprise utilise dj COBIT comme cadre de gouvernance des SI, le guide permettra de tirer parti de COBIT lors de la
planification et de l'excution d'audits, afin que les responsables des mtiers, de l'informatique et de l'audit puissent se runir autour d'un
cadre et d'objectifs communs.
Ce guide est conu pour favoriser l'efficacit et l'efficience des missions d'audit des SI. Il apporte des recommandations sur la planification,
le cadrage et la ralisation des audits l'aide d'un plan d'action s'appuyant sur des mthodes d'audit rpandues. Des recommandations sont
galement fournies sur la faon d'utiliser les ressources COBIT au cours de ces phases, en s'appuyant sur des tests dtaills bass sur les
processus et les objectifs de contrle de COBIT. Les recommandations et les tests proposs, comme toutes les ressources COBIT, n'ont pas
vocation tre prescriptifs. Ils doivent tre adapts chaque mission d'audit.
Ce guide est principalement destin aux professionnels de l'audit mais il peut galement intresser les responsables informatiques et les
spcialistes du conseil en informatique.
COBIT s'intresse ce qui est ncessaire pour une gouvernance, une gestion et un contrle adquats des SI au niveau gnral. COBIT se
conforme d'autres cadres, normes et meilleures pratiques informatiques plus dtaills. COBIT agit comme intgrateur de ces diffrents
guides en runissant les objectifs cls dans un mme cadre de rfrence gnral qui fait aussi le lien avec les exigences de gouvernance et les
exigences des mtiers. Dans ce contexte, le rfrentiel de contrle interne COSO (cr par le Committee of Sponsoring Organisations of the
Treadway Commission) et d'autres rfrentiels semblables qui se conforment aux mmes principes sont gnralement considrs comme les
rfrentiels de contrle interne pour les entreprises. COBIT est gnralement considr comme le cadre de rfrence de la gestion et du
contrle des SI.
Adopter COBIT comme cadre de gouvernance des SI offre les avantages suivants :
une meilleure harmonisation de l'informatique et de l'activit de l'entreprise du fait de son orientation mtier
une comprhension partage par toutes les parties prenantes grce un langage commun
une vision comprhensible de ce qu'apporte l'informatique la gestion de l'entreprise
une attribution claire de la proprit et des responsabilits, du fait de l'approche par processus
une adoption gnralise de la part des tiers et des organismes de contrle
le respect des exigences du COSO pour le contrle de l'environnement informatique.
OBJECTIFS METIERS
OBJECTIFS DE GOUVERNANCE
COBIT
DLIVRER ET ACQURIR ET
SUPPORTER IMPLMENTER
Les produits COBIT s'organisent en trois niveaux conus pour apporter leur aide aux :
conseils d'administration et aux directions gnrales
directions oprationnelles et informatiques
professionnels de la gouvernance, de l'audit, du contrle et de la scurit.
La figure 2 reprsente les produits COBIT au sein du corpus de connaissances de la gouvernance informatique destin chacun de ces trois
niveaux.
Guide de management
Comment mesurer la performance ?
Comment se comparer aux autres ? Modles de maturit
Et comment samliorer ?
Ce schma de produit bas sur COBIT prsente les produits gnralement applicables et leur public principal. Il existe galement des produits drivs pour des fonctions
particulires (Objectifs de contrle des SI pour Sarbanes-Oxley, 2me dition), dans des domaines comme la scurit (Bases de scurit COBIT et gouvernance de la scurit de
l'information : Recommandations destines aux conseils d'administration et aux directions gnrales) ou pour des entreprises spcifiques (COBIT Quickstart pour les petites et
moyennes entreprises ou pour les grandes entreprises qui souhaitent acclrer la mise en uvre d'un programme plus large de gouvernance des SI)
Pour plus d'informations sur chaque produit, consultez l'annexe 9, COBIT et produits de la famille COBIT. Visitez le site www.isaca.org/cobit
pour obtenir les informations les plus compltes et les plus rcentes sur COBIT et les produits drivs, des tudes de cas, des offres de formation,
des lettres d'information et d'autres renseignements spcifiques sur COBIT. En France, visitez le site www.afai.fr
PUBLIC CIBLE
Ce Guide d'audit des Systmes d'Information fournit des recommandations dtailles aux professionnels de l'audit et de l'informatique, sur la
faon d'utiliser COBIT pour favoriser diverses missions d'audit pour chacun des 34 processus informatiques. Les conseils et principes d'audit
sont fournis pour :
les contrles gnriques qui s'appliquent tous les processus (dsigns dans le cadre de rfrence COBIT par l'identifiant PCn)
les contrles applicatifs (dsigns dans le cadre de rfrence COBIT par l'identifiant CAn)
des contrles de processus spcifiques (dsigns dans le cadre de rfrence COBIT par l'identifiant du domaine et le numro de processus,
par exemple PO6.3, AI4.1).
Le guide et les tapes d'audit servent :
valuer les contrles associs l'objectif de contrle
valuer le rsultat de l'objectif de contrle (efficacit oprationnelle)
valuer les faiblesses de contrle et leur impact.
Nous partons du principe que les utilisateurs de ce guide connaissent les concepts de COBIT et possdent un niveau de connaissances au
moins quivalent au niveau Foundation de COBIT (un test en ligne permet d'obtenir la certification COBIT Foundation). Dans le cas
contraire, nous recommandons au lecteur de suivre la formation COBIT Foundation Course. Pour plus d'informations sur ces possibilits de
formation, envoyez un e-mail l'adresse education@isaca.org ou visitez le site www.isaca.org/cobitcampus. En France, visitez le site
www.afai.fr
Le guide suppose galement que les lecteurs possdent des connaissances gnrales sur les concepts d'audit.
Guide de
Conseils aux Conseils aux
management
dirigeants* Objectifs de dirigeants*
contrle
Modles de maturit
Pratiques de
contrle COBIT, Procdures daudit
Guide de mise en place de la gouvernance informatique : 2me dition Guide d'audit des Systmes d'Information : Utilisation de
Utilisation de COBIT et Val IT 2me dition COBIT
* Conseils aux dirigeants d'entreprises pour la gouvernance des SI, 2me dition
Le Guide d'audit des Systmes d'Information fournit des conseils d'audit diffrents niveaux. Au niveau processus, des conseils spcifiques
sont fournis sur la faon de vrifier si les objectifs de contrle sont atteints et d'valuer les faiblesses de contrle. Au niveau objectif de
contrle, la dmarche d'audit propose vise valuer les contrles pour chaque objectif de contrle spcifique en s'appuyant sur ses pratiques
de contrle. Vous trouverez ces conseils dtaills dans les annexes 1 6. Dans le chapitre 6, Principes d'audit des processus et des contrles
COBIT, vous trouverez quelques exemples dcrivant la faon de tirer parti des conseils dtaills pour une mission d'audit spcifique.
Des conseils gnriques sont galement fournis aux diffrents niveaux. Ils s'appliquent tous les processus ou objectifs de contrle et vous
pouvez les utiliser en plus ou la place des conseils spcifiques. Ces processus sont dcrits plus en dtail dans le chapitre 6.
Concernant les procdures dvaluation et de test de la phase d'excution, ce guide fournit des conseils gnriques ainsi que des
recommandations spcifiques, plus dtailles, destins aux auditeurs des SI. Un conseil gnrique signifie qu'il peut s'appliquer n'importe
quel processus, objectif de contrle ou pratique de contrle, en fonction du type de conseil. Les conseils spcifiques dsignent les conseils
donns pour un processus, un objectif de contrle ou une pratique de contrle particulier. La figure 4 prsente le rfrentiel d'audit des SI qui
sert de fondement ce processus.
Les objectifs de contrle des SI expriment le rsultat dsir ou le but atteindre par la mise en uvre de pratiques de contrle pour chaque
processus informatique et font souvent directement rfrence des activits spcifiques au sein du processus.
Les objectifs de contrle de COBIT reprsentent les exigences leves prendre en considration pour bnficier d'un contrle efficace de
chaque processus informatique. Ils sont rdigs sous la forme de courtes pratiques de gestion axes sur l'action. Lorsque cela est possible,
ils suivent un ordre logique de cycle de vie. Pour contrler les objectifs, plusieurs possibilits s'offrent au management de l'entreprise. Les
membres de la direction doivent :
slectionner les objectifs de contrle applicables
quilibrer l'investissement requis pour mettre en uvre les pratiques de gestion ncessaires la ralisation de chaque objectif de
contrle, en tenant compte du risque li la non-ralisation des objectifs
Processus
informatiques
Ces tapes de contrle sont dcrites de faon plus dtaille dans le chapitre 6, Principes d'audit des processus et des contrles COBIT. Des
tapes de contrle gnriques portent sur l'existence et l'efficacit du plan de contrle propos, ainsi que sur les responsabilits connexes.
Des tapes d'audit spcifiques vrifient le fonctionnement efficace des contrles et sont mentionnes au niveau objectif de contrle. En
outre, des tapes d'audit sont fournies pour valuer le rsultat des faiblesses ou des checs des contrles.
Les tapes de contrle sont conues pour rpondre au premier niveau d'laboration d'un programme d'audit par un auditeur interne ou
externe. L'objectif n'est pas de fournir un programme d'audit dtaill pouvant tre utilis tel quel et mis en application. Il s'agit plutt de
permettre un auditeur expriment de s'en servir de base pour laborer efficacement des programmes d'audit personnaliss pouvant tre
utiliss et mis en uvre par des collaborateurs moins expriments. L'auditeur doit considrer les tapes de contrle comme le fondement
de la mise en uvre de la mission d'audit. Il doit adapter les vrifications et les tests la ralit de l'entreprise et aux objectifs de la mission
d'audit. Ces tapes n'ont qu'une valeur indicative et ne constituent pas des recettes tablies.
La combinaison de tous les composants d'audit gnre une mthode de contrle permettant de se forger une opinion sur les objectifs d'audit,
en associant un ou plusieurs des types de contrle suivants :
s'informer (via une source diffrente) et confirmer
inspecter (via des visites sur site, des tudes, des comparaisons et des analyses)
observer (confirmation par le biais de l'observation)
Les pratiques de contrle COBIT accroissent les capacits du cadre de rfrence COBIT et offrent un niveau de dtail supplmentaire. Les
processus informatiques, les exigences des mtiers et les objectifs de contrle de COBIT dfinissent les actions entreprendre pour mettre en
uvre une structure de contrle efficace. Les pratiques de contrle COBIT fournissent les recommandations les plus dtailles, au niveau
objectif de contrle, sur la faon d'atteindre ces objectifs. Les pratiques de contrle se composent des lments suivants pour chacun des
objectifs de contrle COBIT :
les inducteurs de risque et de valeur, fournissant des recommandations sur les raisons de l'action
les pratiques de contrle envisager lors de l'valuation des processus informatiques et de la mise en uvre des amliorations.
Une liste des pratiques de contrle spcifiques est dfinie pour chaque objectif de contrle. En outre, trois pratiques de contrle gnriques,
applicables tous les objectifs de contrle, sont dfinies. L'ensemble compos des pratiques de contrle gnriques et des pratiques de
contrle spcifiques constituent une mthode de contrle, compose des pratiques ncessaires pour atteindre l'objectif de contrle. Elles
fournissent des recommandations d'ordre gnral de haut niveau, davantage dtailles dans le cadre de l'objectif de contrle, pour valuer la
maturit d'un processus, envisager des amliorations potentielles et mettre en uvre les contrles. Elles ne dcrivent pas de solutions
spcifiques et il conviendra sans doute d'obtenir des recommandations plus pousses auprs de normes et de meilleures pratiques spcifiques
et pertinentes, telles quITIL ou PRINCE2. Les pratiques de contrle rpondent aux critres de conception suivants :
elles correspondent la finalit de l'objectif de contrle
elles peuvent tre excutes en temps utile
elles sont ralistes et rentables
elles sont mesurables
elles fournissent une dfinition des rles concerns et des rles isols, le cas chant
elles sont axes sur l'action
elles sont bases, si possible, sur le cycle de vie.
Les pratiques de contrle aident s'assurer que les solutions mises en place ont plus de chances d'tre totalement et brillamment appliques,
en fournissant des recommandations sur les motifs de la ncessit des contrles et sur la nature des bonnes pratiques respecter pour
atteindre des objectifs de contrle spcifiques.
Les pratiques de contrle sont conues pour assister deux publics :
les responsables de la mise en uvre de la gouvernance des SI (ex : management, prestataires de services, utilisateurs finals, professionnels
du contrle)
les auditeurs (ex : professionnels de l'audit interne et externe).
Pour les besoins de l'audit, toutes les pratiques de contrle ont t utilises pour mettre au point les procdures d'audit dtailles. Les tapes
de contrle sont conues pour rpondre la premire tape d'laboration d'un programme d'audit par un auditeur interne ou externe.
Par consquent, les professionnels qui utilisent ce guide d'audit doivent tenir compte du fait que les procdures d'audit sont issues des
pratiques de contrle. Les pratiques de contrle proprement dites ne sont pas fournies dans ce guide.
Le tableau de la figure 5 dcrit les supports de contrle qui sont fournis par COBIT et qui constituent la base des supports d'audit du prsent
guide.
Figure 6 Liens entre les conseils gnriques et spcifiques et les tapes d'audit des SI
AUDIT
Evaluation des contrles Evaluation du rsultat des Evaluation des faiblesses
processus de contrle de contrle
Les pratiques de contrle En complment ou en lieu et En complment ou en lieu et
gnriques sont traduites en place de lvaluation des place des conseils spcifiques,
procdures d'audit bases sur un contrles, le rsultat d'un objectif des mthodes standard
ensemble de mthodes d'audit de contrle peut tre valu. Des dvaluation et de mise en
standard. mthodes standard de recherche contexte des faiblesses de
Gnrique d'lments probants, s'appliquant contrle sont fournies,
n'importe quel processus, sont essentiellement axes sur
fournies. l'identification de donnes
comparatives (analyses
comparatives, mesures, tudes
de cas, etc.).
Les pratiques de contrle Pour chaque processus, un Pour chaque processus, des
spcifiques sont galement certain nombre de procdures conseils spcifiques sont
traduites en procdures d'audit. d'audit sont fournies pour tester donns sur la faon dvaluer
Combines aux procdures le rsultat des objectifs de les faiblesses de contrle,
Spcifique d'audit des pratiques gnriques contrle du processus. Le conseil concernant les objectifs, les
elles permettent une valuation gnrique peut tre utilis en plus mesures, les activits et les
complte du contrle de l'objectif. ou la place du conseil objectifs de contrle du
spcifique. processus.
Enfin, des conseils supplmentaires sont donns sur l'valuation des six contrles applicatifs (tels qu'ils sont fournis dans COBIT), portant
galement sur les contrles, les rsultats et l'valuation de l'impact.
COBIT et un grand nombre de ses produits connexes offrent une assistance dtaille dans de multiples activits d'audit des SI.
PLAN DU DOCUMENT
Les principales sections de ce document suivent la structure d'un plan d'audit des SI propos. Ce plan d'action sera expliqu plus en dtail
dans le chapitre 2, intitul Principes et environnement de l'audit des SI . Voici les principaux titres ou sections de ce plan d'action :
Planification
Cadrage
Excution, dont :
affinage de la comprhension du domaine de l'audit des SI
affinage du champ d'intervention des principaux objectifs de contrle
valuation de l'efficacit des contrles
valuation des rsultats des principaux objectifs de contrle
valuation de l'impact des faiblesses de contrle
formulation et communication des conclusions et recommandations.
La planification est labore dans le chapitre 3 (Planification de l'audit). Le cadrage est trait dans le chapitre 4 (Cadrage des objectifs de
contrle et des ressources informatiques), tandis que le chapitre 5 (Mise en uvre de la mission d'audit) tudie toutes les tapes d'excution.
Le chapitre 6 (Principes d'audit des processus et des contrles COBIT) dcrit la structure des recommandations d'audit fournies pour les
objectifs de contrle et les processus COBIT. Le chapitre 7 explique comment les composants COBIT favorisent les activits d'audit des SI.
Les annexes 1 6 prsentent les tests d'audit rels.
Ce guide prsente un avantage majeur dans le sens o les utilisateurs peuvent se fier la cohrence du rfrentiel COBIT et de ses produits
connexes. Le cadre de rfrence COBIT, qui est de plus en plus utilis comme rfrentiel de gouvernance des SI, favorise l'harmonisation
entre la gestion des SI et la gestion des mtiers de l'entreprise et constitue la base de l'amlioration des performances des SI. Si les auditeurs
fondent leurs analyses sur le mme rfrentiel que les responsables des mtiers et les responsables informatiques qui amliorent la
gouvernance et les performances des SI, chaque partie prenante utilisera un langage commun et il sera plus facile de valider et de mettre en
uvre les amliorations de contrle ncessaires.
Ce guide peut tre utilis par les auditeurs pour rpondre de nombreux besoins. Ils peuvent, par exemple :
obtenir une vue d'ensemble des bonnes pratiques actuelles sur les principes de contrle et d'audit
dcouvrir comment les diffrents composants COBIT et les produits de la famille COBIT peuvent favoriser la planification et le cadrage des
missions d'audit
disposer d'un rfrentiel complet de tous les objectifs de contrle COBIT, favoriser les pratiques de contrle et comprendre comment elles
peuvent tre contrles pour obtenir l'assurance qu'elles sont efficaces.
L'objectif du Guide d'audit des Systmes d'Information n'est pas de fournir un guide d'audit dtaill. Il s'agit plutt de publier des conseils de
haut niveau sur la conduite de missions d'audit et d'expliquer brivement un certain nombre de principes fondamentaux permettant de
comprendre l'audit et certaines techniques connexes et activits concourantes.
Les normes officielles, telles que le rfrentiel international pour les missions d'audit de l'International Auditing and Assurance Standards
Board (IAASB Assurance Framework), peuvent tre mentionnes. Toutefois, dans le prsent manuel, le terme audit est systmatiquement
utilis mais il revt un sens plus large que le terme anglais audit . L'audit au sens o nous l'entendons ici englobe galement les activits
d'valuation qui ne sont pas rgies par les normes d'audit interne et/ou externe.
Cinq lments doivent tre runis pour constituer une mission d'audit, comme l'indique l'IAASB Assurance Framework et comme l'illustre la
figure 7.
Des critres
pertinents par
1 2 3 4 5
Une relation tripartite : un Un domaine sur rapport auxquels le
responsable du domaine lequel porte l'audit domaine trait sera
Un processus que
trait, un auditeur et un (par exemple, les valu (par Une conclusion
l'auditeur doit mettre
utilisateur auquel le rapport donnes, les exemple, des mise par l'auditeur
en uvre
d'audit est destin systmes, les normes, des points
processus, etc.) de rfrence, des
rglementations,
etc.)
Pour un auditeur, l'objectif d'une mission d'audit consiste mesurer ou valuer un domaine dont la responsabilit incombe une autre partie.
Pour les missions d'audit des SI, une autre partie prenante est gnralement implique. Elle utilise le domaine mais elle a dlgu
l'exploitation et le contrle du domaine la partie responsable. De ce fait, la partie prenante est le client final de l'valuation et elle peut
valider les critres de l'valuation avec la partie responsable et l'auditeur.
La conclusion de l'valuation indique sous forme d'opinion si le domaine rpond aux besoins de la partie prenante. La figure 8 rcapitule les
relations sur lesquelles repose une mission d'audit.
utilise
analyse en
fonction de
critres
PLANS D'AUDIT
Slectionner un cadre de rfrence de contrle des SI.
DES SI
Procder la planification de l'audit des SI en fonction des risques.
Procder des valuations de haut niveau.
Dfinir le cadre et les objectifs gnraux du projet.
CHAMP D'ACTION
Objectifs mtiers
ET OBJECTIFS
DTAILLS
Objectifs informatiques
CADRAGE
En
Affiner le champ
Evaluer remplacement ou
CONCLUSION
Formuler et
DE L'AUDIT
d'action des
EXECUTION
Pour les missions d'audit plus importantes, vous trouverez des informations complmentaires sur le dcoupage du projet en objectifs, actions
et livrables dans l'annexe 8, intitule Cadrage des SI . Ce dcoupage permet de fournir des recommandations plus dtailles, qui
s'appliquent au cadrage de la mission d'audit des SI et au cadrage du contrle des SI.
PLANIFICATION
La dfinition du primtre d'audit des SI pour la mission d'audit sert de point de dpart de chaque mission d'audit. Pour crer un plan
complet, l'auditeur doit combiner la comprhension du primtre d'audit des SI et la slection d'un cadre de contrle des SI appropri, tel que
COBIT. La runion de ces deux lments permet de planifier la mission d'audit en fonction des risques. Pour dfinir les objectifs d'audit
appropris, il est d'abord ncessaire de procder une valuation de haut niveau. Le livrable final de cette tape est le plan d'audit des SI
(gnralement annuel).
CADRAGE
Le processus de cadrage peut tre mis en uvre de trois faons diffrentes :
la mthode de cadrage la plus dtaille dbute par la dfinition des objectifs mtiers et informatiques pour l'environnement valu et par
l'identification d'un ensemble de ressources et processus informatiques (c'est--dire, le primtre d'audit) requis pour favoriser la ralisation
de ces objectifs. L'tendue des objectifs concerns par la mission d'audit des SI peut tre rduite une granularit infrieure (principaux
objectifs de contrle adapts l'entreprise).
une dmarche de cadrage de haut niveau peut dbuter par une analyse comparative effectue par l'ITGI, fournissant des recommandations
gnriques sur les relations entre les objectifs mtiers, les objectifs informatiques et les processus informatiques, comme le dcrit COBIT.
Cette succession gnrale d'objectifs et de processus peut servir de base un cadrage plus dtaill, si l'environnement spcifique valu
l'exige.
une dmarche hybride de cadrage combine la mthode de haut niveau et la mthode dtaille. Cette approche dbute par la succession
gnrale d'objectifs et de processus mais elle est adapte et modifie en fonction de l'environnement spcifique avant de poursuivre le
cadrage un niveau plus dtaill.
Les livrables finaux de cette tape sont le champ d'intervention et les objectifs des diffrentes missions d'audit des SI.
EXCUTION
La troisime phase du plan d'action d'audit des SI est la phase d'excution. La figure 10 dcrit une mthode que les auditeurs peuvent
appliquer lorsqu'ils ralisent une mission d'audit spcifique. Ces tapes couvrent les principales vrifications effectuer par les auditeurs. Le
chapitre 5, Excution de la mission d'audit , dcrit plus en dtail chacune des tapes. Le livrable final de cette phase est la conclusion de la
mission d'audit des SI.
En
Affiner le remplacement
Evaluer
champ d'action ou en Formuler et
Affiner la l'efficacit des
des principaux complment, Evaluer l'impact communiquer
comprhension contrles des
objectifs de valuer le des faiblesses lensemble des
du domaine principaux
contrle pour le rsultat des de contrle conclusions et
d'audit des SI objectifs de
domaine d'audit principaux recommandations
contrle
des SI objectifs de
contrle
La figure 11 prsente les activits d'audit classiques pouvant tre utilises (et pour lesquelles des conseils sont fournis) au cours des
diffrentes phases et tapes du plan d'action d'audit des SI. Il arrive que l'tape corresponde l'activit ou qu'une activit soit exploite dans
plusieurs tapes.
La plupart des recommandations fournies dans ce guide sont axes sur la phase d'excution du plan d'action (figure 12 et chapitre 7,
Comment les composants COBIT favorisent-ils les activits d'audit des SI ? ). Toutefois, des conseils supplmentaires sont fournis
relativement aux activits d'audit rpertories, via l'identification des composants COBIT offrant un avantage spcifique pour chacune de ces
activits. Toutes les missions d'audit des SI incluent la majeure partie de ces activits. Par consquent, la plupart des composants COBIT
peuvent tre exploits dans tous les types de missions d'audit relatives aux systmes d'information.
La figure 12 illustre la corrlation entre les activits d'audit et les domaines dans lesquels les composants COBIT peuvent procurer un
avantage spcifique. En outre, le chapitre 7 ( Comment les composants COBIT favorisent-ils les activits d'audit des SI ? ), met des
suggestions sur la faon de tirer parti des diffrents composants COBIT pour amliorer l'efficacit et/ou l'efficience des diffrentes activits
d'audit des SI.
Inducteurs de performance
Outil de sensibilisation du
risques informatiques
Critres d'information
Objectifs de contrle
COBIT Quickstart
responsabilits)
comparatives
management
recherche
rsultats
Activits de l'audit des SI
Procder une rapide valuation des risques. V V V V V V V V V
Figure 13 Corrlation entre les procdures d'audit des SI et les procdures d'audit standard
Phases d'audit (IAASB)
Porter un jugement
conclusions
d'valuation
de l'audit
tudi
Planification V V V
Phases du plan d'action
Cadrage V
Affiner la comprhension du domaine d'audit des SI V V V
Affiner le champ d'action des principaux objectifs de contrle V
Excution
Les deux premires tapes de la phase d'excution consistent affiner l'analyse des phases de planification et de cadrage et, par consquent,
sont identiques celles de la norme IAASB. En matire d'audit interne, l'activit de planification correspond l'activit de plan annuel et
l'affinage du plan dsigne les aspects de planification de chaque mission. Concernant l'audit externe, ces deux niveaux de planification
peuvent se produire simultanment.
La dmarche propose pour l'audit des SI consiste marquer une nette distinction entre :
l'valuation d'un objectif de contrle
l'valuation du rsultat d'un objectif de contrle
l'valuation de l'impact des lacunes identifies.
Chacune de ces 3 tapes consiste collecter et valuer des lments probants, mais de diffrentes manires.
Un conseil gnrique signifie qu'il peut s'appliquer n'importe quel processus, objectif de contrle ou pratique de contrle, en fonction du
type de conseil.
Les conseils spcifiques dsignent les conseils donns pour un processus, un objectif de contrle ou une pratique de contrle particulier.
Un audit financier a gnralement pour objectif d'exprimer une opinion sur les tats financiers d'une entreprise, notamment en ce qui
concerne les assertions suivantes :
existence ou ralit des actifs/dettes/transactions figurant dans les tats financiers
exhaustivit de toutes les informations financires prsentes
droits, obligations et engagements pertinents prsents de faon approprie dans les tats financiers
valuation ou rpartition des montants des rubriques de l'tat financier, de faon cohrente et quitable
prsentation et divulgation des chiffres dans les rubriques appropries des tats financiers et principes comptables applicables ou
informations complmentaires pour garantir une interprtation correcte
Processus
informatiques
Lorsqu'ils sont tous remplis, ces critres permettent l'auditeur de se forger une opinion (et de l'exprimer) sur la situation financire de
l'entit concerne.
La norme ISA 315 oblige l'auditeur prendre connaissance des lments de contrle interne pertinents pour l'audit, dont :
l'environnement de contrle
le processus d'valuation des risques mis en place par l'entit
le systme d'information, y compris les processus mtiers connexes relatifs l'tablissement de rapports financiers, et la communication
les activits de contrle
le suivi des contrles.
L'ISA admet que, d'une faon gnrale, l'informatique offre des avantages importants en termes d'efficacit et d'efficience pour le contrle
interne d'une entit, mais qu'elle revt galement des risques spcifiques.
Concernant les systmes d'information, les assertions des tats financiers peuvent tre traduites par les objectifs de traitement d'information
suivants :
exhaustivit
exactitude
validit
accs restreint.
L'auditeur a au moins l'obligation de comprendre les systmes d'information servant de base aux processus mtiers associs au reporting
financier et de dterminer comment l'entit a rpondu aux risques dcoulant des systmes d'information. L'utilisation des SI a des
rpercussions sur la faon dont les activits de contrle sont mises en uvre dans l'entreprise et sur les informations financires connexes.
Par consquent, l'auditeur doit dterminer si l'entit a ragi convenablement face aux risques dcoulant des SI, en appliquant des contrles
gnraux informatiques et des contrles applicatifs efficaces.
Les normes ISA dfinissent les contrles gnraux informatiques comme des rgles et procdures qui concernent de nombreuses applications
et favorisent le fonctionnement efficace des contrles applicatifs en permettant de garantir le bon fonctionnement permanent des systmes
d'information. Dans le cadre de la norme ISA, les contrles gnraux informatiques sont rpartis dans les catgories suivantes :
exploitation des rseaux et des centres de traitement
acquisition, modification et maintenance des logiciels de base
1
Les normes ISA sont des normes professionnelles utilises pour la ralisation d'audit financier et de vrification des informations financires. Elles sont
publies par l'IFAC (Fdration internationale des experts-comptables) et portent sur les responsabilits respectives des parties prenantes, la planification de
l'audit, le contrle interne, la preuve d'audit, l'utilisation de travaux d'autres experts, les conclusions de l'audit et le rapport d'audit, ainsi que des domaines
spcialiss.
La norme ISA 330 fournit des directives sur la nature, le calendrier et l'tendue des procdures d'audit adopter en rponse des risques
identifis. ISA dfinit des exigences spcifiques relatives la validation des contrles internes, dont les suivantes :
lorsqu'il a retenu, dans son valuation du risque d'anomalies significatives au niveau des assertions, l'hypothse selon laquelle les contrles
de l'entit fonctionnent efficacement, l'auditeur doit raliser des valuations et tests des contrles pour collecter des preuves d'audit
suffisantes et appropries montrant que les contrles de l'entit ont fonctionn efficacement au cours de la priode contrle.
lorsque l'auditeur considre qu'il est impossible ou peu envisageable de rduire les risques d'anomalies significatives au niveau des
assertions un niveau suffisamment bas l'aide d'une preuve d'audit obtenue uniquement par des procdures de corroboration, il doit valuer
les contrles concerns afin d'obtenir des preuves d'audit relatives leur efficacit fonctionnelle.
La norme ISA prcise galement les types de procdure mettre en uvre, indiquant que l'auditeur doit appliquer d'autres procdures
d'audit tout en procdant une enqute pour valuer l'efficacit fonctionnelle des contrles .
Compte tenu de l'homognit intrinsque du traitement des SI, la preuve d'audit relative la mise en uvre d'un contrle applicatif
automatis, si elle est envisage en combinaison avec la preuve d'audit obtenue relativement l'efficacit fonctionnelle des contrles
gnraux de l'entit (et en particulier les contrles du cycle de vie de dveloppement des systmes, dont les contrles des changements), peut
fournir une preuve d'audit significative propos de son efficacit fonctionnelle pendant la priode concerne. Le chapitre 6, Principes d'audit
des processus et des contrles COBIT, contient d'autres recommandations sur ces aspects.
Importance relative
Lorsqu'ils effectuent ou participent des audits financiers, les auditeurs mesurent gnralement l'importance relative en termes montaires,
puisque les donnes qu'ils vrifient se mesurent galement en termes montaires. Sachant que les auditeurs des SI peuvent effectuer l'audit
d'lments non financiers, d'autres mesures sont ncessaires. Par rapport un objectif de contrle spcifique, un contrle de matrialit est un
contrle ou un groupe de contrles dont les procdures de contrle ne fournissent pas l'assurance raisonnable que l'objectif de contrle sera
atteint.
La Directive d'audit des SI G6 de l'ISACA (www.isaca.org/standard/guideline.htm) indique que, si l'objectif d'audit des SI concerne des
systmes ou des activits de traitement d'oprations financires, la valeur des actifs contrls par les systmes ou la valeur des oprations
traites par jour/semaine/mois/anne doit tre prise en compte dans le cadre de l'valuation de l'importance relative.
Pour les systmes et les activits non lis des oprations financires, voici quelques exemples de mesures prendre en compte pour valuer
l'importance relative :
criticit des processus mtiers pris en charge par le systme ou l'opration
cot du systme ou de l'opration (matriels, logiciels, personnels, services tiers, frais gnraux, combinaison de ces diffrents cots)
cot potentiel des erreurs (ventuellement en termes de pertes de ventes, de rclamations au titre de la garantie, de frais de dveloppement
irrcouvrables, de frais de publicit requis pour les avertissements, de frais de rectification, de frais lis la sant et la scurit, de cots de
production inutilement levs, de gaspillages importants, etc.)
nombre d'accs/transactions/demandes d'informations traits par priode
nature, planification et tendue des rapports prpars et des dossiers conservs
nature et quantit des produits pris en charge (ex : lorsque les mouvements des stocks sont enregistrs sans valeur)
exigences en termes de contrats de service (CS) et cot des ventuelles amendes
amendes pour non-respect des obligations contractuelles et lgales.
Risque d'audit
Le risque d'audit correspond au risque qu'une opinion dfavorable soit formule par l'auditeur en prsence d'anomalie significative relative au
domaine tudi. Le risque d'audit dpend du risque d'erreur significative et du risque que l'auditeur ne dtecte pas les erreurs lies et les
checs des contrles.
Le risque de non-dtection dsigne le risque que les procdures mises en place par l'auditeur ne dtectent pas une anomalie qui existe dans
une assertion et qui pourrait tre significative, soit individuellement, soit cumule avec d'autres anomalies. Lors de la planification d'une
mission d'audit, il est important d'valuer le risque d'audit et d'laborer une mthode permettant de s'assurer que les objectifs d'audit sont
atteints.
2
Ces dfinitions manent de l'IAASB (International Auditing and Assurance Standards Board).
3. PLANIFICATION DE L'AUDIT
INTRODUCTION
La phase de planification correspond la premire phase du plan d'action de l'audit des SI (illustr par la figure 9). Avant de dbuter une
mission d'audit, le travail de l'auditeur des SI doit tre planifi de faon pouvoir atteindre les objectifs d'audit. Dans le cadre d'une mission
d'audit interne, le plan d'audit doit tre labor/actualis/rvis au moins une fois par an. Ce plan doit servir de cadre de rfrence pour les
activits d'audit et il doit permettre de faire face aux responsabilits dfinies par la charte d'audit. S'agissant d'un audit des SI externe, un plan
doit normalement tre prpar pour chaque mission. Chaque type de plan d'audit doit clairement dterminer les objectifs de la mission et
reflter les priorits et la stratgie de l'utilisateur prsum.
Dans le cadre du processus de planification, l'auditeur des SI doit bien comprendre l'environnement de l'audit et les objectifs mtiers de
l'entreprise pour l'informatique, les objectifs informatiques et la faon dont leur ralisation est planifie via les processus et les ressources
informatiques. L'tendue des connaissances requises est dtermine par la nature de l'entreprise, son environnement, les risques et les
objectifs de l'audit. Pour effectuer l'audit et le travail de planification de l'audit conformment une procdure structure et normalise,
l'auditeur des SI doit galement identifier des cadres de contrle appropris qui peuvent tre utiles pour les missions d'audit (ex : COSO,
COBIT) ou des normes ou cadres de rfrence de gestion des SI (ex : ITIL, ISO/IEC 27000).
Les 4 domaines dfinis par COBIT sont Planifier et Organiser, Acqurir et Implmenter, Dlivrer et Supporter, Surveiller et valuer. Comme
le montre la figure 15, les processus informatiques fournissent l'information l'entreprise, traitent les applications et ont besoin des
infrastructures et des personnes. Mis en commun, ces lments constituent l'architecture informatique de l'entreprise.
fournissent
Informations
Infrastructures et Personnes
ont besoin
Figure 16 Objectifs informatiques et objectifs mtiers en tant qu'inducteurs pour la planification de l'audit
Mtiers Gouvernance
Fonctionnalit Souplesse Rendement Conformit Confort
Personnes
Objectifs informatiques
Processus informatiques
Le primtre d'audit dcoulant du travail d'analyse dcrit prcdemment gnre, la plupart du temps, une matrice bidimensionnelle. Une
dimension dcrit les lments pertinents issus de l'architecture informatique de l'entreprise tandis que l'autre dimension indique les objectifs
de contrle possibles, comme le montre la partie gauche de la figure 17.
Objectifs de contrle
informatiques
Sachant que le cadre de rfrence recommand est COBIT et compte tenu de sa structure en processus, la premire tape de cadrage de la
mission d'audit peut consister slectionner les processus, et rduire ainsi l'ampleur des objectifs de contrle sur le plan horizontal. Cela
permet galement de simplifier la dimension verticale en se concentrant sur les ressources informatiques, puisque les processus ont t pris
en charge dans la dimension horizontale des objectifs de contrle. Ce qui donne la partie droite de la figure 17. Si d'autres cadres de contrle
utiliss ne sont pas axs sur les processus, ces derniers doivent tre conservs dans la dimension verticale. Quoi qu'il en soit, la plupart des
cadres de rfrence peuvent tre appliqus dans COBIT (cf. www.isaca.org/cobit) de faon pouvoir utiliser la version simplifie aprs la
mise en correspondance.
Le primtre d'audit peut tre reprsent de diffrentes faons. Quelle que soit la reprsentation choisie, il convient de prserver l'quilibre
entre l'exhaustivit, la cohrence et la faisabilit. La technique propose permet d'identifier et de dcrire toutes les units concernes. Voici
quelques exemples :
les applications peuvent tre regroupes (conformment aux principaux processus mtiers qu'elles prennent en charge, par exemple les
ventes, la logistique, l'administration, la fabrication ou les ressources humaines) ou rpertories individuellement. On peut alors identifier
un sous-ensemble de processus informatiques et d'objectifs de contrle dans les applications pour identifier (par exemple, une mission
d'audit des applications) le cycle de dveloppement ou la gestion du portefeuille. Les projets, qui sont trs souvent examins par le biais
des missions d'audit de projet, peuvent tre considrs comme des applications en prparation,
les personnes et leur mode d'organisation (par exemple, des units organisationnelles) font partie de la dimension horizontale du primtre
d'audit et permettent, par exemple, d'effectuer un audit sur les entits organisationnelles,
les lments d'infrastructure (ex : centre de traitement, rseaux, plates-formes informatiques) constituent une autre dimension horizontale
et permettent d'identifier, par exemple, les revues de scurit des systmes d'exploitation et des rseaux ou les contrles physiques des
centres de traitement,
les informations incluent les bases de donnes, les fichiers matres et les journaux de transactions.
Parmi les sujets spcifiques qui figurent en bonne place l'ordre du jour de nombreux dpartements informatiques se trouvent les projets
d'externalisation et diffrentes exigences de conformit. travers la dimension processus du primtre d'audit, l'auditeur peut identifier les
processus informatiques pertinents qui grent les services informatiques externaliss, par exemple DS1 Dfinir et grer les niveaux de
service et DS2 Grer les services tiers . Ce sujet spcifique peut ainsi tre inclus dans le primtre d'audit global.
Le risque est associ deux attributs principaux (la probabilit et l'impact) et prsente une relation complexe entre les attributs des objets
impliqus, dont la liste apparat ci-dessous :
actifs : actifs corporels ou immobilisations incorporelles, correspondant une valeur et devant tre protgs,
menace : toute situation ou vnement susceptible de nuire un systme,
lment menaant : mthodes et objets utiliss pour exploiter une vulnrabilit (ex : dtermination, comptence, motivation, ressources),
vnement menaant : occurrence d'une menace agissant sur la vulnrabilit d'un systme et prjudiciable pour le systme,
vulnrabilit : faiblesse pouvant tre exploite par une menace (ex : un port de pare-feu ouvert, un mot de passe jamais modifi, un tapis
inflammable). L'absence de contrle est galement considre comme une vulnrabilit,
contre-mesure : synonyme de contrle. Le terme contre-mesure peut tre utilis pour dsigner tout type de contrle mais il reprsente
gnralement des mesures qui augmentent la facult de rcupration, la tolrance aux pannes ou la fiabilit d'un service informatique,
risque : probabilit qu'une menace donne exploite les vulnrabilits d'un actif et entrane sa perte ou sa dtrioration,
risque rsiduel : risque associ un vnement lorsqu'un contrle est prvu pour rduire l'effet ou la probabilit que cet vnement soit
pris en compte.
La figure 18 prsente les relations entre les diffrents lments et les principaux attributs de chacun d'entre eux. Ces attributs sont essentiels
pour analyser la contribution de chaque lment au processus d'analyse des risques. La figure 19 propose une mthode de mise en uvre de
ce processus.
La mthode d'analyse des risques propose dbute par l'estimation des actifs qui, dans le cadre de rfrence COBIT, est constitue des
informations qui satisfont aux critres requis pour aider la ralisation des objectifs mtiers (ces actifs incluent toutes les ressources
ncessaires pour produire ces informations). L'tape suivante correspond l'analyse de vulnrabilit, qui identifie les vulnrabilits
applicables aux actifs (par exemple, un processus mtier devant se conformer aux rgles de protection des donnes nominatives, un produit
mtier li des transactions financires ou des lments d'infrastructure) qui dterminent la disponibilit de nombreux services
d'information. La phase suivante consiste identifier les menaces significatives susceptibles d'exploiter une vulnrabilit donne (par
exemple, des vnements accidentels tels que des erreurs, des omissions et des accidents, des actions intentionnelles telles que la fraude, le
piratage ou le vol). La probabilit de la menace, le degr de vulnrabilit et la gravit de l'impact sont combins pour laborer des scnarios
de menace/vulnrabilit et valuer leur risque. Viennent ensuite la slection des contre-mesures (contrles) et une valuation de leur cot et
de leur efficacit. Aprs avoir tudi l'impact de la mise en uvre des contrles slectionns, le risque rsiduel peut tre valu. La
conclusion est un plan d'action, aprs lequel le cycle peut redmarrer.
imposent
Propritaires
se
proccupent
Contre- des
mesures
rduisent
vitent et vitent ou
dtectent
Risques rduisent
provenant de
Elments Actifs
Menaces exploitent Vulnrabilits
menaants
engendrent Scnarios de prsentent
menace/vulnrabilit
Figure 19 Une mthode d'analyse des risques qui tire parti des lments du risque et de leurs attributs
Rpertorier les
Identifier les menaces
contre-mesures
significatives
utiles
laborer un plan de
Dterminer le risque
rduction des
rsiduel
risques
Les rsultats de ces valuations de haut niveau permettent de hirarchiser les tches d'audit des SI. Voici les avantages spcifiques qu'offrent
ces valuations de haut niveau :
sensibilisation des membres de la direction informatique leurs responsabilits en matire de contrle informatique et obtention de leur
adhsion
contrles de conformit de haut niveau associs des exigences de contrle informatique dfinies
optimisation et hirarchisation des ressources d'audit des SI
mise en relation avec la gouvernance des SI.
Pour procder des valuations de planification de haut niveau, COBIT Quickstart peut apporter une assistance concrte (cf.
www.isaca.org/cobit). Les figures 20 22 prsentent galement d'autres modles possibles pouvant tre utiliss pour des valuations de
maturit et de contrle de haut niveau. Le premier modle, illustr par la figure 20, est un diagnostic de sensibilisation du management qui
value les processus par rapport certains attributs de risque et de performance. L'application de ce modle des processus informatiques
spcifiques donne un aperu rapide des risques connexes (importance et performance), de la responsabilit oprationnelle (qui le ralise ?),
de l'officialisation (documentation), de l'historique d'audit et de la responsabilit finale.
Risque Importance = degr d'importance pour l'entreprise sur une chelle Qui le ralise ?
de 1 (pas du tout important) 5 (trs important)
Performance = Niveau de satisfaction de 1 (trs satisfait) 5 (ne sait
pas ou pas du tout satisfait)
Formalis = Existe-t-il un contrat, une convention de service (CS) ou Qui est
Performance
Informatique
responsable ?
Importance
Formalis
Processus COBIT
PO1 Dfinir un plan informatique stratgique
PO10 Grer les projets
AI6 Grer les changements
DS2 Grer les services tiers
DS5 Assurer la scurit des systmes
SE1 Surveiller et valuer la performance des SI
Les deux modles suivants fournissent des exemples sur la faon d'excuter une valuation de la maturit des processus, l'aide de la
description de la maturit ou des attributs de maturit. Le premier modle de la figure 21 part de la description de la maturit des processus,
qui doit tre dcompose en plusieurs noncs de maturit. Pour chacun de ces noncs, une valeur de conformit doit tre dfinie. Celle-ci
permet l'auditeur des SI de calculer un profil de conformit .
Une autre mthode d'valuation de la maturit des processus consiste utiliser les attributs de maturit (modles de maturit COBIT dcrits
dans le cadre de rfrence COBIT). La maturit d'un processus peut tre value par rapport 6 attributs de maturit :
sensibilisation et communication
politiques, plans et procdures
outils et automatisation
comptences et expertise
responsabilit oprationnelle et responsabilit finale
dsignation des objectifs et mtriques
Poids total
0.00 0.33 0.66 1.00
Nom du
processus
Pas du tout
Totalement
VALEUR
50
Un peu
45
N Enonc Poids
40
35
30
25
20
15
10
5
0
Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 5
5 On comprend tout fait les impratifs On applique les meilleures pratiques et On utilise des progiciels standardiss L'entreprise encourage formellement
Les propritaires de processus ont le Il existe un systme de mesure de la
et on anticipe sur les volutions. standards externes. dans l'ensemble de l'entreprise. l'amlioration continue des comptences,
pouvoir de prendre des dcisions et d'agir. performance intgr qui lie la performance
selon des objectifs personnels et
Le fait d'accepter des responsabilits a t de l'informatique aux objectifs mtier par
Il existe une communication proactive La documentation des processus a volu Les outils sont pleinement intgrs entre d'entreprise clairement dfinis.
dploy de faon cohrente tous les l'application gnrale du tableau de bord
sur les tendances du moment, on en workflow automatis. On a standardis eux pour supporter les processus de bout chelons de l'entreprise. quilibr informatique. Le management
applique des techniques prouves et et intgr les processus, les politiques et en bout. La formation et l'enseignement s'appuient prend systmatiquement note des
des outils intgrs pour la les procdures pour permettre une gestion sur les meilleures pratiques externes et exceptions et on applique l'analyse
communication. et des amliorations de tous les maillons On utilise des outils pour favoriser utilisent des concepts et des techniques causale. L'amlioration continue fait
de la chane. l'amlioration des processus et pour de pointe. Le partage des connaissances dsormais partie de la culture d'entreprise.
dtecter automatiquement les cas est une culture d'entreprise et on dploie
d'exception au contrle. des systmes base de connaissances.
On s'appuie sur l'exprience d'experts
externes et d'entreprises leaders de la
branche.
4 On a pleinement compris les Les processus sont sains et complets ; on Les outils sont mis en place selon un plan Les besoins en comptences sont Les responsabilits oprationnelles et On mesure l'efficacit et l'efficience, on
impratifs. applique les meilleures pratiques internes. standardis et certains fonctionnent avec rgulirement rajusts pour tous les finales des processus sont acceptes et communique sur ces questions qu'on lie
d'autres outils dans le mme secteurs ; on apporte des comptences fonctionnent d'une faon qui permet au aux objectifs mtier et au plan
On utilise des techniques abouties et Tous les aspects des processus sont environnement. spcialises tous les secteurs critiquespropritaire de processus de s'acquitter informatique stratgique. On met en
des outils standards pour documents et reproductibles. et on encourage la certification. pleinement de ses responsabilits. Il uvre le tableau de bord quilibr
communiquer. Les politiques ont t approuves et On utilise certains outils dans les existe une culture de la rcompense qui informatique dans certains secteurs sauf
avalises par le management. On a domaines principaux pour automatiser la On applique des techniques de formation motive un engagement positif dans dans certains cas connus du
adopt des standards pour le gestion des processus et pour surveiller prouves conformes au plan de formation l'action. management, et on est en train de
dveloppement et la gestion des les activits et les contrles critiques. et on encourage le partage des standardiser l'analyse causale.
processus et des procdures et on les connaissances. On implique tous les L'amlioration continue commence
applique. experts des domaines internes et on exister.
value l'efficacit du plan de formation.
3 On a compris le besoin d'agir. On commence utiliser les bonnes On a dfini un plan d'utilisation et de On a dfini et document les besoins en
Les responsabilits oprationnelles et On fixe certains objectifs d'efficacit et on
pratiques. standardisation des outils pour comptences pour tous les secteurs.
finales sont dfinies et les propritaires de mesure cette efficacit, mais on ne
Le management communique de faon automatiser les processus. processus sont identifis. Le propritaire communique pas dessus ; ces objectifs
plus formelle et plus rigoureuse. On a dfini et document les processus, On a labor un plan de formation officiel, de processus n'a vraisemblablement pas sont clairement relis aux objectifs mtier.
les politiques et les procdures pour Les outils sont utiliss pour leurs fonctions mais la formation reste base sur des toute autorit pour exercer ses Des processus de mesures commencent
toutes les activits cls. de base, mais ne correspondent peut-tre initiatives individuelles. responsabilits. tre utiliss, mais pas de faon
pas tous au plan adopt et ne sont peut- systmatique.On adopte les ides du
tre pas capables de fonctionner les uns tableau de bord quilibr informatique et
avec les autres. on utilise parfois l'analyse causale de
manire intuitive.
2 On a conscience du besoin d'agir. Le On commence utiliser des processus Il existe des approches communes de On a identifi les comptences minimales Une personne assume ses responsabilits On fixe certains objectifs ; on mesure
management communique sur les semblables mais ils sont largement certains outils, mais elles sont bases sur requises pour les domaines stratgiques. et en est habituellement tenue pour certains flux financiers mais seul le
questions gnrales. intuitifs car bass sur l'expertise des solutions dveloppes par des responsable (garante), mme si cela n'a management est au courant. On surveille
individuelle. individus cls. Des outils ont pu tre On fournit une formation en cas de besoin pas t formellement convenu. Lorsque certains secteurs isols mais pas de faon
achets chez des fournisseurs, mais ils ne plutt que selon un plan approuv, et des problmes surviennent, on ne sait organise.
Certains aspects des processus sont sont sans doute pas utiliss correctement certaines formations informelles ont lieu plus qui est responsable et une culture du
reproductibles grce l'expertise et sont peut-tre mme imparfaitement sur le tas . blme a tendance s'installer.
individuelle, et il peut exister une forme de adapts.
documentation et de comprhension
informelle de la politique et des
procdures.
1 On commence reconnatre la L'approche par processus et les pratiques Il peut exister certains outils ; la pratique On n'a pas identifi quelles comptences Les responsabilits oprationnelles et les Les objectifs ne sont pas clairs et rien
ncessit des processus. sont envisages au cas par cas. se base sur les outils de bureautique sont ncessaires au fonctionnement du responsabilits finales ne sont pas n'est mesur.
standards. processus. dfinies. Les gens s'attribuent la proprit
On communique de temps en temps Les processus et les politiques ne sont des problmes rsoudre de leur propre
sur ces questions. pas dfinis. Il n'y a pas d'approche planifie de Il n'existe pas de plan de formation et initiative en fonction des situations.
l'utilisation des outils. aucune formation n'est officiellement
organise.
L'valuation de ces attributs dans un modle, comme l'illustre la figure 22, fournit l'auditeur des SI un systme d'toile montante ,
indiquant les carts significatifs entre les situations actuelles et les situations vises, les secteurs ncessitant une attention particulire et les
actions potentielles retour sur investissement sr et rapide.
INTRODUCTION
La phase de cadrage correspond la deuxime phase du rfrentiel d'audit des SI (illustre par la figure 23). Cette phase sert dsigner les
ressources informatiques et les objectifs de contrle qui sont pris en compte dans un cadre de rfrence de contrle des SI donn, lors de la
phase d'excution de la mission. Le cadrage consiste relier les ressources informatiques applicables (ex : applications, informations,
infrastructure, personnes) et les objectifs de contrle des SI applicables, puis valuer l'importance relative de l'impact gnr par la non-
ralisation d'un objectif de contrle spcifique. La figure 23 illustre le processus de cadrage en 8 tapes.
A. Critre du cadre de
rfrence
1 tablir des inducteurs pour la
mission d'audit Un langage commun
(expliciter via des entretiens avec les pour les activits
parties prenantes) informatiques et les
pratiques cls de
management
Centr sur le mtier
2 Documenter l'architecture 3 Attentes de la
informatique de l'entreprise Choisir un cadre de rfrence de gouvernance
(expliciter via des entretiens avec les contrle des SI [A] Tches et activits
principaux membres du service (vrifier s'il satisfait aux critres minima)
informatiques organises
informatique) dans des processus
distincts
Slectionner les processus Conformit aux bonnes
4
informatiques [B] pratiques informatiques
(documenter et valider les liens entre et aux normes de
les objectifs mtiers, les objectifs gouvernance d'entreprise
informatiques et les processus gnralement admises
informatiques)
B. Dterminer le
5 Slectionner les composants 7 contenu
Slectionner les objectifs de
informatiques [B]
contrle initiaux [B] Slectionner
(consigner les ressources et les
(exploiter les mises en correspondance Peser
activits importantes pour les processus
des rfrentiels de contrle) Retrancher
slectionns)
Personnaliser
Un cadrage trop troit de la mission d'audit peut conduire ce que des facteurs significatifs ne soient pas pris en compte. Un cadrage trop
large de la mission d'audit peut entraner des inefficacits et des conclusions incorrectes en raison de ressources limites et d'un manque de
temps. L'annexe 8, intitule Cadrage des SI , propose une mthodologie gnrale de cadrage qui peut s'appliquer aux missions d'audit des
SI et divers autres programmes de gouvernance des SI.
L'auditeur doit interroger les membres appropris de la direction et du personnel afin de bien comprendre :
les exigences mtiers et les risques connexes
la structure de l'entreprise
les rles et responsabilits
les politiques et procdures
les lois et rglementations
les mesures de contrle en place
les rapports de gestion (tats, performances, actions)
les problmes subis prcdemment et les actions correctives appliques
les inquitudes et problmes actuels
ce que la direction espre obtenir de la mission d'audit.
Un certain nombre de donnes peuvent tre utilises pour dterminer les ressources informatiques concernes par la mission. L'accent doit
tre mis sur l'exhaustivit puisque l'analyse des risques qui a lieu ensuite permet de dsigner les lments exclure du champ d'intervention
de la mission. Toutefois, il convient galement de tenir compte de l'efficacit afin de conserver une matrice d'une taille raisonnable et
grable. Voici les diffrentes donnes utilises :
les inducteurs de la mission : les inducteurs de la mission d'audit sont les facteurs les plus importants permettant de dterminer les
composants informatiques et les objectifs de contrle examiner. Voici quelques exemples classiques : une grave dtrioration du service,
un changement organisationnel ou la mise en conformit avec la rglementation.
les exigences mtiers de contrle : ce guide tant ax sur l'audit des SI, nous supposons que l'analyse des contrles mtiers requis et
applicables a t effectue de sorte que le cadrage des contrles des SI se limite dterminer la faon dont les SI favorisent les contrles
mtiers automatiss.
l'architecture de l'entreprise pour les SI : l'architecture de l'entreprise englobe les processus utiliss pour fournir les services
d'information, le panel d'applications et de systmes auquel a recours l'entreprise, la technologie utilise pour les excuter et les personnes
ncessaires la planification, la cration, l'exploitation et la maintenance des applications. Les ressources informatiques ou les groupes de
ressources informatiques concerns peuvent tre dduits de l'architecture.
Figure 24 Cadrage des objectifs de contrle et des ressources informatiques en fonction des risques
Architecture
de lentreprise Slection des processus informatiques
pour les SI
Exigences de
contrle des
Cadrage des ressources
Cadre de
contrle des
SI
Au cours de cette tape, l'auditeur doit analyser le risque de ne pas atteindre les objectifs de contrle choisis pour les ressources
informatiques slectionnes. Il doit uniquement conserver les ressources informatiques et les objectifs de contrle qui auraient un effet
significatif si l'objectif de contrle n'tait pas atteint.
L'auditeur doit :
examiner les lignes horizontales du tableau (figure 24) pour dterminer si le risque est suffisant pour laisser les ressources informatiques
dans le cadre de la mission et pour identifier les ressources haut risque qui pourraient ncessiter des tests et des examens plus approfondis
examiner les lignes verticales du tableau (figure 24) pour supprimer les objectifs de contrle qui prsentent un risque peu lev et pour
identifier les objectifs qui ncessitent des solutions l'chelle de l'entreprise (contrairement aux solutions ponctuelles).
La conclusion indispensable de cette tape, illustre par la figure 24, consiste rpondre la question suivante : Le fait de ne pas atteindre
cet objectif de contrle pour cette catgorie de ressources informatiques sera-t-il important pour cette mission d'audit spcifique ? . Seules
les cellules pour lesquelles la rponse est oui doivent tre conserves dans le primtre dfinitif de contrle des SI.
Figure 25 Objectifs mtiers relatifs aux SI, objectifs informatiques et objectifs des processus informatiques dans le cadre de la planification de l'audit des SI
OBJET DE L'AUDIT
Composant
Application Composant
Fonction mtier important de Changement majeur
stratgique organisationnel
l'infrastructure
INFORMATION
Objectifs mtiers P S P
OBJECTIFS
SUR LES
Objectifs informatiques S P P S S
En
Affiner le remplacement
Evaluer
champ d'action ou en Formuler et
Affiner la l'efficacit des
des principaux complment, Evaluer l'impact communiquer
comprhension contrles des
objectifs de valuer le des faiblesses lensemble des
du domaine principaux
contrle pour le rsultat des de contrle conclusions et
d'audit des SI objectifs de
domaine d'audit principaux recommandations
contrle
des SI objectifs de
contrle
La premire tape de la phase d'excution consiste affiner la comprhension de l'environnement faisant l'objet de la mission. Cela implique
de bien connatre l'entreprise afin de slectionner des objectifs et un primtre d'audit appropris. Les objectifs et le primtre de l'audit
doivent tre communiqus toutes les parties prenantes et approuves par ces dernires.
S'appuyant sur la comprhension actuelle et dtaille de l'environnement informatique, des modifications qui ont pu tre apportes aux
objectifs mtiers et/ou aux objectifs d'audit et malgr la planification d'un plan de contrle rentable, il peut tre judicieux d'affiner le cadrage.
Par consquent, il peut tre ncessaire d'affiner la phase de cadrage effectue prcdemment, afin de dterminer un sous-ensemble finalis du
primtre d'audit (par exemple, le processus, le systme, l'application) et un ensemble de contrles effectuer.
Des valuations et des tests sont effectus, portant sur les principaux objectifs de vrification suivants (que l'on retrouve galement dans les
missions d'audit SAS 70 3 et SysTrust4) :
valuer les contrles
vrifier que les contrles sont appliqus
valuer l'efficacit oprationnelle des contrles
Les valuations et tests peuvent galement porter sur l'efficacit des contrles.
Durant la phase de contrle, diffrents types de vrification et de test peuvent tre appliqus. Voici les lments qui composent les cinq
mthodes de contrle gnriques :
S'informer et confirmer :
rechercher les exceptions/carts et les examiner
analyser les transactions/vnements inhabituels ou exceptionnels
vrifier/dterminer si une action s'est (ou ne s'est pas) produite (chantillon)
corroborer les rapports de gestion partir de sources indpendantes
interroger les employs et valuer leurs connaissances et leur sensibilisation.
rapprocher les transactions (ex : rapprochement des transactions avec les relevs bancaires)
interroger le management et obtenir des rponses pour confirmer des constatations.
Inspecter :
examiner les plans, les politiques et les procdures
rechercher les pistes d'audit, les journaux d'incidents, etc.
retrouver l'origine des transactions dans le processus/systme
vrifier physiquement l'existence de documents, actifs, etc.
effectuer la visite sur site des installations, des plans, etc.
effectuer une tude de la conception ou une inspection des codes
comparer la ralit et les constatations attendues.
Observer :
observer et dcrire les processus
observer et dcrire les procdures
comparer la ralit et le comportement attendu.
Rexcuter et/ou recalculer :
exposer et estimer sparment le rsultat attendu
tenter ce qui est empch
rexcuter ce qui est dtect par les contrles de dtection
rexcuter les transactions, les procdures de contrle, etc.
recalculer sparment
comparer la valeur escompte et la valeur relle
comparer la ralit et le comportement attendu
retrouver l'origine des transactions dans le processus/systme.
3
Le Statement on Auditing Standards (SAS) n70, Service Organizations (socits de services), est une norme d'audit reconnue l'international, dicte par
l'American Institute of Certified Public Accountants (AICPA).
4
SysTrust est un service de certification mis au point par l'AICPA et l'Institut Canadien des Comptables Agrs (ICCA).
Cette tape permet d'valuer l'adquation de la conception des contrles. Les trois points d'audit suivants doivent tre traits :
observer/inspecter et analyser la mthode de contrle, et en vrifier l'exhaustivit, la pertinence, l'opportunit et la mesurabilit
demander et vrifier si la responsabilit des dispositions de contrle et la responsabilit gnrale ont t attribues. Vrifier si les
responsabilits oprationnelles et les responsabilits finales sont comprises et acceptes. Vrifier si les comptences appropries et les
ressources ncessaires sont disponibles
interroger les principaux employs concerns pour dterminer s'ils comprennent bien le mcanisme de contrle, son but, ainsi que les
responsabilits oprationnelles et les responsabilits finales.
En outre, et notamment dans les missions d'audit interne, il convient de vrifier le rapport cot/efficacit de la conception des contrles
l'aide des tapes d'audit suivantes :
si le dispositif de contrle est performant, vrifiez s'il est possible de le rendre plus efficace en optimisant les procdures, en recherchant
des synergies avec d'autres mcanismes de contrle et en rexaminant l'quilibre entre la prvention et la dtection/correction. Tenez
compte des efforts fournis pour grer le dispositif de contrle
si l'ensemble du dispositif de contrle fonctionne bien, vrifiez s'il est possible de le rendre plus rentable. Pensez analyser les mesures de
performance des activits associes cet ensemble de pratiques de contrle, les possibilits d'automatisation et/ou le niveau de
comptence.
Pour tester le rsultat ou l'efficacit du contrle, l'auditeur doit rechercher les lments probants directs et indirects de l'impact du contrle
sur la qualit des sorties du processus. Cela implique de dterminer la corroboration directe et indirecte de la contribution mesurable du
contrle aux objectifs informatiques, des processus et de l'activit. Et donc d'enregistrer les preuves directes et indirectes de l'obtention relle
des rsultats, comme indiqu dans COBIT.
L'auditeur doit prouver de faon directe ou indirecte, sur une slection d'lments ou de priodes, que le contrle valu fonctionne
efficacement, en appliquant une srie de techniques d'valuations et de tests, comme indiqu dans l'tape 3. L'auditeur doit galement
effectuer un examen limit de l'adquation des livrables des processus et dterminer le niveau des tests de corroboration et de travail
additionnel ncessaire pour obtenir l'assurance que le processus informatique est adapt.
Lorsque des faiblesses de contrle sont constates, elles doivent tre correctement documentes, en tenant compte de leur nature
gnralement sensible et confidentielle. En outre, il convient d'tre particulirement vigilant pour analyser et valuer correctement la gravit
des faiblesses constates et l'impact potentiel qu'elles pourraient avoir sur l'activit.
L'objectif de cette tape est d'effectuer les tests ncessaires pour apporter au management la garantie (ou l'absence de garantie) relative la
ralisation d'un processus mtier donn et de ses objectifs de contrle correspondants. Une analyse plus approfondie doit tre effectue si :
aucune mesure de contrle n'est applique
les contrles ne fonctionnent pas comme prvu
les contrles ne sont pas appliqus de faon homogne.
Les points d'audit suivants peuvent tre traits pour valuer l'impact gnr par la non-ralisation de l'objectif de contrle :
relier l'impact gnr par la non-ralisation de l'objectif de contrle des cas rels s'tant produits dans le mme secteur d'activit et tirer
parti des analyses comparatives du secteur
relier les indicateurs de performance connus aux rsultats connus et, en leur absence, relier la cause son effet (analyse des causes et des
effets)
illustrer les lments potentiellement affects par l'impact (ex : buts et objectifs mtiers, lments de l'architecture d'entreprise, capacits,
ressources)
illustrer l'impact de la faiblesse des contrles avec des chiffres et des scnarios d'erreur, d'inefficacit et d'utilisation inapproprie
donner des prcisions sur les vulnrabilits et les menaces les plus probables en cas de mauvais fonctionnement des contrles
valuer l'impact des faiblesses relles des contrles en termes de rsultats financiers, d'intgrit des rapports financiers, d'heures de travail
perdues, de pertes commerciales, de capacit grer et ragir au march, d'exigences des clients et des actionnaires, etc.
signaler les consquences du non-respect des obligations lgales et des accords contractuels
mesurer l'impact rel des interruptions et des pannes sur les objectifs et les processus mtiers, et sur les clients (ex : nombre, effort,
indisponibilit, satisfaction des clients, cot)
valuer le cot (ex : impact financier et client) des erreurs qui auraient pu tre vites par des contrles efficaces
mesurer et valuer le cot du travail supplmentaire (ex : rapport entre le travail supplmentaire et le travail normal) comme mesure
efficace affecte par les faiblesses de contrle
mesurer les avantages commerciaux rels et illustrer les conomies gnres par des contrles efficaces a posteriori
utiliser les rsultats des enqutes et des tudes comparatives pour comparer les performances de l'entreprise avec d'autres entits
utiliser des graphiques dtaills pour illustrer les points abords.
L'auditeur doit valuer toutes les faiblesses de contrle identifies ainsi que les menaces et les vulnrabilits en dcoulant, et identifier et
valuer l'impact rel et potentiel (ex : par l'intermdiaire d'une analyse causale). En outre, l'auditeur peut fournir des donnes comparatives
(ex : des analyses comparatives) afin d'tablir un cadre de rfrence dans lequel les rsultats des valuations et tests doivent tre valus.
Pour faciliter cette tche, un modle de maturit gnrique du contrle interne est fourni dans le chapitre 7, Modle de maturit du contrle
interne. Il dcrit la situation de l'environnement de contrle interne et la mise en place de contrles internes dans une entreprise. Il montre
galement comment la gestion du contrle interne et la prise de conscience de la ncessit d'tablir de meilleurs contrles internes voluent
gnralement d'un niveau donn un niveau optimis.
L'objectif est d'identifier des lments significatifs pour tre en mesure d'exposer au partenaire les actions recommandes et les motifs du
passage l'action. Cette phase inclut le rassemblement des rsultats des phases prcdentes, l'laboration d'une conclusion concernant les
faiblesses de contrle identifies et la communication des lments suivants :
les actions recommandes pour attnuer l'impact des faiblesses de contrle
le comparatif de performance par rapport aux normes et aux meilleures pratiques pour une vue relative sur les rsultats
le niveau de risque associ au processus.
La conclusion et les recommandations formules doivent permettre la partie responsable de prendre des mesures supplmentaires et des
mesures correctives.
Lorsque la mission d'audit est effectue dans un contexte d'audit, l'auditeur doit tre attentif la communication d'audit officielle et respecter
les normes et les recommandations en matire de rapports d'audit (disponibles sur www.isaca.org).
Des recommandations sont fournies pour valuer les contrles, le rsultat des contrles et l'impact dans les annexes 1 6, conformment la
disposition de la figure 26.
Les 6 contrles de processus gnriques, dtaills dans l'annexe 1, Contrle des processus, sont les suivants :
PC1 Buts et objectifs du processus
PC2 Proprit du processus
PC3 Reproductibilit du processus
PC4 Rles et responsabilits
PC5 Politiques, plans et procdures
PC6 Amlioration des performances du processus
L'ensemble compos des pratiques de contrle gnriques et des pratiques de contrle spcifiques constituent une mthode de contrle
cohrente, ncessaire et suffisante pour atteindre les objectifs de contrle tablis. D'autres mthodes de contrle, associes d'autres
ensembles de pratiques, peuvent exister. Il est donc toujours ncessaire de vrifier le bien-fond du contrle, ds le dbut de la mise en uvre
du contrle ou des activits d'audit.
Mthode
La pratique de contrle gnrique mthode se compose des lments suivants :
la pratique de contrle gnrale : elle labore la mthode de contrle permettant d'atteindre cet objectif de contrle et gre les pratiques
de contrle qui mettent en uvre cette conception.
Communication et comprhension
La pratique de contrle gnrique communication et comprhension se compose des lments suivants :
les pratiques de contrle gnrales : elles s'assurent que les pratiques de contrle, telles qu'elles sont mises en uvre, tiennent compte
des objectifs de contrle et qu'elles sont communiques et comprises.
la dmarche d'audit : elle permet d'interroger les principaux employs concerns pour dterminer s'ils ont reu les informations
ncessaires et s'ils comprennent bien le mcanisme de contrle, son but, ainsi que les responsabilits oprationnelles et les responsabilits
finales.
Des recommandations sont fournies sur la faon d'valuer les 34 processus informatiques de COBIT dans quatre annexes (cf. annexes 2 5)
conformment aux quatre domaines de COBIT.
CONTRLES APPLICATIFS
Les contrles applicatifs portent sur les transactions et les donnes de rfrence appartenant chaque systme applicatif automatis et ils sont
spcifiques chaque application. Ils garantissent l'exhaustivit et la prcision des enregistrements, ainsi que la validit des entres effectues
dans le cadre des transactions et des donnes de rfrence gnres par le traitement manuel et le traitement automatis. Ils sont dfinis plus
en dtail dans le domaine Contrle des Applications (CA), en annexe 6.
En matire d'audit des SI, une distinction est faite entre les contrles applicatifs et les contrles gnraux. Les contrles gnraux sont ceux
qui sont intgrs l'organisation des SI, aux processus et aux services informatiques. Ils concernent, par exemple :
le dveloppement des systmes
la gestion des changements
la scurit
l'exploitation.
En revanche, on appelle communment contrles applicatifs les contrles intgrs aux applications des processus mtiers.
Ils concernent, par exemple :
l'exhaustivit
l'exactitude
la validit
l'autorisation
la sparation des tches.
Par consquent, les objectifs des contrles applicatifs consistent s'assurer que :
les donnes prpares pour la saisie sont compltes, valables et fiables
les donnes sont converties en un formulaire automatique et saisies dans l'application, de faon prcise, complte et opportune
les donnes sont traites par l'application, de faon complte et opportune, et conformment aux exigences tablies
les rsultats sont protgs contre les modifications non autorises et la dtrioration, et ils sont communiqus conformment aux rgles
tablies.
COBIT considre que la conception et la mise en place de contrles applicatifs automatiss sont de la responsabilit de l'informatique. Elles
relvent du domaine Acqurir et Implmenter (AI) et se basent sur les exigences mtiers dfinies selon les critres d'information de COBIT.
La gestion oprationnelle et la responsabilit des contrles applicatifs ne relvent pas de l'informatique mais des propritaires des processus
mtiers. L'informatique fournit les applications et l'assistance qui va avec, ainsi que les bases de donnes et les infrastructures dont ces
applications ont besoin. En consquence, les processus informatiques de COBIT comportent des contrles gnraux informatiques mais pas
de contrles applicatifs parce que ceux-ci sont de la comptence des propritaires des processus mtiers et, comme cela a dj t expliqu,
parce qu'ils sont intgrs ces derniers.
Planifier et Organiser
Surveiller et Evaluer
Il incombe l'informatique
d'automatiser et de mettre en uvre les exigences mtiers de
Contrles Contrles
fonctionnement et de contrle,
mtiers de mettre en place des contrles pour maintenir l'intgrit des contrles mtiers
applicatifs
Contrles applicatifs
Concernant les services automatiss, il incombe aux mtiers de dfinir des exigences de fonctionnement et des exigences de contrle
inclure dans tous les processus mtiers pris en charge par les applications. Il incombe ensuite l'informatique d'automatiser les exigences
mtiers de fonctionnement et de contrle et de mettre en place des contrles pour maintenir l'intgrit des applications mtiers.
Comme pour les contrles gnraux informatiques et les contrles de processus gnriques, des recommandations sont fournies pour valuer
les contrles, le rsultat et l'impact de chacun des 6 contrles des applications COBIT, dtaills en annexe 6 (Contrle des Applications) :
CA1 Autorisation et prparation des documents source
CA2 Collecte des documents source et saisie des donnes
CA3 Vrifications d'exactitude, d'exhaustivit et d'authenticit
CA4 Intgrit et validit du traitement des donnes
CA5 Vrification des rsultats, rapprochement et traitement des erreurs
CA6 Authentification et intgrit des transactions.
Les faiblesses des contrles des applications peuvent avoir des rpercussions sur la capacit d'une entit traiter les transactions mtiers
travers les applications et les processus mtiers concerns. Les contrles applicatifs sont un sous-composant des contrles mtiers de l'entit.
Les faiblesses des contrles applicatifs peuvent tre attnues par des contrles compensatoires manuels et organisationnels. L'impact des
faiblesses des contrles applicatifs doit tre tudi en tenant compte de la nature sous-jacente des processus mtiers et des transactions
connexes, et de l'impact des autres contrles des processus mtiers. ce titre, il doit tre tudi en collaboration avec l'auditeur des processus
mtiers.
CONCLUSION
Les contrles laissent dsirer car un composant essentiel du contrle (l'valuation de l'impact) est pour le moins incomplet.
Des changements ont peut-tre t mis en place sans en valuer correctement les risques, ce qui peut entraner des dysfonctionnements ou
des perturbations oprationnelles imprvues et difficiles matriser.
OBSERVATIONS
Dans le cadre de l'valuation des contrles, l'auditeur a constat que, pour toutes les procdures concernes de gestion des changements, un
contrle est dfini pour s'assurer que les demandes de modification d'urgence sont rintroduites dans le cycle de gestion des changements
standard. En outre, l'auditeur a constat qu'il existe une procdure vrifiant que toutes les modifications d'urgence sont correctement
consignes dans un outil de gestion des changements. Dans le cadre de l'valuation de l'efficacit des contrles, un chantillon des demandes
de modification d'urgence a t slectionn dans l'outil de gestion des changements et fait l'objet d'un suivi jusqu' sa rintroduction en tant
que changement standard. Ce suivi consistait notamment vrifier si la modification d'urgence tait effectivement rintroduite en tant que
changement standard et si elle tait applique conformment la procdure de gestion des changements standard.
L'auditeur a constat que, sur un chantillon de 25 modifications d'urgence slectionnes, trois d'entre elles n'taient pas rintroduites dans le
processus en tant que changements standard. Il a galement observ que, parmi les 22 modifications d'urgence qui avaient t dment
rintroduites, seulement 10 ont t voques par le comit de gestion des changements ou au moins qu'une trace indiquait que ces
10 modifications avaient t voques (cette trace incluait les informations stockes dans l'outil de gestion des changements).
CONCLUSION
La procdure de modification d'urgence n'est pas efficace, et ceci pour deux raisons :
les modifications d'urgence ne sont pas toutes rintroduites dans le systme. On risque donc de les perdre de vue et de n'en retirer aucun
enseignement
les modifications d'urgence qui ont t rintroduites sont trs probablement tudies et documentes de faon inapproprie, ce qui entrane
le mme risque.
OBSERVATIONS
partir de la situation donne, l'auditeur devait obtenir des informations supplmentaires et procder une analyse plus approfondie afin
d'valuer et de documenter l'impact des faiblesses de contrle. Pour les exemples susmentionns, l'auditeur devait tudier les types de
changement, et leur nombre, concerns par les faiblesses de contrle.
Certaines des informations requises pouvaient ou devaient dj tre recueillies lors de la phase de planification. Ces informations devaient
permettre d'valuer l'importance des faiblesses observes. Plus prcisment, les changements concerns devaient tre remis en
correspondance avec les composants d'infrastructure concerns et les applications/informations qu'ils traitent ou prennent en charge. En
outre, des pnalits pouvaient tre appliques pour non-respect des contrats de service (CS). D'autre part, l'analyse des problmes observs
par le pass peut permettre de dterminer l'impact potentiel rel des faiblesses constates.
Dans ce cas, il s'avre, aprs discussion avec le responsable de la gestion des changements et confirmation auprs d'autres membres du
conseil de gestion des changements, que les modifications d'urgence manquantes concernent des systmes non stratgiques et la
documentation manquante n'tait qu'un problme de documentation alors que le changement rel, sa cause et ses consquences avaient t
rellement tudis mais n'taient pas officiellement documents.
CONCLUSION
Mme si les faiblesses de contrle restent telles qu'elles ont t observes, l'analyse complmentaire et la documentation ont montr que ces
faiblesses revtaient une importance moindre que ne le laissaient prsager les premires valuations.
?
LES COMPOSANTS DE
INTRODUCTION
La figure 28 tablit des liens entre les activits classiques d'audit des SI et les composants de COBIT qui peuvent tre exploits pour rendre
ces activits plus efficaces et efficientes. Elle dmontre comment COBIT peut favoriser des activits spcifiques lies l'audit, gnralement
excutes sous la forme de tches autonomes, et comment COBIT apporte son assistance au plan d'action propos pour l'audit des SI, dcrit
dans les sections prcdentes.
Une corrlation est indique uniquement lorsqu'il existe un appui fort et spcifique pour une activit d'audit des SI. Toutefois, certains
composants cls favorisent toutes les activits. En pratique, les utilisateurs de COBIT adaptent et personnalisent les ressources de COBIT en
fonction de leurs propres objectifs et dcouvrent comment COBIT peut ajouter de la valeur une tche spcifique. Ce tableau n'est donc qu'un
lment d'orientation.
Deux des composants les plus utiles sont les mesures des objectifs et des rsultats et les tableaux RACI (principales activits et
responsabilits). Ils cernent la nature profonde des SI, leurs processus, activits et objectifs, et favorisent ainsi tous les aspects de la
planification, du cadrage et de l'excution de l'audit. COBIT Online est galement un lment important des activits d'audit des SI. Ses
fonctions de recherche et de navigation permettent d'accder plus facilement l'ensemble du contenu principal de COBIT et des analyses
comparatives trs utiles. Ces composants de COBIT qui revtent une importance particulire pour les activits d'audit apparaissent dans les
colonnes grises de la figure 28.
Figure 28 Liens entre les activits de l'audit des SI et les composants COBIT
Composants COBIT
nonc des risques et des valeurs
Inducteurs de performance
Outil de sensibilisation du
risques informatiques
Critres d'information
Objectifs de contrle
COBIT Quickstart
responsabilits)
comparatives
management
recherche
rsultats
Les sections suivantes rsument les corrlations les plus importantes de la figure 28, d'abord du point de vue des composants, puis du point
de vue des activits. Pour conclure, les corrlations les plus fortes entre des activits et des composants sont entoures dans la figure 28.
COMPOSANTS DE COBIT
Les pratiques et les objectifs de contrle sont essentiellement utiles pour valuer les activits connexes. Toutefois, les objectifs de contrle
tant d'un excellent niveau et similaires aux principales pratiques de gestion, ils peuvent tre pris en compte pendant les activits de
planification. Ces deux composants sont galement utiles pour la slection et la personnalisation des objectifs de contrle d'une mission
d'audit.
La liste des processus COBIT et les domaines fournissent une structure de responsabilit pour les SI et permettent de garantir l'exhaustivit du
primtre d'audit. Cette liste est utile lors de la phase de planification mais galement lors du rcapitulatif des conclusions d'une mission
d'audit. De la mme manire, les critres d'information constituent une structure simple, gnrique et de haut niveau des objectifs des
processus informatiques. Ils sont galement utiles pour structurer les plans d'audit et les conclusions.
Mme si les inducteurs de performance jouent un rle important pour les activits d'audit lors des phases de planification et de reporting d'un
plan d'action d'audit des SI, ils constituent galement une source intressante pour la personnalisation des objectifs de contrle. En effet, ils
impliquent que certaines actions doivent se produire ou que certaines conditions doivent tre remplies afin d'accrotre la probabilit
d'atteindre les buts et objectifs des processus.
Les noncs des risques et des valeurs fournissent les arguments justifiant les contrles mais ils constituent galement des facteurs essentiels
lorsque des valuations des risques de haut niveau ou dtailles sont effectues. Ils servent galement de points de dpart pour identifier les
processus et les composants informatiques stratgiques.
Les outils de diagnostic et de sensibilisation du management sont fournis dans le document Supplemental Tools and Materials, disponible en
ligne et sur CD-ROM en complment du Guide de mise en place de la gouvernance informatique : Utilisation de COBIT et Val IT 2me
dition. Ces outils permettent d'effectuer des valuations initiales de haut niveau sur l'importance des processus, les risques significatifs et
l'tat des contrles des processus, qui ont gnralement lieu lors des premires phases de la mission d'audit.
La prsentation de COBIT Quickstart (de type formulaire d'valuation) se prte facilement des valuations rapides ou de haut niveau, ainsi
qu' des autovaluations efficaces.
Comme indiqu dans COBIT Online, les analyses comparatives et les fonctionnalits permettent de dcrire comment l'entit peut tre
compare avec d'autres entreprises du mme secteur, de la mme rgion ou de la mme taille, en termes de contrles et de gestion des
processus. Le comparatif est accompagn de graphiques circulaires et de diagrammes en toile d'araigne. Ces analyses comparatives donnent
une grande crdibilit aux conclusions des missions d'audit mais elles peuvent galement tre utilises plus tt dans le cycle de vie de l'audit
(par exemple, pour identifier les processus qui ncessitent un primtre d'audit anticip ou approfondi en raison de dcalages par rapport au
reste du secteur).
La planification de l'audit des SI en fonction des risques est devenue une pratique courante et elle est facilite par les modles de maturit de
COBIT et les analyses comparatives de COBIT Online, dans le cadre de l'identification des risques potentiels les plus levs. Les noncs des
risques et des valeurs des objectifs de contrle offrent un soutien supplmentaire si une valuation plus dtaille des risques est ncessaire
pour gnrer le plan d'audit. COBIT Quickstart et les outils de diagnostic et de sensibilisation permettent de procder rapidement et
efficacement des valuations de haut niveau.
La planification et le reporting (ainsi que le cadrage dans une moindre mesure) utilisent la plupart des composants de COBIT mais
gnralement titre d'information ou de suggestion uniquement. A contrario, le cadrage et la planification dtaille, ainsi que les valuations
et tests, sont les activits qui utilisent le moins de composants de COBIT mais elles ont tendance les utiliser de faon plus intensive. La
planification, le cadrage et les valuations sont galement des activits d'audit des SI qui utilisent abondamment le cur de COBIT : les
objectifs de contrle.
La publication de l'ITGI intitule IT Control Objectives for Sarbanes-Oxley, 2nd Edition (Objectifs de contrle des SI pour Sarbanes-Oxley,
2me dition) fournit galement des corrlations fortes entre les composants de COBIT et les missions d'audit des SI.
Dfinir et communiquer des buts et objectifs spcifiques, mesurables, Processus cls mesurs avec efficacit et Efficacit des processus difficile mesurer
incitatifs, ralistes, axs sur les rsultats et opportuns (SMIRRO), efficience Objectifs mtiers non soutenus par les processus
pour l'excution efficace de chaque processus informatique. S'assurer Processus conformes aux objectifs mtiers
qu'ils sont relis aux objectifs mtiers et soutenus par des mtriques
adaptes.
Dterminer les rpercussions sur l'activit d'une situation dans laquelle les buts et objectifs des processus ne sont pas relis aux objectifs mtiers.
valuer l'impact sur la gestion des processus mtiers d'une situation dans laquelle les objectifs des processus ne sont pas dfinis selon le modle SMIRRO.
ANNEXE I
45
CP2 Proprit du processus
46
Affecter un propritaire chaque processus informatique et dfinir Fonctionnement fiable et sans accroc des Processus dont le fonctionnement n'est pas fiable
clairement les rles et les responsabilits du propritaire du processus Processus ne fonctionnant pas efficacement
processus. Inclure, par exemple, la charge de conception du Interaction efficace entre les processus ensemble
processus, d'interaction avec les autres processus, la responsabilit du Identification et rsolution des questions et Possibles dficiences du champ d'application du
rsultat final, l'valuation des performances du processus et
problmes relatifs aux processus processus
l'identification des possibilits d'amlioration.
Amlioration constante des processus Erreurs de processus non corriges
Dterminer si le propritaire du processus favorise suffisamment la mise en uvre des services de gestion des processus mtiers afin datteindre les objectifs organisationnels court et
long terme.
2008 AFAI. Tous droits rservs. www.afai.fr
CP3 Reproductibilit du processus
2008 AFAI. Tous droits rservs. www.afai.fr
Dfinir et mettre en place chaque processus informatique cl de faon Plus grande efficience et efficacit des activits Rsultats des processus incohrents et
ce qu'il soit reproductible et qu'il produise invariablement les rcurrentes possibilits d'erreurs de processus
rsultats escompts. Fournir un enchanement logique, flexible et Facilit de maintenance des processus Recours massif aux spcialistes des processus
volutif d'activits qui conduiront aux rsultats souhaits et Capacit dmontrer l'efficacit des processus Processus incapables de ragir aux problmes et
suffisamment souple pour grer les exceptions et les urgences. Si
aux auditeurs et aux organismes de contrle aux nouvelles exigences.
possible, utiliser des processus homognes et personnaliser
uniquement si c'est invitable. Processus favorisant la ralisation des objectifs de
l'organisation informatique globale et optimisant
l'apport de valeur informatique
Slectionner des donnes sur les rsultats du processus n'atteignant pas les objectifs et dterminer si les causes sont lies la conception du processus, la proprit, aux responsabilits
ou une application incohrente
ANNEXE I
47
CP4 Rles et Responsabilits
48
Dfinir les activits cls et les livrables finaux du processus. Attribuer Plus grande efficience et efficacit des activits Processus non contrls et non fiables
et communiquer des rles et responsabilits non ambigus, pour une rcurrentes Processus ne favorisant pas la ralisation des
excution efficace et efficiente des activits cls et de leur Employs sachant quoi faire et quand le faire, objectifs mtiers
documentation, ainsi que la responsabilit des livrables finaux du amlioration de la motivation et satisfaction Processus non excuts comme prvu
processus.
professionnelle Problmes et erreurs susceptibles de ne pas tre
rsolus
Performance des processus susceptible d'tre
variable et peu fiable
Dterminer si les rles et responsabilits sont mme de favoriser la conformit aux diffrentes activits prvues dans le cadre des fonctions..
Dterminer et indiquer comment tous les plans, les politiques et les Sensibilisation accrue des employs vis--vis de Processus non conformes aux objectifs mtiers
procdures qui pilotent un processus informatique sont documents, ce qu'ils doivent faire et pourquoi Employs ne sachant pas comment effectuer les
tudis, grs, valids, stocks, communiqus et utiliss pour la Rduction du nombre d'incidents causs par la tches critiques
formation. Rpartir les responsabilits pour chacune de ces activits violation des rgles Violation des rgles
et, au moment opportun, vrifier si elles sont correctement mises en
Les politiques et procdures connexes restent en
uvre. S'assurer que les politiques, plans et procdures sont
accessibles, corrects, compris et jour. vigueur et efficaces
Vrifier si les personnes qui effectuent les activits comprennent leurs responsabilits.
Examiner certains documents pour vrifier s'ils sont jour et compris.
Examiner la documentation relative aux processus informatiques et vrifier si la validation est effectue au niveau appropri.
Dterminer si la documentation relative aux processus informatiques est accessible, correcte, comprise et jour.
S'assurer que les rgles sont efficacement diffuses via des actions de sensibilisation et de formation.
Dterminer, par le biais d'entretiens tous les niveaux hirarchiques, si les rgles et procdures sont clairement comprises et favorisent la ralisation des objectifs mtiers.
Dterminer si tous les plans, politiques et procdures favorisent suffisamment la mise en uvre des services de gestion des processus mtiers afin d'atteindre les objectifs
organisationnels court et long terme.
ANNEXE I
49
CP6 Amlioration des performances du processus
50
Identifier un ensemble de mtriques fournissant des indications sur Optimisation du cot des processus Rsultats et livrables du processus non
les rsultats et les performances du processus. Dfinir des cibles Processus flexibles et sensibles aux besoins conformes aux objectifs gnraux mtiers et
refltant les objectifs du processus et les inducteurs de performance mtiers informatiques
permettant d'atteindre les objectifs du processus. Dfinir le mode Processus trop coteux
d'obtention des donnes. Comparer les mesures relles et les objectifs
Processus rpondant trop lentement aux besoins
et, si ncessaire, prendre des mesures pour corriger les carts. Aligner
les mtriques, les objectifs et les mthodes avec l'approche globale de mtiers
surveillance des performances des SI.
Vrifier et confirmer que des mtriques appropries sont dfinies pour valuer la performance des processus et la ralisation des objectifs des processus.
Analyser certaines mtriques cls et vrifier, par d'autres moyens, si elles donnent un aperu suffisant des objectifs.
Vrifier et confirmer que des cibles ont t dfinies pour les objectifs des processus et les inducteurs de performance. Examiner les cibles et dterminer si elles sont conformes aux
objectifs et permettent d'identifier les actions correctives, de faon efficace et approprie.
Examiner les procdures permettant de collecter des donnes et d'effectuer des mesures pour s'assurer de l'efficacit et de l'efficience du contrle.
S'entretenir avec les propritaires des processus et les parties prenantes afin d'valuer l'adquation des mcanismes et de la mthode de mesure.
Pour les objectifs dcisifs des processus importants, effectuer de nouveau la collecte des donnes et l'valuation des cibles.
2008 AFAI. Tous droits rservs. www.afai.fr
Examiner un chantillon des mtriques du processus afin d'valuer l'adquation des relations entre les mtriques (c'est--dire, si la mtrique d'une performance donne des indications sur
la probable ralisation du rsultat du processus).
Se procurer et examiner les principaux carts par rapport aux cibles et s'assurer que des mesures ont t prises. Inspecter la liste des mesures prises suite l'valuation et vrifier si elles
ont gnr de relles amliorations.
Vrifier si des analyses comparatives internes et externes sont utiliss et, le cas chant, valuer leur pertinence et dterminer si des mesures appropries sont prises pour corriger les
carts significatifs par rapport aux analyses comparatives.
PO1.1 Gestion de la valeur des SI - Travailler avec les mtiers pour Transparence et efficacit du bnfice gnr par Prise de dcision inefficace gnrant des
s'assurer que le portefeuille d'investissements informatiques de les investissements informatiques pour l'entreprise investissements informatiques dont le rendement
l'entreprise contient des programmes ou projets dont les tudes de Existence d'un processus efficace de prise de est insuffisant ou dont l'impact sur l'entreprise
faisabilit sont solides. Reconnatre qu'il y a des investissements dcision pour s'assurer que les investissements est ngatif
obligatoires, indispensables et discrtionnaires qui diffrent en
informatiques offrent un rel bnfice mtier SI non adapts l'entreprise
complexit et en degr de libert pour ce qui est de l'attribution des
crdits. Les processus informatiques doivent fournir aux programmes Investissements informatiques conformes aux Gestion de la valeur des SI prive du soutien et
des composants informatiques efficaces et efficients et des alertes, au objectifs mtiers de l'engagement de la direction gnrale
plus tt, pour tout cart par rapport au plan, par exemple en ce qui Comprhension partage concernant le cot, le Responsabilits oprationnelles et
concerne les cots, les dlais et les fonctionnalits, susceptible d'avoir risque et les avantages des initiatives mtiers qui responsabilits finales non dfinies ou difficiles
des consquences sur les rsultats attendus des programmes. Les s'appuient sur les SI comprendre
services informatiques doivent tre rendus sur la base de contrats de Lien direct entre les objectifs mtiers et Imprcision et mauvaise comprhension des
services (CS) quitables et applicables. La responsabilit finale de l'utilisation des ressources pour les SI cots, avantages et risques des initiatives
l'obtention des bnfices et du contrle des cots est clairement commerciales qui s'appuient sur les SI
assigne et supervise. tablir une valuation juste, transparente,
reproductible et comparable des tudes de faisabilit qui tient compte SI non adapts aux exigences de gouvernance,
de la valeur financire, du risque de ne pas fournir une capacit et de entranant des rpercussions potentielles sur la
ne pas raliser les bnfices attendus. responsabilit publique de la direction et du
conseil d'administration
Vrifier et confirmer qu'il existe un processus visant prparer une tude de faisabilit (par exemple, le processus donnera des indications sur les critres d'entre/sortie pour
l'laboration de l'tude de faisabilit, du processus de revue, des mesures, du processus de gestion des modifications pour l'tude, etc.).
Vrifier et confirmer que le processus de surveillance relatif l'tude de faisabilit est bas sur des analyses comparatives tablies, tels que ceux figurant dans les CS (contrats de
services) organisationnels ou les normes sectorielles et techniques.
Vrifier et confirmer que les succs et les checs des programmes d'investissement informatique sont tudis et que le processus d'tude de faisabilit est optimis dans les conditions
requises (ex. : analyse des donnes historiques, rfrencement des amliorations, enseignements et meilleures pratiques, etc.).
ANNEXE II
51
PO1 Dfinir un plan informatique stratgique (suite)
52
PO1.2 Alignement mtier-informatique SI conformes la mission et aux objectifs de Les SI sont considrs comme un facteur cot.
tablir des processus d'enseignement bidirectionnel et d'engagement l'entreprise La mission de l'entreprise n'est pas soutenue par
rciproque dans la planification stratgique afin de russir SI permettant d'atteindre les objectifs mtiers ses SI.
l'alignement et l'intgration du mtier et des SI. Concilier les stratgiques Les dcisions de la direction informatique ne
impratifs des SI et les impratifs mtiers de faon pouvoir tablir
Rendement optimis des investissements suivent pas les orientations mtiers.
des priorits sur lesquelles tous sont d'accord.
informatiques Absence d'une comprhension commune des
Identification et exploitation des opportunits priorits mtiers et informatiques, gnrant des
d'innovation conflits propos de l'affectation des ressources
et des priorits
Des possibilits d'exploiter de nouvelles
fonctionnalits informatiques sont ngliges.
PO1. 3 valuation des capacits et des performances actuelles Plans informatiques contribuant de faon Des capacits informatiques ne contribuant pas
valuation des capacits et des performances actuelles - valuer les transparente la mission et aux objectifs de la mission et aux objectifs de l'entreprise
capacits et les performances en matire de fourniture de solutions et l'entreprise Dcisions d'investissement prises trop
de services, afin d'tablir un point de rfrence auquel les exigences Transparence des cots, risques et bnfices tardivement
futures pourront tre compares. Dfinir les performances en termes
relatifs aux performances actuelles des SI Opportunits et capacits inexploites
de contribution des SI aux objectifs mtiers, de fonctionnalits, de
stabilit, de complexit, de cots, et de forces et faiblesses. Identification des opportunits technologiques et Utilisation inefficace des ressources existantes
exploitation des capacits Incapacit identifier des points de rfrence
Capacits informatiques connues et mises en relatifs aux capacits et aux performances
uvre de faon efficiente et efficace pour fournir actuelles du systme et aux exigences futures
les solutions et services requis
ANNEXE II
53
PO1 Dfinir un plan informatique stratgique (suite)
54
PO1.4 Plan stratgique Des plans informatiques stratgiques conformes Exigences mtiers incomprises ou non prises en
Crer un plan stratgique qui dfinit, en coopration avec les parties aux objectifs mtiers compte par la direction informatique
prenantes, comment les objectifs informatiques vont contribuer aux Des objectifs stratgiques et des responsabilits Pas d'entretiens rguliers et officiels entre la
objectifs stratgiques de l'entreprise, et aux cots et aux risques qui connexes clairs et compris par tous direction informatique d'une part et les directions
leurs sont associs. Ce plan doit notamment dterminer comment les
Des options informatiques stratgiques identifies mtiers et la direction gnrale d'autre part
SI favorisent les programmes d'investissements informatiques, les
services informatiques et les actifs informatiques. L'informatique doit et structures, et intgres dans les plans mtiers Plans informatiques non adapts aux besoins
dterminer comment les objectifs seront atteints, les mesures Probabilit rduite de projets informatiques mtiers de l'entreprise
utiliser et les procdures permettant d'obtenir l'aval officiel des inutiles Investissements et projets informatiques inutiles
parties prenantes. Le plan informatique stratgique doit couvrir les Plans informatiques stratgiques complets et Plans informatiques non conformes aux attentes
budgets d'investissement et de fonctionnement, les sources de applicables et aux exigences de l'entreprise
financement, la stratgie d'approvisionnement, la stratgie d'achat et SI non axs sur les bonnes priorits
les exigences lgales et rglementaires. Le plan stratgique doit tre
suffisamment dtaill pour permettre de dfinir des plans
informatiques tactiques
PO1.5 Plans tactiques Plans informatiques stratgiques long terme que Plans informatiques long terme non excuts
Crer un portefeuille de plans informatiques tactiques qui dcoule du des plans informatiques tactiques court terme Ressources informatiques disponibles non
plan informatique stratgique. Les plans tactiques doivent concerner peuvent mettre en uvre exploites pour les bnfices mtiers
les programmes d'investissements informatiques, les services Affectation efficace des ressources informatiques carts non identifis dans les plans
informatiques et les actifs informatiques. Ces plans tactiques doivent
Possibilit de surveiller et d'valuer en informatiques
dcrire les initiatives informatiques ncessaires, les besoins en
ressources, et comment l'utilisation des ressources et la ralisation de permanence les plans informatiques Priorits des SI mal comprises et susceptibles
bnfices seront surveilles et gres. Les plans tactiques doivent tre Possibilit de surveiller quotidiennement les d'tre modifies
suffisamment dtaills pour permettre de dfinir des plans de projets. performances et l'utilisation des ressources par Indisponibilit des informations permettant de
Grer activement les plans tactiques informatiques et les initiatives au rapport des cibles stratgiques contrler les performances des SI
moyen de l'analyse de projets et des portefeuilles de services. Orientations donnes au personnel du service
informatique
PO1.6 Gestion de portefeuille Gestion efficace des ressources informatiques Opportunits mtiers manques en raison d'un
Grer activement avec les mtiers le portefeuille des programmes Surveillance et valuation permanentes des portefeuille trop conservateur
d'investissements informatiques qui sont ncessaires pour atteindre initiatives informatiques Faible ROI en raison d'un portefeuille trop
les objectifs mtiers stratgiques spcifiques ; cela consiste Une bonne combinaison d'initiatives dynamique
identifier, dfinir, valuer, slectionner, initier et contrler ces
informatiques pour un retour sur investissement Ressources informatiques disponibles non
programmes et tablir leurs priorits respectives. Cela inclut de
clarifier les rsultats mtiers dsirs, de s'assurer que les objectifs des (ROI) positif et ajust en fonction des risques exploites
programmes favorisent l'obtention de ces rsultats, de comprendre Surveillance des performances et des besoins en carts non identifis dans les plans
l'ampleur des efforts ncessaires pour les obtenir, d'affecter ressources des initiatives informatiques, par informatiques
clairement la responsabilit finale et de dfinir les mesures de rapport aux objectifs dfinis
soutien, de dfinir les projets qui font partie des programmes,
d'allouer les ressources et les financements, de dlguer l'autorit, et
de commander les projets ncessaires au moment du lancement des
programmes.
ANNEXE II
valuer les contrles
Vrifier et confirmer qu'un processus a t mis en place pour l'identification et la hirarchisation (en fonction des bnfices mtiers) des programmes et projets informatiques
accompagnant le plan informatique tactique.
S'assurer que ce processus de gestion de portefeuille utilise des critres appropris pour dfinir et hirarchiser les diffrents projets et programmes.
Vrifier si les objectifs mtiers et les rsultats mtiers attendus sont documents et raisonnables, et si les informations relatives au budget et aux efforts ncessaires sont suffisantes.
S'assurer que les rsultats du programme/projet sont dment communiqus toutes les parties prenantes.
55
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
valuer le rsultat des objectifs de contrle :
S'assurer, par le biais d'entretiens avec les membres du comit directeur et d'autres sources, que les membres du comit directeur sont
adquatement reprsents par la direction informatique et les directions mtiers (ex : connaissance des rles, des responsabilits, de la
matrice de dcision et identification des propritaires).
tudier la charte valide du comit de direction et valuer sa pertinence (ex : rles, responsabilit finale, autorit, responsabilit
oprationnelle, champ d'application et objectifs doivent tre communiqus et compris par tous les membres du comit).
tudier les tudes de faisabilit pour s'assurer que le contenu de la documentation est appropri (ex : champ d'application, objectifs, analyse
du rapport cots/bnfices, lignes directrices de haut niveau, mesures de russite, rles et responsabilits, impact des programmes
d'investissements informatiques existants) et que les tudes de faisabilit ont t labores et approuves en temps utile. Vrifier, par le
biais d'entretiens, si les programmes d'investissements informatiques, les services informatiques et les ressources informatiques sont
valus par rapport aux critres d'tablissement des priorits (analyser les critres de priorisation documents).
S'assurer, par le biais d'entretiens avec les membres de la direction informatique, qu'ils sont informs des futurs objectifs et orientations
mtiers, des objectifs court et long termes, des missions et des valeurs.
Vrifier et confirmer que les buts et objectifs relatifs l'ensemble de l'entreprise sont intgrs dans les processus de planification tactique et
stratgique des SI et que le processus de planification stratgique inclut toutes les activits mtiers et d'assistance.
S'assurer, grce l'examen de documents tels que les comptes-rendus de runions ou la correspondance, que les mtiers et les SI ont la
volont de tirer parti de la technologie actuelle pour crer de nouvelles opportunits mtiers.
S'assurer de la mise jour rgulire d'un rapport sur les systmes d'information actuels (incluant des commentaires sur le systme,
l'utilisation des amliorations apportes au systme et les modifications du systme).
Examiner la ralisation des objectifs adopts dans le cadre du plan informatique tactique prcdent (ex : le rsultat de l'valuation des
performances peut inclure, entre autres, les exigences actuelles, la prestation actuelle par rapport aux exigences, les obstacles la
satisfaction des exigences et les mesures et cots requis pour raliser les objectifs mtiers adopts et les exigences de performance).
Vrifier et confirmer que le risque et les consquences financires des capacits informatiques requises ont t documents dans le plan
informatique stratgique.
S'assurer que les mesures de rsultat qui concernent les bnfices identifis par l'entreprise ont t avalises par les parties prenantes et que
les commentaires des parties prenantes ont t pris en compte.
Vrifier et confirmer que le plan informatique stratgique approuv est communiqu et qu'une procdure permet de dterminer si le plan est
clairement compris.
S'assurer, par le biais d'entretiens, de comptes-rendus de runions, de prsentations et de correspondances, que le plan informatique
stratgique a t approuv par le comit de pilotage informatique et par le conseil d'administration. Vrifier et confirmer qu'un processus
d'approbation officiel a t respect.
Vrifier et confirmer que les plans tactiques sont conformes aux plans stratgiques et rgulirement mis jour. S'assurer, par le biais
d'entretiens, que les plans tactiques permettent d'identifier et de planifier les projets, d'acqurir et de programmer les ressources et de mettre
en uvre les techniques de surveillance.
Vrifier et confirmer que le contenu des plans tactiques stipule clairement les dfinitions, les dates et les livrables du projet, et qu'il inclut
les ressources ncessaires et les bnfices mtiers surveiller, les objectifs de l'indicateur de performance, le plan d'attnuation, le plan
d'urgence, le protocole de communication, les rles et les responsabilits.
S'assurer que le portefeuille/projet slectionn a t converti en termes d'efforts requis, de ressources, de constat, de ralisation, etc., et qu'il
est approuv par la direction (ex : comptes-rendus de runions, registres des examens de la direction gnrale).
S'assurer que les directions mtiers et informatique ont donn l'autorisation de lancer les projets approuvs dans le cadre des programmes
slectionns (comptes-rendus de runions, processus d'approbation officiel, communication du projet valid).
S'assurer que les projets qui ont t retards ou diffrs, ou qui n'ont pas t mis en uvre, sont communiqus aux propritaires de
l'entreprise et aux membres concerns du service informatique.
Les responsables des systmes informatiques crent et mettent rgulirement jour un modle d'information de l'entreprise et dterminent quels sont les systme appropris susceptibles
d'optimiser l'utilisation de cette information. Cela comprend l'laboration d'un dictionnaire de donnes de l'entreprise, des rgles de syntaxe de donnes propres l'entreprise, d'un systme de
classification des donnes et de niveaux de scurit. En assurant une information fiable et sre, ce processus amliore la gestion de la prise de dcision et permet de rationaliser les ressources
informatiques pour tre en phase avec les stratgies de l'entreprise. Ce processus informatique permet galement d'tendre le champ de la responsabilit de l'intgrit et de la scurit des
donnes et d'amliorer l'efficacit et le contrle du partage de l'information entre les applications et les diffrents dpartements de l'entreprise.
PO2.1 Modle d'architecture de l'information de l'entreprise Amlioration de la prise de dcision grce une Informations inadaptes aux fonctions mtiers
tablir et tenir jour un modle d'information de l'entreprise pour information pertinente, fiable et utilisable Incohrence entre les exigences d'information et
faciliter le dveloppement d'applications et les activits d'aide la Amlioration de la flexibilit des SI et de la le dveloppement des applications
dcision, conforme aux plans informatiques dcrits dans PO1. Ce ractivit aux exigences mtiers Incohrence de donnes entre l'entreprise et les
modle doit permettre d'optimiser la cration, l'utilisation et le
Aide aux fonctions mtiers grce des donnes systmes
partage de l'information dans l'entreprise et d'en maintenir l'intgrit,
la flexibilit, la fonctionnalit, la rentabilit, la disponibilit en temps prcises, compltes et valides Efforts requis importants ou incapacit
opportun, la scurit et la rsistance aux pannes. Gestion efficace des donnes et rduction de la respecter les obligations fiduciaires (ex :
redondance et des duplications rapports de conformit, scurit, confidentialit)
Amlioration de l'intgrit des donnes Planification inefficace des programmes
Satisfaction des exigences fiduciaires en matire d'investissements informatiques en raison d'un
de rapports de conformit, de scurit et de manque d'informations
confidentialit des donnes Accumulation de donnes qui ne sont pas
pertinentes, cohrentes ou utilisables de faon
conomique
Vrifier l'existence d'un modle d'information d'entreprise, bas sur des normes tablies, et s'il est connu par les parties prenantes mtiers et SI concernes.
Vrifier si ce modle est rellement utilis et tenu jour paralllement au processus qui traduit la stratgie informatique en plans informatiques tactiques et les plans tactiques en projets.
Dterminer si le modle tient compte de la flexibilit, de la fonctionnalit, du rapport cot-efficacit, de la scurit, de la rsistance aux pannes, de la conformit, etc.
ANNEXE II
57
PO2 Dfinir l'architecture de l'information (suite)
58
PO2.2 Dictionnaire et rgles de syntaxe des donnes de Comprhension commune des donnes mtiers Intgrit des informations compromise
l'entreprise dans l'ensemble de l'entreprise Donnes incompatibles et incohrentes
Maintenir oprationnel un dictionnaire des donnes qui utilise les Partage des donnes facilit entre les applications, Contrles applicatifs inefficaces
rgles de syntaxe des donnes de l'entreprise. Ce dictionnaire doit systmes et entits
faciliter le partage d'lments de donnes par les applications et les
Rduction des cots de dveloppement et de
systmes, favoriser la comprhension commune des donnes entre
l'informatique et les utilisateurs mtiers et viter la cration maintenance des applications
d'lments de donnes incompatibles. Amlioration de l'intgrit des donnes
PO2.3 Systme de classification des donnes Garantie de la disponibilit des informations qui Exigences de scurit inappropries
tablir un systme de classification bas sur les dimensions critiques favorisent la prise de dcision Investissements inadapts ou excessifs en
et sensibles des donnes (par ex. publiques, confidentielles, secrtes) Importance des investissements dans le domaine matire de contrles de scurit
qui s'applique toute l'entreprise. Ce systme comprend les dtails de la scurit, en fonction de la criticit Incidents lis au respect de la vie prive et la
sur la proprit des donnes, la dfinition des niveaux de scurit et
Responsabilits dfinies en matire d'intgrit, de confidentialit, l'intgrit et la disponibilit
des contrles de protection appropris, une brve description des
rgles de conservation et de destruction des donnes, et de leurs disponibilit et de scurit des informations des donnes
dimensions critiques et sensibles. Il doit tre utilis comme base pour Accs aux donnes autoris de faon cohrente en Non-respect des exigences des tiers ou de la
les contrles, comme les contrles d'accs, d'archivage ou de fonction des niveaux de scurit dfinis rglementation
cryptage. Informations inefficaces ou incohrentes pour la
prise de dcision
Examiner le schma de classification des donnes et vrifier si tous les composants importants sont pris en compte et complets. S'assurer que le systme est raisonnable en comparant le
cot et les risques. Ce schma inclut la proprit des donnes par les responsables mtiers et la dfinition de mesures de scurit adaptes associes des niveaux de classification.
S'assurer que les classifications de scurit ont t rgulirement remises en cause et confirmes auprs des responsables mtiers.
PO2.4 Gestion de l'intgrit Cohrence de l'intgrit des donnes travers Erreurs et incidents lis l'intgrit des donnes
Dfinir et mettre en place des procdures qui assurent l'intgrit et la toutes les donnes stockes Manque de fiabilit des donnes sur lesquelles
cohrence de toutes les donnes conserves sous forme lectronique, Amlioration de l'intgrit des donnes sont bases les dcisions de l'entreprise
comme les bases de donnes, les entrepts de donnes et les archives Non-conformit aux exigences des tiers ou de la
de donnes.
rglementation
Manque de fiabilit des rapports externes
Vrifier et confirmer que les critres d'intgrit et de cohrence de toutes les informations sont dfinis en collaboration avec les responsables mtiers.
Vrifier et confirmer que des procdures sont mises en uvre pour grer et maintenir l'intgrit et la cohrence des donnes d'un bout l'autre du cycle de vie et de traitement complet
des donnes.
Vrifier et confirmer qu'un programme de qualit des donnes a t mis en place pour valider et garantir rgulirement la cohrence et l'intgrit des donnes.
ANNEXE II
59
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
Evaluer le rsultat des objectifs de contrle :
Examiner la documentation relative au modle d'architecture de l'information pour dterminer si elle porte sur toutes les applications
importantes et sur leurs interfaces et relations.
Examiner la documentation sur l'architecture de l'information pour s'assurer de sa cohrence avec la stratgie de l'entreprise et avec les
plans informatiques stratgiques et tactiques.
S'assurer que les modifications apportes au modle d'architecture de l'information refltent celles des plans informatiques stratgiques et
tactiques et que les cots et risques connexes sont identifis.
Vrifier et confirmer que les composantes importantes du modle d'architecture de l'information (ex : proprit des donnes, responsabilit,
gouvernance des donnes) sont comprises par le management de l'entreprise et le service informatique.
Vrifier et confirmer que le modle d'architecture de l'information fait rgulirement l'objet de contrles en termes d'adquation, de
flexibilit, d'intgrit et de scurit et qu'il est frquemment pass en revue par les utilisateurs (ex : impact des modifications du systme
d'information).
Vrifier et confirmer l'existence de contrles d'administration des donnes et coordonner les dfinitions et l'utilisation de donnes fiables et
pertinentes, conformes au modle d'information de l'entreprise.
Examiner le dictionnaire de donnes et s'assurer que tous les lments de donnes importants sont correctement dcrits, conformment au
processus dfini.
Vrifier les rgles de syntaxe des donnes, les rgles de validation des donnes et les rgles de l'entreprise, conformment au processus
dfini.
Vrifier et confirmer que les mtadonnes des dictionnaires de donnes sont suffisamment dtailles pour communiquer la syntaxe de faon
intgre travers les applications et qu'elles incluent des attributs de donnes et des niveaux de scurit pour chaque donne.
Vrifier et confirmer que la gestion du dictionnaire de donnes est mise en uvre, tenue jour et contrle rgulirement dans le but de
grer le dictionnaire de donnes et les rgles de syntaxe des donnes de l'entreprise.
S'assurer que le systme porte sur tous les lments de donnes pertinents en comparant une liste des donnes avec la mise en uvre relle
dans l'outil.
Vrifier et confirmer qu'un programme de qualit des donnes a t mis en place pour accrotre l'intgrit des donnes, la normalisation, la
cohrence, le stockage et la saisie unique des donnes (ex : utiliser, si possible, la collecte automatise des donnes disponibles afin de
tester l'intgrit des donnes, la normalisation, la cohrence, le stockage et la saisie unique des donnes partir d'chantillons de donnes,
de modules d'audit intgrs, d'analyses de donnes l'aide de logiciels d'audit ou d'autres outils d'intgration). Utiliser des outils
automatiss (ex : techniques d'audit assistes par ordinateur) pour vrifier l'intgrit des donnes.
Vrifier et confirmer qu'un schma de classification des donnes est dfini et valid (ex : s'assurer que les niveaux de scurit, les niveaux
d'accs et les paramtres par dfaut sont appropris).
Vrifier et confirmer que les niveaux de classification des donnes sont dfinis en fonction des besoins de l'entreprise en matire de
protection des informations et de l'impact des informations non protges sur l'activit.
S'assurer que les responsables mtiers contrlent la classification relle des informations et qu'ils sont conscients de leurs rles,
responsabilits oprationnelles et responsabilits finales concernant les donnes.
Vrifier et confirmer que les composants hritent de la classification des ressources d'origine.
S'assurer que toutes les entorses la rgle d'hritage de classification des donnes ont t valides par le propritaire des donnes.
Vrifier et confirmer que les informations et les donnes (y compris les documents papier) sont tiquetes, prises en charge, protges et
scurises de manire cohrente par rapport aux catgories de classification des donnes.
Vrifier les informations prouvant que les critres obligatoires d'intgrit et de cohrence des donnes ont t dfinis et mis en uvre (ex :
les donnes stockes dans les bases de donnes et les entrepts de donnes sont cohrentes).
Vrifier et confirmer qu'un programme de qualit des donnes a t mis en place pour valider et garantir rgulirement la cohrence et
l'intgrit des donnes.
Le SI dtermine l'orientation technologique susceptible de favoriser l'activit de l'entreprise. Cela exige la cration et la maintenance d'un plan d'infrastructure technologique et d'un comit
architecture des SI qui fixe et gre les attentes clairement exprimes et ralistes de ce que la technologie peut offrir en termes de produits, services et mcanismes de livraison. Ce plan est
rgulirement actualis et comprend des aspects comme l'architecture des systmes, l'orientation technologique, les plans d'acquisition, les standards, les stratgies de migration et les
imprvus. Cela permet de ragir en temps utile aux modifications de l'environnement concurrentiel ; cela permet aussi des conomies d'chelle dans les effectifs et les investissements
informatiques ainsi qu'une meilleure interoprabilit des plates-formes et des applications.
PO3.1 Planification de l'orientation technologique Amlioration du recours aux technologies pour Acquisitions technologiques non conformes aux
Analyser les technologies existantes et mergentes et dcider quelle saisir des opportunits mtiers plans stratgiques
orientation technologique sera la plus favorable pour rpondre la Amlioration de l'intgration de l'infrastructure et Infrastructure informatique inadapte aux
stratgie informatique et pour l'architecture des systmes de des applications par le biais de normes dfinies exigences organisationnelles
l'entreprise. Dsigner galement dans le plan les technologies qui
pour l'orientation technique Non-respect de l'orientation technologique
permettront de crer des opportunits pour l'activit de l'entreprise.
Entre autres composantes de l'infrastructure, le plan doit prendre en Meilleure utilisation des ressources et des valide
compte l'architecture des systmes, l'orientation technologique, les comptences Augmentation des cots cause de plans
stratgies de migration et les imprvus. Rduction des cots lis aux acquisitions d'acquisition non coordonns et non structurs
technologiques via des plates-formes rduites et
des investissements progressivement grs
tudier la performance de l'analyse AFOM (Atouts Faiblesses Opportunits Menaces) pour garantir l'efficacit du processus (ex : contrle des mesures du processus et des modifications
apportes au processus suite une amlioration).
S'assurer, par le biais d'entretiens avec le Directeur informatique et d'autres membres de la direction gnrale, qu'une apptence pour le risque technologique approprie a t tablie en
fonction de la stratgie des mtiers.
ANNEXE II
61
PO3 Dterminer l'orientation technologique (suite)
62
S'assurer, auprs des principaux employs concerns, de la cration d'un plan d'infrastructure technologique bas sur les plans informatiques tactiques et stratgiques.
Examiner le plan pour s'assurer qu'il inclut des facteurs tels que des technologies intgres cohrentes, l'architecture systme de l'entreprise et les aspects d'urgence des composants
d'infrastructure, les frais de transition et autres cots, la complexit, les risques techniques, la valeur de flexibilit future, la prennit des produits/fournisseurs et les orientations
relatives l'acquisition d'actifs informatiques.
Interroger les principaux employs concerns et tudier le plan d'infrastructure technologique pour s'assurer que les modifications de l'environnement concurrentiel, les conomies
d'chelle dans les effectifs et les investissements informatiques et l'amlioration de l'interoprabilit des plates-formes et des applications ont t identifis.
PO3.3 Surveillance de l'volution des tendances et de la Meilleure connaissance des opportunits Non-respect des obligations lgales
rglementation technologiques et amlioration des services Efforts requis importants pour se mettre en
Mettre en place un processus pour surveiller les tendances de Meilleure connaissance des risques techniques et conformit cause de dcisions incorrectes ou
l'environnement mtiers, informatique, lgal et rglementaire. rglementaires trop tardives
Introduire les consquences de ces tendances dans le dveloppement
Amlioration de l'valuation des volutions Incompatibilits techniques ou problmes de
du plan d'infrastructure technologique des SI.
technologiques conformment au plan d'entreprise maintenance au sein de l'infrastructure
informatique
2008 AFAI. Tous droits rservs. www.afai.fr
Dterminer si les tendances et rglementations actuelles et futures sont surveilles, par qui et de quelle manire (ex : volutions technologiques, activits des concurrents, problmes
d'infrastructure, obligations lgales et volution de l'environnement rglementaire, experts externes) et si les risques connexes ou les opportunits de cration de valeur connexes font
l'objet d'valuations appropries.
Vrifier si les rsultats de cette surveillance sont rgulirement communiqus aux instances concernes (par exemple, le comit de pilotage informatique) et transmis aux processus de
planification informatique tactique et infrastructurelle pour prendre les mesures appropries.
PO3 Dterminer l'orientation technologique (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
PO3.4 Standards informatiques Intensification des contrles relatifs Incompatibilits entre les applications et les
Pour proposer des solutions informatiques efficaces et sres l'acquisition, au changement et l'limination des plates-formes technologiques
l'ensemble de l'entreprise, constituer un forum informatique pour actifs informatiques Non-respect de l'orientation technologique
donner des lignes directrices en technologie de l'information, des avis Acquisitions standardises tenant compte de valide
sur les produits d'infrastructure et des conseils sur le choix
l'orientation technologique, favorisant Violation des droits de licence
technologique, mesurer la conformit par rapport ces standards et
ces lignes directrices. Ce forum doit piloter les standards et les l'alignement et rduisant les risques Augmentation des frais d'assistance, de licence
pratiques informatiques en fonction de leur pertinence vis--vis de Systmes d'information volutifs rduisant les et de maintenance
l'activit de l'entreprise, des risques et de leur conformit aux cots de remplacement Impossibilit d'accder aux donnes historiques
exigences externes. Homognit des technologies d'un bout l'autre sur la technologie non prise en charge
de l'entreprise, afin d'amliorer l'efficacit et de
rduire les frais d'assistance, de licence et de
maintenance
PO3.5 Comit d'architecture technologique Accroissement des responsabilits oprationnelle Incompatibilits entre les applications et les
Crer un comit architecture des SI pour fournir les lignes directrices et finale pour les dcisions relatives plates-formes technologiques
de cette architecture et les conseils pour leur application, et pour en l'architecture Non-respect de l'orientation technologique
vrifier la conformit. Ce comit doit piloter la conception de Accroissement de l'harmonisation entre la valide
l'architecture des SI en s'assurant qu'elle favorise la stratgie de
stratgie mtiers et l'orientation technique des SI Acquisition et utilisation incontrles et possible
l'entreprise et qu'elle prend en compte les impratifs de conformit et
de continuit. Ce point est li PO2 "Dfinir l'architecture de Comprhension cohrente de l'architecture multiplication des actifs informatiques
l'information". technologique d'un bout l'autre de l'entreprise
Examiner les recommandations, plans, processus et comptes-rendus de runions du comit architecture. Vrifier s'ils fournissent des recommandations et des conseils en matire
ANNEXE II
d'architecture, conformes la stratgie mtiers et l'architecture d'information tablie.
Vrifier si le comit architecture a tenu compte de la conformit la rglementation et de la continuit des activits dans ses dcisions.
S'assurer que des mcanismes ont t mis en place pour garantir la dtection du non-respect des normes et recommandations du comit architecture dans le cadre du processus de gestion
de projets.
valuer le rle du comit architecture concernant l'application des mesures correctives requises dcoulant du non-respect des normes dans le cadre du processus de gestion de projets.
63
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
Evaluer le rsultat des objectifs de contrle :
tudier les rsultats de l'analyse AFOM (Atouts Faiblesses Opportunits Menaces) pour s'assurer que l'architecture des systmes de
l'entreprise, l'orientation technologique, les stratgies de migration et les aspects d'urgence font partie intgrante des plans d'infrastructure et
d'orientation technologique.
Examiner les documents concerns pour s'assurer que l'volution des marchs, les conditions lgales et rglementaires et les technologies
mergentes (ex : volutions technologiques, activits des concurrents, problmes d'infrastructure, obligations lgales et volution de
l'environnement rglementaire, experts externes) sont surveilles (ex : tudier les rsultats de l'activit de surveillance et vrifier les
mesures prises suite cette analyse).
Examiner le plan de stratgie informatique et d'infrastructure technologique des SI pour s'assurer qu'il est conforme aux dernires
volutions des SI qui sont susceptibles d'influer sur le succs de l'entreprise.
S'assurer auprs du responsable de l'architecture que des valuations de la situation actuelle par rapport l'infrastructure prvue sont en
cours. Examiner les actions correctives identifies et excutes et les comparer aux plans d'infrastructure technologique valids.
tudier le plan d'infrastructure technologique pour s'assurer que les modifications de l'environnement concurrentiel, les conomies d'chelle
dans les effectifs et les investissements informatiques et l'amlioration de l'interoprabilit des plates-formes et des applications ont t
identifis.
S'assurer que le budget allou la recherche technologique est utilis de faon efficiente et efficace (ex : nombre d'amliorations axes sur
la recherche, amlioration des services).
tudier les directives technologiques pour dterminer si elles apportent un soutien appropri aux solutions technologiques, si elles
reprsentent prcisment l'orientation technologique de l'entreprise et si elles fournissent des recommandations suffisantes pour un grand
nombre de problmes.
Vrifier et confirmer qu'un comit architecture SI a t mis en place et que les rles, responsabilits oprationnelles et responsabilits
finales ont t officiellement tablis.
S'assurer auprs des membres du comit architecture SI que des runions ont lieu rgulirement (ex : runions priodiques ou en fonction
d'vnements).
S'assurer que toutes les mesures adoptes lors des runions du comit architecture SI sont correctement enregistres et mises en uvre et
qu'elles font l'objet d'un suivi appropri.
Il faut dfinir une organisation du SI en prenant en compte les besoins en personnel et en comptences, en prvoyant les fonctions, les rles et les responsabilits, la supervision, l'autorit, et
en sachant qui rend des comptes qui. Cette organisation fait partie d'un cadre de rfrence de processus informatiques qui assure la transparence et le contrle ainsi que l'implication de la
direction gnrale et des directions mtiers. Un comit Stratgie doit assurer la supervision des SI pour le compte du Conseil d'administration (CA) et un ou plusieurs comits de pilotage
auxquels participent les directions mtiers et les responsables des SI doivent dterminer les priorits concernant les ressources informatiques en fonction des besoins du secteur mtier. Les
processus, les politiques et les procdures administratives doivent tre en place pour toutes les fonctions, en apportant une attention particulire au contrle, l'assurance qualit, la gestion
du risque, la proprit des donnes et des systmes et la sparation des tches. Pour assurer leur soutien aux exigences mtiers en temps voulu, les responsables des SI doivent tre
impliqus dans les processus de dcisions en cause.
PO4.1 Cadre de rfrence des processus Mthode cohrente utilise pour dfinir les Cadre de rfrence non accept par l'entreprise et
Dfinir un cadre de rfrence des processus informatiques pour processus informatiques processus informatiques non lis aux exigences
mettre en uvre le plan informatique stratgique. Ce cadre dfinit la Organisation des activits cls au sein de mtiers
structure des processus informatiques et leurs liens (ex : grer les processus logiques et interdpendants Cadre de rfrence des processus informatiques
lacunes et les recouvrements entre processus), la proprit, la
Dfinition claire de la proprit et des incomplet
maturit, la mesure de la performance, l'amlioration, la conformit,
les objectifs qualit et les plans pour les faire aboutir. Il doit organiser responsabilits concernant les processus et les Conflits et interdpendances peu videntes entre
l'intgration des processus spcifiques aux SI, la gestion du activits cls les processus
portefeuille de l'entreprise, les processus mtiers et les processus de Excution fiable et reproductible des activits cls Chevauchements entre les activits
modification de l'activit de l'entreprise. Le cadre de rfrence des Processus informatiques flexibles et ractifs Organisation informatique rigide
processus informatiques doit tre intgr un systme de gestion de Disparits entre les processus
la qualit et au cadre de contrle interne. Duplication de processus
Vrifier et confirmer :
que les processus informatiques ncessaires la ralisation du plan informatique stratgique ont t identifis et communiqus
qu'un cadre de rfrence favorisant la dfinition et le suivi des objectifs, des mesures, des contrles et de la maturit des processus a t dfini et mis en uvre
que les relations et points de contact (ex : entres/sorties et entre les processus informatiques, gestion du portefeuille de l'entreprise et processus mtiers) ont t dfinis.
ANNEXE II
65
PO4 Dfinir les processus, l'organisation et les relations de travail (suite)
66
PO4.2 Comit stratgique informatique Soutien du conseil dadministration SI pas assez reprsents dans l'ordre du jour du
Mettre en place un Comit stratgique informatique au niveau du Le conseil bnficie d'informations sur la valeur et conseil dadministration
conseil d'administration. Ce comit doit s'assurer que la gouvernance les risques des SI Valeur et risques associs aux SI inconnus au
des SI, lment de la gouvernance d'entreprise, est saisie des Dcisions plus rapides vis--vis des niveau du conseil
questions qui la concerne, donne des avis sur les orientations
investissements importants Dcisions relatives aux investissements et aux
stratgiques et passe en revue les investissements majeurs pour le
compte du conseil d'administration. Responsabilits oprationnelle et finale claires priorits non bases sur des priorits communes
concernant les dcisions stratgiques (mtiers et SI)
Gouvernance des SI intgre dans la gouvernance Gouvernance des SI spare de la gouvernance
d'entreprise d'entreprise
Fonction informatique bien gre SI non adapts aux exigences de gouvernance,
entranant des rpercussions potentielles sur la
responsabilit publique de la direction et du
conseil d'administration
PO4.3 Comit de pilotage informatique Stratgie informatique conforme la stratgie de Stratgie informatique non conforme la
Mettre en place un comit de pilotage informatique (ou quivalent), l'entreprise stratgie de l'entreprise
compos de membres de la direction gnrale, des directions mtiers Programmes d'investissements informatiques Programmes d'investissements informatiques ne
et de la direction informatique, pour : conformes la stratgie de l'entreprise favorisant pas la ralisation des buts et objectifs
dterminer les priorits des programmes d'investissements Participation des services mtiers et informatique de l'entreprise
informatiques en accord avec la stratgie et les priorits mtiers de
l'entreprise au processus de hirarchisation Soutien et participation insuffisants de la
assurer un suivi des projets et rsoudre les conflits de ressources Participation des services mtiers et informatique direction informatique et de la direction gnrale
surveiller les niveaux de service et l'amlioration des services. la rsolution des conflits dans les principaux processus dcisionnels
Participation des services mtiers et informatique
la surveillance des performances
Vrifier et confirmer que la charte, le champ d'application, les objectifs, la composition, les rles, les responsabilits, etc. du comit de pilotage informatique rsultent d'une application
approprie des orientations informatiques stratgiques de l'entreprise.
tudier les documents tels que les comptes-rendus de runions et la charte du comit de pilotage informatique pour identifier les membres du comit, leurs fonctions professionnelles
respectives et la relation hirarchique entre le comit et la direction gnrale (ex : dterminer la hirarchisation des programmes d'investissements informatiques, effectuer le suivi des
projets et surveiller les niveaux de service et l'amlioration des services).
Vrifier et confirmer auprs de les directions mtiers que les mtiers jouent un rle actif dans le travail du comit de pilotage des SI et que le management est consult de faon
approprie.
ANNEXE II
67
PO4 Dfinir les processus, l'organisation et les relations de travail (suite)
68
PO4.4 Position de la fonction informatique au sein de l'entreprise Ressources informatiques conformes aux priorits Participation insuffisante de la direction gnrale
Positionner la fonction informatique dans la structure globale de stratgiques de l'entreprise
l'entreprise selon un modle oprationnel li l'importance des Gestion efficace des SI favorisant la ralisation Ressources informatiques ne soutenant pas
technologies de l'information, en tenant compte de leur dimension des objectifs mtiers efficacement les mtiers
critique pour la stratgie mtiers et du niveau de dpendance du
Engagement de la direction gnrale dans la prise Insuffisance de l'importance stratgique donne
secteur oprationnel vis--vis d'elles. Le niveau hirarchique du
directeur informatique (DSI) est proportionnel l'importance des SI de dcision informatique au niveau appropri aux SI
dans l'entreprise. Harmonie mtiers/SI au niveau organisationnel SI considrs comme spars des mtiers et
vice-versa
Insuffisance des orientations mtiers et de la
communication des initiatives mtiers
PO4.5 Structure du service informatique Soutien efficient et efficace des mtiers Soutien insuffisant des mtiers
Mettre en place une structure interne et externe d'organisation de Besoins en personnel et stratgies d'achat en Besoins en personnel insuffisants
l'informatique qui reflte les exigences mtiers. En outre, mettre en faveur des objectifs mtiers stratgiques Stratgies d'achat inappropries
place un processus pour rviser priodiquement la structure Structure organisationnelle souple et ractive pour Rigidit des SI par rapport l'volution des
organisationnelle des SI de faon ajuster les besoins en personnel et
les SI besoins mtiers
les stratgies de recrutement pour faire face aux objectifs mtiers
2008 AFAI. Tous droits rservs. www.afai.fr
Vrifier et confirmer :
que des analyses priodiques sont effectues pour valuer l'impact des changements organisationnels sur l'ensemble de l'entreprise et sur la structure de la fonction informatique ;
que le service informatique dispose d'un systme de ressources flexible (ex : utilisation de sous-traitants externes et contrats de services tiers flexibles) pour faire face l'volution des
besoins mtiers.
PO4 Dfinir les processus, l'organisation et les relations de travail (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
PO4.6 tablissement des rles et responsabilits Performance individuelle efficace Non-respect de la rglementation
Dfinir et communiquer les rles et les responsabilits du personnel Activits affectes des postes spcifiques Divulgation d'informations
informatique et des utilisateurs finals, en diffrenciant l'autorit, la Recrutement efficace d'employs informatiques Recrutement d'employs ne travaillant pas
responsabilit oprationnelle et la responsabilit finale du personnel qualifis et expriments comme prvu
informatique et des utilisateurs finals afin de rpondre aux besoins de
Performance efficace du personnel Utilisation frauduleuse du systme
l'entreprise.
Service informatique non ractif
Vrifier et confirmer :
que chaque tche informatique a t officialise aprs examen de la documentation et aprs avoir dtermin si les descriptions des tches informatiques sont appropries et mises
jour selon les besoins
qu'un rle a t attribu au personnel informatique avec les tches informatiques correspondantes. S'assurer que le personnel comprend le rle et les tches qui lui ont t attribus et
que les tches sont menes bien
que des responsabilits oprationnelles et finales ont t affectes des rles. S'assurer, en vrifiant les descriptions de postes, les chartes, etc., que chaque rle dispose des
responsabilits oprationnelles et des responsabilits finales ncessaires pour remplir sa fonction
que le personnel informatique a t inform de son rle. Vrifier si les changements sont communiqus au personnel informatique et s'ils sont appliqus
que les responsables s'assurent rgulirement de l'exactitude des descriptions de postes. Examiner les descriptions de postes pour s'assurer qu'elles refltent avec prcision les rles
des membres de l'quipe
que les descriptions des rles prcisent les principaux buts et objectifs et incluent des mesures SMIRRO
que ces mesures SMIRRO sont utilises pour valuer les performances du personnel
que toutes les descriptions des rles dans l'entreprise incluent les responsabilits en matire de systmes d'information, de contrle interne et de scurit
que le management dispense rgulirement des formations au personnel concernant leurs rles. Interroger les membres du personnel pour dterminer si on leur a communiqu des
informations sur leur rle et s'ils les ont comprises.
Pour dterminer si des politiques et procdures sont fournies aux employs, au niveau du service et l'chelle de l'entreprise, consulter :
la dclaration annuelle indiquant que l'employ a pris connaissance du rglement
les registres des ressources humaines indiquant si l'employ a reu la documentation sur les rgles en vigueur lors de sa priode d'intgration
les registres de formation des employs.
ANNEXE II
69
PO4 Dfinir les processus, l'organisation et les relations de travail (suite)
70
PO4.7 Responsabilit de l'assurance qualit des SI L'assurance qualit fait partie intgrante des Dgts en termes d'image
Attribuer la responsabilit de la performance de la fonction assurance responsabilits des SI Risques non identifis relatifs la qualit,
qualit et doter la fonction assurance qualit des systmes d'assurance Processus conformes aux attentes de l'entreprise impactant l'activit globale
qualit, des comptences en contrle et en communication en matire de qualit Augmentation des cots et des retards en raison
appropris. La position au sein de l'entreprise, les responsabilits et la
Identification proactive des amliorations de contrles qualit insuffisants
dimension du groupe assurance qualit doivent rpondre aux besoins
de l'entreprise. apportes la fonctionnalit informatique et aux Assurance qualit exerce de faon incohrente
processus mtiers et inefficace
Identification proactive des problmes de qualit Manque d'uniformit de la qualit travers
et des risques mtiers l'entreprise
Rduction des performances de l'entreprise
PO4.8 Responsabilit des risques, de la scurit et de la Amlioration de la protection et de l'intgrit des Protection inadapte des actifs informatiques
conformit actifs informatiques Perte d'informations confidentielles
Situer la proprit et la responsabilit des risques lis aux SI dans Responsabilits du risque, de la scurit et de la Pertes financires
l'entreprise au niveau de management appropri. Dfinir et attribuer conformit intgres au niveau de la direction Manque d'implication de la part des dirigeants
les rles cruciaux de gestion des risques informatiques en y incluant
gnrale concernant la scurit dans l'ensemble de
les responsabilits spcifiques de la scurit de l'information, de la
scurit physique et de la conformit. Situer la responsabilit de la Soutien de la direction gnrale concernant les l'entreprise
gestion de la scurit au niveau gnral de l'entreprise de faon ce problmes de risque, de scurit et de conformit Risque de non-conformit
qu'elle soit concerne par les questions qui touchent l'ensemble de Mcanismes de scurit servant de contre-mesures Mauvaise comprhension de l'apptence pour le
l'entreprise. On peut avoir besoin d'attribuer des responsabilits efficientes et efficaces vis--vis des menaces risque informatique de l'entreprise
supplmentaires de gestion de la scurit certains niveaux des SI contre l'entreprise
pour faire face des problmes de scurit spcifiques. Obtenir des Identification proactive et rsolution des
orientations de la part du management sur l'apptence pour le risque problmes de risque, de scurit et de conformit
et sur l'approbation de tout risque informatique rsiduel.
Vrifier et confirmer :
que la direction gnrale a mis en place un service de scurit de l'information et de gestion des risques, dot du personnel appropri et couvrant l'ensemble de l'entreprise, responsable
de toute la scurit de l'information et de la gestion des risques. S'assurer, en interrogeant le personnel concern, que la ligne hirarchique du service de scurit de l'information et de
gestion des risques lui permet d'laborer, de mettre en uvre et, conjointement avec les cadres hirarchiques, de veiller efficacement au respect de la conformit vis--vis des
politiques, normes et procdures de scurit de l'information et de gestion des risques de l'entreprise
que les rles et responsabilits du service de scurit de l'information et de gestion des risques ont t officialiss et documents
que les responsabilits ont t attribues aux employs dots d'une exprience et de comptences appropries et, en matire de scurit de l'information, sous la direction d'un
responsable de la scurit de l'information
que les besoins en ressources en matire de gestion des risques et de scurit de l'information ont t rgulirement valus par le management pour s'assurer que les ressources
appropries sont fournies afin de rpondre aux besoins de l'entreprise
qu'un processus a t mis en place pour obtenir des recommandations de la direction gnrale concernant le profil de risque et l'acceptation de risques rsiduels importants. S'assurer
qu'il fonctionne correctement en examinant les situations rcentes.
ANNEXE II
71
PO4 Dfinir les processus, l'organisation et les relations de travail (suite)
72
PO4.9 Proprit des donnes et du systme Utilisateurs contrlant leurs donnes et leurs Donnes mtiers incorrectement scurises
Doter les mtiers de procdures et d'outils qui lui permettent de faire systmes Protection inapproprie des actifs informatiques
face leurs responsabilits de propritaires des donnes et des Responsabilit dfinie concernant la gestion des Exigences de protection des donnes mtiers non
systmes d'information. Les propritaires doivent prendre des mesures de scurit des donnes et systmes conformes aux exigences mtiers
dcisions concernant la classification de l'information et la protection
Processus efficace et opportun de gestion des Mesures de scurit inadaptes aux donnes et
de cette information en fonction de cette classification.
informations systmes
Rduction des pertes financires dues au vol Propritaires de processus mtiers ne prenant pas
d'actifs leurs responsabilits en matire de donnes
PO4.10 Supervision Excution efficace et efficiente des rles et Buts et objectifs de l'entreprise non raliss
Mettre en place des pratiques adquates de supervision dans la responsabilits du service informatique Problmes de renouvellement du personnel et de
fonction informatique pour s'assurer que les rles et les Contrles appropris appliqus aux fonctions performance non identifis et non rsolus
responsabilits sont bien exercs, pour valuer si le personnel informatiques Dysfonctionnement des processus informatiques
possde suffisamment d'autorit et de ressources pour accomplir ses
Identification rapide des problmes de et mtiers
tches et responsabilits et pour procder, de manire gnrale, la
rvision des indicateurs cls de performance. renouvellement du personnel Surveillance inapproprie des contrles et
Identification rapide des problmes de objectifs
performance Principaux rles et responsabilits non exercs
2008 AFAI. Tous droits rservs. www.afai.fr
S'assurer, par le biais d'entretiens, que des pratiques de supervision ont t mises en place, comprenant des recommandations et des formations en matire d'analyse des performances.
Examiner les archives pour valuer la frquence et l'ampleur des revues de dossiers et des valuations du personnel.
Dterminer si les revues sont associes un ensemble satisfaisant de critres et d'exigences de performance.
Vrifier et confirmer que les conclusions des revues de dossiers et des valuations du personnels font l'objet d'une remonte d'informations, d'une communication et d'un suivi
appropris.
PO4 Dfinir les processus, l'organisation et les relations de travail (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
PO4.11 Sparation des tches Fonctionnement efficace et efficient des processus Bouleversement inappropri des processus
Mettre en place une sparation des rles et des responsabilits qui et systmes mtiers critiques critiques
rduisent la probabilit qu'un seul individu puisse dtourner un Protection adapte des actifs informatiques Perte financire et dgts en termes d'image
processus critique. En outre, s'assurer que le personnel n'effectue que Rduction des risques de perte financire et de Vandalisme ou prjudices involontaires
les tches autorises relevant de sa fonction et de ses attributions.
dgts en termes d'image Non-conformit aux exigences externes de
sparation des systmes et processus mtiers
particulirement importants
Vrifier et confirmer que des normes ont t tablies pour appliquer et garantir la sparation approprie des tches et que ces normes sont rvises et modifies si ncessaire.
Dterminer si des normes ont t mises en place en matire d'affectation des rles et responsabilits.
Vrifier et confirmer qu'il existe un processus permettant d'identifier les postes et processus cls devant tre soumis une sparation des tches.
PO4.12 Recrutement informatique Capacit du personnel informatique rpondre Ressources en personnel informatique incapables
valuer rgulirement les besoins en personnel, ou l'occasion de aux besoins mtiers de rpondre aux besoins mtiers
changements majeurs au sein de l'entreprise, au niveau mtiers ou Contrle des cots Frais de personnel informatique interne et/ou
informatique pour s'assurer que le service informatique dispose de Taille approprie du service informatique externe excessifs
ressources suffisantes pour favoriser la ralisation des buts et
Comptences appropries au sein du service Ressources excessives ou insuffisantes au sein
objectifs de l'entreprise, de faon adquate et approprie.
informatique du service informatique
Manque de comptences adaptes au sein du
service informatique
ANNEXE II
73
PO4 Dfinir les processus, l'organisation et les relations de travail (suite)
74
PO4.13 Personnel informatique cl Personnel informatique cl suffisamment qualifi Comptences insuffisantes du personnel
Dfinir et identifier le personnel informatique cl (ex : personnel de Rduction de la dpendance vis--vis d'employs informatique cl
remplacement ou de secours) et viter de se fier un seul individu informatiques cls Recours des experts ne possdant des
pour raliser une tche professionnelle stratgique. Partage des connaissances connaissances que sur un seul sujet
Continuit des services informatiques Partage des connaissances ou plans d'volution
Fonctions informatiques stratgiques prises en de carrire inadapts
charge de faon fiable Tches et rles stratgiques non excuts
Plans d'volution de carrire
PO4.14 Procdures de gestion du personnel sous contrat Personnel sous contrat rpondant aux besoins de Dpendance accrue vis--vis d'individus cls
S'assurer que les consultants et autres personnes engages sous l'entreprise (sous contrat)
contrat qui sont en charge de la fonction informatique connaissent et Partage et conservation des connaissances au sein Disparits entre les attentes et le potentiel du
respectent les rgles de l'entreprise relatives la protection des actifs de l'entreprise personnel sous contrat
informatiques de l'entreprise, de faon ce que les termes des
Protection des actifs informatiques Travail ralis non conforme aux exigences
contrats passs avec eux soient respects.
Contrle des activits du personnel sous contrat mtiers
Pas d'acquisition de connaissances ou de
transfert de comptences de la part du personnel
sous contrat
Utilisation inapproprie et inefficace du
personnel sous contrat
Incapacit du personnel sous contrat respecter
2008 AFAI. Tous droits rservs. www.afai.fr
Inspecter les politiques et procdures dcrivant quand et comment tel ou tel type de tche peut tre externalis, et dterminer si elles sont appliques.
Inspecter les politiques et procdures concernant la responsabilit des sous-traitants en matire de scurit de l'information. Enquter pour dterminer si elles sont suivies (ex : vrifier si
les contrles des antcdents sont effectus, si les exigences de contrle d'accs logique et physique sont respectes, si l'identification personnelle est scurise et si les sous-traitants sont
informs que le management se rserve le droit de surveiller et d'inspecter l'utilisation de toutes le ressources informatiques, y compris la messagerie lectronique, les communications
vocales et tous les programmes et fichiers de donnes).
Examiner les politiques et procdures de slection des sous-traitants et vrifier si elles sont appliques.
PO4 Dfinir les processus, l'organisation et les relations de travail (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
PO4.15 Relations Efficacit de l'identification et de la rsolution des Accroissement du dcalage entre l'identification
Mettre en place et maintenir oprationnelle une structure de problmes et la rsolution des problmes
coordination, de communication et de liaison optimale entre la Harmonie entre les objectifs et approches et les Identification inapproprie des amliorations
fonction informatique et divers autres professionnels l'intrieur et mthodologies et objectifs mtiers Disparits entre les objectifs mtiers et les
l'extrieur de cette fonction, comme le conseil d'administration, la
Implication positive des parties prenantes politiques, recommandations et mthodologies
direction gnrale, les units oprationnelles, certains utilisateurs, les
fournisseurs, les responsables de la scurit, les responsables de la Proprit et responsabilit clairement dfinies en informatiques
gestion des risques, le groupe responsable de la conformit dans matire de gestion des relations
l'entreprise et les responsables chargs des prestations externes
(externalisation et sous-traitance).
Vrifier et confirmer qu'un processus d'identification des parties prenantes a t dfini et qu'un canal de communication et un plan de communication ont t tablis pour chacune d'entre
elles.
S'assurer, par le biais d'entretiens avec les principales parties prenantes, qu'elles sont satisfaites des communications des SI, que ces dernires sont efficaces et que la gestion des retours
d'informations des parties prenantes est approprie.
ANNEXE II
75
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
Evaluer le rsultat des objectifs de contrle :
Examiner le cadre de rfrence des processus informatiques et dterminer s'il soutient le plan informatique stratgique et s'intgre dans le
processus mtiers, les processus informatiques et la gestion du portefeuille de l'entreprise.
Vrifier, par le biais d'entretiens, si ce cadre de rfrence est communiqu, excut et compris par les mtiers et les SI.
Vrifier et confirmer que le cadre de rfrence des processus informatiques a t intgr au systme de gestion de la qualit et au cadre de
contrle interne.
Vrifier et confirmer que le champ d'application, la composition, les responsabilits, etc. du Comit stratgique informatique sont dfinis,
que le comit est compos de membres du conseil d'administration et de membres ne sigeant pas ce mme conseil, chacun tant dot
d'une expertise spcifique.
S'assurer, par le biais d'entretiens, de comptes-rendus de runions et de rapports soumis au Conseil d'administration, que le Comit
stratgique informatique relve directement du Conseil d'administration concernant les questions de gouvernance et de stratgie
informatique.
Vrifier et confirmer que lencadrement suprieur de la DSI a identifi les processus utiliss pour surveiller, mesurer et communiquer les
performances du service informatique.
Confirmer l'existence d'un comit de pilotage informatique reprsent au niveau de la direction, des principaux secteurs d'activit mtiers,
de l'informatique et des principaux secteurs de support aux mtiers.
Vrifier et confirmer que la documentation officielle sur le rle et l'autorit du comit de pilotage informatique inclut les principaux
commanditaires au niveau de la direction.
tudier les documents tels que les comptes-rendus de runions et la charte du comit de pilotage informatique pour identifier les membres
du comit, leurs fonctions professionnelles respectives et la relation hirarchique entre le comit et la direction gnrale.
Vrifier et confirmer que le service informatique est dirig par un DSI ou une fonction similaire et que le niveau hirarchique est
proportionnel l'importance des SI.
S'assurer, par le biais d'entretiens et d'analyses des organigrammes, qu'aucun groupe d'utilisateurs ou division ne peut exercer une influence
abusive sur la fonction informatique (ex : relation hirarchique de la fonction informatique et son indpendance vis--vis d'une division ou
d'une unit oprationnelle, identification du mode de financement des projets).
S'assurer, par le biais d'entretiens et d'un examen de la documentation, que la fonction informatique dispose des ressources et du
financement appropris pour prendre en charge les fonctions mtiers (ex : tude de l'tude de faisabilit, plan informatique stratgique et
tactique pour les besoins en ressources).
Vrifier et confirmer l'existence d'analyses priodiques de la structure organisationnelle des SI, dans le but de s'assurer qu'elles rpondent
aux besoins de l'entreprise.
S'assurer auprs du responsable de l'administration des SI qu'un accs aux ressources externes est mis disposition si ncessaire.
S'assurer, par le biais d'entretiens avec le personnel informatique, qu'une fonction a t attribue chacun avec des tches informatiques
correspondantes (ex : dterminer si le personnel comprend la fonction et les tches qui lui ont t attribues et vrifier si les tches sont
ralises).
Vrifier et confirmer que des responsabilits ont t attribues aux rles (ex : vrifier que chaque rle dispose des responsabilits
ncessaires pour assurer le rle).
Vrifier et confirmer que les descriptions des rles ont t cres et prciser l'autorit et les responsabilits.
Vrifier et confirmer l'existence d'une fonction d'assurance qualit.
Dterminer le rle des fonctions d'assurance qualit (ex : processus de surveillance garantissant le respect des politiques, normes et
procdures de l'entreprise en matire d'assurance qualit ; rle de centre d'expertise pour l'laboration de politiques, normes et procdures
d'assurance qualit).
Vrifier et confirmer que le service d'assurance qualit est pourvu du personnel appropri et comptent.
Vrifier et confirmer que les membres de la direction gnrale ont mis en place des fonctions de gestion des risques et de scurit de
l'information responsables de leurs domaines respectifs.
Vrifier et confirmer que la ligne hirarchique du service de scurit et de gestion des risques lui permet d'laborer, de mettre en uvre et,
conjointement avec les cadres suprieurs, de veiller efficacement au respect de la conformit vis--vis des politiques et procdures de
l'entreprise.
Vrifier et confirmer qu'un processus a t mis en place pour obtenir des recommandations de la direction gnrale concernant le niveau de
risque acceptable associ aux SI.
Vrifier et confirmer que les rles et responsabilits du service de scurit de l'information et de gestion des risques ont t officialiss et
documents et que les responsabilits ont t attribues de faon approprie. Examiner la documentation et dterminer si les personnes
concernes s'acquittent de leurs rles et responsabilits conformment cette documentation.
Vrifier et confirmer que les besoins en ressources sont rgulirement valus et qu'ils sont satisfaits. Dterminer si les niveaux de dotation
en personnel sont appropris, par rapport aux rsultats des valuations des besoins en ressources.
S'assurer, par le biais d'entretiens et d'un examen de la documentation, qu'un inventaire des actifs informatiques a t cr, fait l'objet d'un
suivi et est tenu jour.
S'assurer, par le biais d'entretiens, que les superviseurs sont dots des comptences requises pour exercer leurs fonctions de supervision
(exemple : suivi des tches critiques, indicateurs cls de performance, valuations des performances du personnel et valuation des risques).
Examiner la procdure de remonte des informations et s'assurer qu'elle a t mise en uvre et qu'elle est applique de faon cohrente
(ex : consignation, suivi et analyse rguliers des problmes).
Vrifier et confirmer, au cours d'tudes rgulires sur le personnel, que les techniques d'encadrement sont values et que les mesures
requises sont prises pour garantir les comptences.
Vrifier et confirmer l'existence d'un processus permettant d'identifier les fonctions incompatibles.
Vrifier et confirmer que des mesures ont t prises pour remdier aux fonctions incompatibles.
Vrifier et confirmer que des procdures dterminent comment maintenir une sparation des tches approprie lorsque le personnel habituel
n'est pas disponible.
PO5.1 Rfrentiel de gestion financire Comprhension de la valeur de l'apport des SI aux Priorits floues des projets informatiques
Mettre en place et maintenir oprationnel un rfrentiel financier pour mtiers, l'aide de critres d'investissement Processus inefficace pour la gestion financire
grer les investissements et les cots des services et actifs standardiss Budget informatique ne refltant pas les besoins
informatiques, par l'intermdiaire de portefeuilles d'investissements Priorits informatiques bases sur la contribution mtiers
informatiques, d'tudes de faisabilit et de budgets informatiques.
de la valeur des SI Faiblesse des contrles des budgets
Budgets clairs et approuvs informatiques
Amlioration de la capacit affecter les priorits Incapacit de la direction gnrale approuver
en fonction des tudes de faisabilit les budgets informatiques
Manque de soutien de la direction gnrale
Vrifier l'existence d'un rfrentiel de gestion financire, comprenant des processus et responsabilits, servant de base pour la gestion des cots, des bnfices et des budgets. Vrifier et
confirmer que les entres et sorties du rfrentiel financier ont t dfinies et que le management amliore rgulirement le rfrentiel en tenant compte des informations financires
disponibles.
Vrifier qu'un portefeuille des programmes d'investissement, de services et d'actifs informatiques a t cr et est tenu jour. Effectuer une analyse de haut niveau du portefeuille afin
d'en vrifier l'exhaustivit et l'harmonisation avec les plans informatiques tactiques et stratgiques.
Vrifier et confirmer l'existence d'un processus visant communiquer les aspects intressants du portefeuille en matire de cots et de bnfices, l'intention des processus appropris de
dfinition des priorits budgtaires (tudes de faisabilit), de gestion des cots et de gestion des bnfices.
S'assurer que les intrants (cots et bnfices) sont comparables et cohrents.
S'assurer que le budget informatique dfini inclut les projets, actifs et services.
2008 AFAI. Tous droits rservs. www.afai.fr
PO5 Grer les investissements informatiques (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
PO5.2 Dfinition des priorits dans le budget informatique Priorits refltant les objectifs informatiques et les Gestion inefficace des ressources
Mettre en place un processus de prise de dcision pour dfinir les exigences de l'entreprise et transparentes vis--vis Incapacit optimiser les buts et objectifs
priorits dans l'attribution des ressources informatiques pour de toutes les parties prenantes Confusion, dmotivation et perte de flexibilit en
l'exploitation, les projets et la maintenance, dans le but de maximiser Utilisation cible des ressources raison de priorits floues
la contribution des SI l'optimisation du retour sur investissement du
Prise de dcision approprie, quilibre entre le Budget informatique non conforme la stratgie
portefeuille de l'entreprise qui gre les programmes d'investissements
informatiques et des autres services et actifs informatiques. cot, l'amlioration continue, la qualit et la informatique et aux dcisions d'investissement
prparation l'avenir
Vrifier et confirmer la cration d'un processus et d'un comit dcisionnel pour l'tablissement des priorits en matire de ressources et d'initiatives informatiques. S'assurer que les
responsabilits du comit ont t dfinies relativement aux autres comits.
Vrifier et confirmer que toutes les initiatives informatiques sont hirarchises dans des portefeuilles bass sur les tudes de faisabilit et les plans tactiques et stratgiques.
tudier les budgets allous et les plafonds pour s'assurer de leur cohrence et de leur prcision.
S'assurer, en inspectant les comptes-rendus de runions, que les dcisions d'tablissement des priorits ont t communiques et vrifier, par le biais d'entretiens, si les dcisions sont
analyses par les parties prenantes au budget.
Vrifier et confirmer qu'il existe un processus permettant d'identifier, de communiquer et d'appliquer les dcisions budgtaires importantes qui ont des rpercussions sur l'tude de
faisabilit, le portefeuille ou les plans stratgiques.
S'assurer que le Comit stratgique informatique et le Comit de direction ont ratifi les modifications apportes au budget informatique global pour les lments ayant un impact ngatif
sur les plans tactiques ou stratgiques de l'entit et qu'ils ont propos des actions visant rsorber cet impact.
ANNEXE II
79
PO5 Grer les investissements informatiques (suite)
80
PO5.3 Processus de budgtisation informatique Un processus dcisionnel efficace pour la Conflits de ressources
tablir et mettre en place des pratiques destines prparer et grer prvision et l'attribution des budgets Affectation inapproprie des ressources
un budget qui reflte les priorits tablies par le portefeuille de Panel d'options de financement officiellement financires des activits informatiques
l'entreprise qui gre les programmes d'investissements informatiques, dfini pour les activits informatiques Ressources financires non conformes aux
et qui prend en compte les cots rcurrents de fonctionnement et de
Cots informatiques identifis et classs objectifs de l'entreprise
maintenance de l'infrastructure actuelle. Ces pratiques doivent
favoriser le dveloppement d'un budget global informatique ainsi que Responsabilit des dpenses bien tablie Manque d'autonomie, entranant une perte de
celui de budgets de programmes individuels, avec une attention flexibilit
particulire pour les composantes informatiques de ces programmes. Soutien insuffisant de la direction gnrale
Ces pratiques doivent prvoir des rvisions et des rajustements concernant le budget informatique
rguliers et l'approbation du budget global et des budgets des
programmes individuels.
PO5.4 Gestion des cots Identification prcise et opportune des carts Mauvais emploi des investissements
Mettre en place un processus de gestion des cots qui compare les budgtaires informatiques
cots rels aux dpenses budgtes. Les cots doivent tre suivis et Utilisation optimale et rentable des ressources Tarification inapproprie des services
communiqus dans un rapport. Lorsqu'il y a des carts, il faut les informatiques Contribution de la valeur des SI non transparente
mettre en vidence en temps voulu, valuer leurs consquences sur
Tarification cohrente des prestations de services
les programmes et, avec les responsables mtiers de ces programmes,
prendre des mesures pour y remdier ; si ncessaire, il faut aussi Contribution transparente de la valeur des SI
rvaluer l'tude de faisabilit du programme. Comprhension par les mtiers des cots et
bnfices rels des SI
ANNEXE II
81
PO5 Grer les investissements informatiques (suite)
82
PO5.5 Gestion des bnfices Identification prcise des fluctuations des Mauvais emploi des investissements
Mettre en place un processus de surveillance des bnfices offerts par bnfices pendant et aprs la mise en uvre informatiques
la fourniture et la gestion de capacits informatiques appropries. La Informations prcises pour les dcisions relatives Tarification inapproprie des services
contribution des SI aux mtiers, soit en tant que composante des au portefeuille (poursuite, ajustement ou retrait de Contribution de la valeur des SI non transparente
programmes d'investissements informatiques, soit en tant que soutien
programmes) Perception incorrecte de la contribution de la
oprationnel habituel, doit tre identifie, approuve, surveille et
faire l'objet de rapports. Il faut faire une analyse critique des rapports, Tarification approprie des prestations de services valeur des SI
et s'il est possible d'amliorer la contribution des SI, il faut dterminer Contribution transparente des SI aux mtiers
des actions entreprendre, et agir. Lorsque des changements dans la Comprhension par les mtiers des cots et
contribution des SI ont des consquences sur un programme ou bnfices rels des SI
lorsque ces consquences viennent de modifications d'autres projets,
l'tude de faisabilit du programme doit tre rvalue.
PO6.1 Politique informatique et environnement de contrle Environnement complet de contrle des SI Mauvaise communication propos de la mission
Dfinir les lments d'un environnement de contrle des SI en ligne Ensemble complet de rgles informatiques de l'entreprise
avec la philosophie de management et le style de fonctionnement de Plus grande sensibilisation la mission de Mauvaise interprtation de la philosophie de
l'entreprise. Parmi ces lments figurent les attentes/exigences l'entreprise management
d'apport de valeur des investissements informatiques, l'apptence
Utilisation approprie des applications et services Actions non conformes aux objectifs mtiers de
pour le risque, l'intgrit, les valeurs thiques, la comptence du
personnel, les responsabilits oprationnelles et finales. informatiques l'entreprise
L'environnement de contrle doit tre bas sur une culture dont les Environnement de contrle des SI non
principes sont l'apport de valeur tout en grant les risques transparent
significatifs, l'encouragement la coopration entre services et au Problmes de conformit et de scurit
travail d'quipe, la promotion de la conformit et de l'amlioration
permanente des processus, et la bonne prise en main des anomalies de
fonctionnement (ou des checs) des processus.
Vrifier et confirmer l'existence d'une communication officielle de la direction le point de vue d'en haut (ex : page intranet ou newsletter du DSI, e-mails priodiques, vision
informatique ou principes directeurs) conue pour dfinir et grer l'environnement de contrle et de risque informatique et pour garantir son harmonisation avec l'environnement de
contrle et de risque gnral de l'entreprise.
Dterminer si la responsabilit oprationnelle et la responsabilit finale ont t attribues des individus concernant l'tablissement et le renforcement de la communication de la culture
de contrle.
Confirmer l'existence de rgles et de pratiques soutenant l'environnement de contrle (ex : rgles d'utilisation acceptable, contrle des antcdents).
Rechercher les preuves d'actions rgulires de sensibilisation et de formation ces rgles et pratiques.
Dterminer s'il existe un processus permettant de rvaluer rgulirement (au moins une fois par an) l'adquation de l'environnement de contrle et de l'apptence pour le risque pour
s'assurer qu'ils sont conformes aux nouvelles ralits de l'entreprise.
Vrifier et confirmer que les politiques de ressources humaines (ex : contrle des antcdents sur les candidats un emploi, formation et sensibilisation pour les nouvelles recrues, code
de conduite sign, consquences appropries d'un comportement contraire l'thique) soutiennent l'environnement de contrle des SI.
2008 AFAI. Tous droits rservs. www.afai.fr
PO6 Faire connatre les buts et orientations du management (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
PO6.2 Cadre de rfrence des contrles et risques informatiques Cadre de rfrence complet des contrles et Divulgation d'informations confidentielles de
Dvelopper et maintenir jour un cadre de rfrence qui dfinit risques informatiques l'entreprise
l'approche globale de l'entreprise vis--vis des risques et des contrles Comprhension et sensibilisation aux contrles et Irrgularits non identifies
informatiques et qui est conforme l'environnement de contrle et de risques informatiques Pertes financires
politique des SI, ainsi qu'au cadre de rfrence des contrles et
Rduction de l'impact mtiers ngatif lorsque des Problmes de conformit et de scurit
risques de l'entreprise.
problmes prvus et imprvus surviennent
Vrifier et confirmer l'existence d'un cadre de rfrence officiel des risques et contrles informatiques, bas sur les meilleures pratiques et normes du secteur admises (ex : COSO,
COSO-ERM, COBIT).
Dterminer si ce cadre de rfrence des risques et contrles informatiques est conforme au cadre de rfrence des risques et contrles d'entreprise de lorganisation et s'il tient compte du
niveau de tolrance aux risques de l'entreprise.
Vrifier et confirmer que le cadre de rfrence des risques et contrles informatiques prcise son champ d'application et sa finalit et qu'il dcrit les attentes du management concernant
les lments contrler.
Vrifier et confirmer que la structure du cadre de rfrence des risques et contrles informatiques est bien dfinie et que les responsabilits ont t clairement tablies et attribues aux
personnes comptentes.
Vrifier et confirmer qu'un processus a t mis en place pour tudier rgulirement (de prfrence une fois par an) le cadre de rfrence des risques et contrles informatiques afin de
garantir son efficacit et sa pertinence.
PO6.3 Gestion des politiques informatiques Politiques et procdures adaptes l'entreprise Accroissement du nombre et de l'impact des
Dvelopper et tenir jour un ensemble de politiques l'appui de la Qualit au sein de l'entreprise failles de scurit
stratgie SI. Ces politiques doivent prciser leurs objectifs, comporter Utilisation approprie des applications et services Politiques inconnues ou rejetes
des rles et responsabilits, des processus de gestion des exceptions, informatiques Mauvaise comprhension des objectifs et
une approche conformit et des rfrences aux procdures, aux
Transparence et comprhension des cots, des orientations de la direction
standards et aux lignes directrices. Leur pertinence doit tre
rgulirement confirme et approuve. bnfices, de la stratgie et des niveaux de Politiques obsoltes ou incompltes
scurit des SI Mdiocrit de la culture scuritaire de
l'entreprise
Manque de transparence
ANNEXE II
Vrifier et confirmer l'existence de politiques spcifiques portant sur des questions essentielles comme la qualit, la scurit, la confidentialit, les contrles internes, l'thique et les
droits de proprit intellectuelle.
Vrifier et confirmer qu'un processus de mise jour des politiques a t dfini et qu'il requiert, au minimum, une rvision annuelle.
Vrifier et confirmer que des procdures ont t mises en place pour assurer le suivi de la conformit et dfinir les consquences de la non-conformit.
Vrifier et confirmer que les responsabilits ont t dfinies et documentes concernant la formulation, l'laboration, la documentation, la ratification, la diffusion et le contrle des
politiques pour s'assurer que tous les lments du processus de gestion des politiques ont t affects des personnes responsables.
85
PO6 Faire connatre les buts et orientations du management (suite)
86
PO6.4 Dploiement des politiques, standards et procdures Protection approprie des actifs de l'entreprise Politiques, standards et procdures de l'entreprise
Prsenter les politiques informatiques tous les employs concerns Dcisions conformes aux objectifs mtiers de inconnus ou rejets
et veiller leur application, pour qu'elles fassent partie intgrante du l'entreprise Manque de communication vis--vis des
fonctionnement de l'entreprise. Gestion efficace des actifs de l'entreprise objectifs et orientations du management
Utilisation approprie des ressources Culture de contrle non conforme aux objectifs
informatiques et des services informatiques du management
Politiques mal comprises ou rejetes
Risque mtiers li au non-respect des politiques
et procdures
Vrifier et confirmer qu'un processus a t mis en place pour traduire les politiques et standards informatiques en procdures oprationnelles.
Vrifier et confirmer que les contrats de travail et les mcanismes d'encouragement sont aligns sur les politiques.
Vrifier et confirmer qu'un processus a t mis en place pour demander aux utilisateurs de confirmer explicitement qu'ils ont t informs des politiques, standards et procdures
informatiques qui les concernent, qu'ils les ont compris et accepts. Cette confirmation doit tre rpte rgulirement (par exemple, une fois par semestre).
Vrifier si des ressources suffisantes et comptentes sont disponibles pour soutenir le dploiement des politiques.
PO6.5 Communication des objectifs et des orientations Communication claire de la philosophie de Non-ralisation des objectifs informatiques
informatiques management Acceptation ou comprhension trs limite de la
S'assurer que les parties prenantes et les utilisateurs concerns Plus grande sensibilisation la mission de politique de l'entreprise
comprennent les objectifs et les orientations informatiques et mtiers l'entreprise Menaces pour l'entreprise non identifies en
dans l'ensemble de l'entreprise.
Comprhension et sensibilisation aux risques, la temps opportun
scurit, aux objectifs, etc. au sein de l'entreprise Mauvaise comprhension des objectifs et
Dcisions conformes aux objectifs mtiers de orientations du management
l'entreprise Manque de confiance dans la mission des SI
2008 AFAI. Tous droits rservs. www.afai.fr
Vrifier et confirmer l'existence de processus de gestion visant communiquer rgulirement les objectifs et l'orientation informatiques.
Vrifier, auprs d'un chantillon reprsentatif du personnel diffrents niveaux, que les objectifs informatiques ont t clairement communiqus et compris.
tudier les communications prcdentes et vrifier si elles portaient sur la mission, les objectifs de fourniture de services, la scurit, les contrles internes, la qualit, le code de
conduite/thique, les politiques et les procdures, etc.
ANNEXE II
Evaluer le rsultat des objectifs de contrle :
valuer la frquence, le format et le contenu des messages communiqus par la direction (le point de vue den haut) pour dterminer s'ils
permettent de dfinir et de renforcer efficacement la culture du contrle, l'apptence pour le risque, l'thique, le code de conduite et
l'exigence d'intgrit du management.
Rechercher les preuves d'actions rgulires de sensibilisation et de formation aux rgles et pratiques qui concernent la prise en charge de
l'environnement de contrle (ex : code de conduite annuel ou formation annuelle l'thique, validation priodique des rgles d'utilisation
acceptable). valuer la comprhension, par les employs, de la philosophie de la direction informatique et de l'apptence pour le risque,
afin de dterminer dans quelle mesure elles sont conformes au management. Dterminer, par le biais de questionnements et d'observations,
si les risques cls et les exigences rglementaires qui ont un impact sur l'environnement de contrle informatique sont gnralement
compris ou si l'importance de respecter les rgles et procdures informatiques est gnralement comprise.
Dterminer si un cadre de rfrence des contrles et risques informatiques permet de dfinir l'approche globale de l'entreprise vis--vis des
risques et des contrles informatiques et s'il met en conformit l'environnement de contrle et de politique des SI et le cadre de rfrence
des contrles et risques de l'entreprise.
Dterminer si les responsabilits associes la mise en uvre et la gestion du cadre de rfrence des contrles et risques informatiques
sont assumes de faon approprie par les personnes comptentes. tudier les risques et contrles dfinis pour dterminer s'ils sont mme
de contrler la confidentialit, l'intgrit et la disponibilit des systmes d'information et des rseaux.
tudier les politiques informatiques pour connatre la frquence des mises jour et pour dterminer si une rvaluation a lieu au moins une
fois par an. Effectuer les modifications et les ajustements ncessaires et dterminer si les politiques informatiques actualises sont
communiques de faon approprie dans l'ensemble de l'entreprise.
S'assurer, par le biais d'entretiens, que les ressources ont t affectes aux personnes qui s'acquittent des rles et responsabilits relatifs la
formulation, l'laboration, la documentation, la ratification, la diffusion et le contrle des politiques informatiques.
S'assurer que des ressources suffisantes et comptentes ont t affectes pour prendre en charge le processus de dploiement, comprenant la
surveillance et la mise en pratique de la conformit. Examiner et vrifier, par le biais d'entretiens, que les procdures oprationnelles qui
soutiennent les standards et politiques informatiques ont t communiques, comprises et acceptes par le personnel concern.
tudier la documentation de validation et d'acceptation des rgles informatiques pour un chantillon d'employs afin de s'assurer qu'elle est
gre de faon cohrente et actualise rgulirement.
Vrifier les informations prouvant qu'une action de communication est mise en place pour articuler les objectifs informatiques et pour
s'assurer que le soutien de la direction est visible.
Vrifier et confirmer que le processus de communication est dot des ressources et comptences ncessaires pour garantir son efficacit.
PO7.1 Recrutement et fidlisation du personnel Comptences informatiques optimises et Services informatiques pour les processus
S'assurer que les processus de recrutement du personnel informatique conformes aux objectifs de l'entreprise mtiers stratgiques non pris en charge de faon
sont en ligne avec les politiques et les procdures globales de Amlioration du recrutement et de la fidlisation approprie
l'entreprise (ex : embauche, environnement de travail favorable, des comptences informatiques adaptes pour Solutions informatiques inefficaces
orientation). Mettre en place des processus pour s'assurer que le
rpondre aux futures exigences mtiers Manque de comptences informatiques
personnel informatique est dploy comme il convient dans
l'entreprise et qu'il a les comptences ncessaires pour permettre appropries car la gestion des ressources
l'entreprise d'atteindre ses objectifs. humaines informatiques n'est pas adapte aux
conditions du march
PO7.2 Comptences du personnel Employs dots d'une exprience et de Personnel informatique ne disposant pas des
Vrifier rgulirement que le personnel a les comptences ncessaires comptences appropries pour les tches qui leur comptences requises par les exigences mtiers
pour remplir son rle en fonction de son instruction, formation et/ou sont confies stratgiques
exprience. Dfinir les besoins en comptences informatiques Amlioration de la formation continue, de la Personnel informatique du de son volution
fondamentales et vrifier qu'ils sont satisfaits en utilisant des
2008 AFAI. Tous droits rservs. www.afai.fr
tudier un chantillon de descriptions de postes pour obtenir une description complte et approprie des comptences et qualifications requises.
S'assurer de l'existence de processus excuts rgulirement pour rviser et actualiser les descriptions de postes.
Vrifier et confirmer que le management a identifi les besoins en comptences, comprenant les exigences spcifiques en matire d'tudes suivies, de formations croises et de
certification, pour rpondre aux besoins spcifiques de l'entreprise.
PO7 Grer les ressources humaines de l'informatique (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
PO7.3 Affectation des rles Communication et respect des politiques, des Actions et dcisions inappropries en raison d'un
Dfinir, surveiller et superviser des rfrentiels pour les rles, les pratiques et de l'thique de l'entreprise cadre d'orientation mal dfini
responsabilits et la rmunration du personnel, en incluant Responsabilits oprationnelles et responsabilits Augmentation du nombre d'erreurs et d'incidents
l'obligation d'adhrer aux procdures et politiques de l'entreprise, finales clairement dfinies pour les fonctions cls en raison d'une supervision insuffisante
son code d'thique et ses pratiques professionnelles. Le niveau de
Amlioration de l'harmonisation entre l'apport du Insatisfaction du personnel en raison d'une
supervision doit tre fonction de l'importance du poste et de l'tendue
des responsabilits attribues. personnel et les objectifs mtiers supervision et d'une gestion mdiocres
Examiner le processus d'valuation de l'efficacit de la formation pour s'assurer que les exigences stratgiques en termes de sensibilisation et de formation sont prises en compte.
Inspecter le contenu des programmes de formation pour vrifier s'ils sont complets et adapts. Inspecter les mcanismes de diffusion pour dterminer si les informations sont transmises
tous les utilisateurs de ressources informatiques, y compris les consultants, les sous-traitants, les employs temporaires et, le cas chant, les clients et fournisseurs.
ANNEXE II
Inspecter le contenu des programmes de formation pour dterminer si tous les cadres de contrle interne et les exigences de scurit sont pris en compte, en fonction des contrles
internes et des politiques de scurit de l'entreprise (ex : impact du non-respect des exigences de scurit, utilisation adquate des ressources et infrastructures de l'entreprise, gestion des
incidents, responsabilit des employs en matire de scurit de l'information).
Vrifier et confirmer que les programmes et supports de formation sont rgulirement examins pour s'assurer de leur bien-fond.
tudier la politique de dtermination des besoins de formation. S'assurer que cette politique garantit que les besoins stratgiques de l'entreprise sont rpercuts dans les programmes de
formation et de sensibilisation.
89
PO7 Grer les ressources humaines de l'informatique (suite)
90
PO7.5 Dpendance l'gard d'individus Activits informatiques stratgiques bnficiant Accroissement du nombre d'incidents et de leur
Dpendre le moins possible d'individus cls dans les secteurs d'un appui appropri et atteignant impact en raison de l'indisponibilit des
essentiels grce l'acquisition de connaissances (documentation), au systmatiquement leurs objectifs comptences indispensables pour excuter un
partage des connaissances, aux plans d'volution de carrire et aux Plan de secours mis en place en cas rle stratgique
personnels de remplacement.
d'indisponibilit du personnel cl Insatisfaction du personnel en raison de l'absence
Rduction du risque d'incidents par le personnel de plans d'volution de carrire et d'opportunits
informatique interne de promotions
Incapacit excuter les activits informatiques
stratgiques
Inspecter la documentation sur les employs occupant des fonctions cls, pour dterminer si l'on se fie certains individus pour mettre en uvre les processus stratgiques au sein du
service informatique.
Vrifier si les programmes de formation comportent des techniques permettant de minimiser les risques de dpendance excessive l'gard de ressources cls. Les programmes doivent
inclure des actions de formation croise, de la documentation sur les tches cls, la rotation des postes, le partage des connaissances et les plans d'volution de carrire pour les rles
stratgiques au sein de l'entreprise.
PO7.6 Procdures de scurit concernant le personnel Recrutement du personnel adapt Risque accru de menaces apparaissant au sein
Inclure des vrifications d'antcdents dans le processus de Prvention proactive concernant la divulgation des mme du service informatique
recrutement du personnel informatique. L'tendue et la frquence de informations et les normes de confidentialit Divulgation d'informations sur les clients ou
ces vrifications dpendent du niveau de criticit et/ou de sensibilit l'entreprise ou vulnrabilit accrue des actifs de
de la fonction et doivent s'appliquer aux employs, aux sous-traitants
l'entreprise
et aux fournisseurs.
Examiner les critres de slection relatifs la performance des vrifications d'antcdents et contrles de scurit.
S'assurer de la dfinition approprie des rles stratgiques, pour lesquels des contrles de scurit sont requis. Cela doit s'appliquer aux employs, sous-traitants et fournisseurs.
Vrifier et confirmer que les processus de recrutement incluent des vrifications des antcdents et des contrles de scurit. Examiner les documents de recrutement d'un chantillon
reprsentatif des employs informatiques pour dterminer si des contrles des antcdents ont t raliss et valus.
PO7 Grer les ressources humaines de l'informatique (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
PO7.7 valuation des performances Amlioration des performances individuelles et Impossibilit d'identifier les activits inefficaces
Exiger des valuations appropries et rgulires par rapport des collectives et de la participation aux objectifs de Programme de formation inefficace
objectifs individuels tablis d'aprs les objectifs de l'entreprise, les l'entreprise Personnel insatisfait et mcontent, entranant des
standards en vigueur et les responsabilits spcifiques du poste. Les Amlioration de la satisfaction du personnel problmes de fidlisation et d'ventuels incidents
performances et le comportement des employs doivent tre
Amlioration des performances de management Dpart d'employs comptents et perte des
activement stimuls par l'accompagnement lorsque c'est appropri.
grce aux commentaires des employs et aux connaissances qu'ils avaient acquises propos de
processus d'valuation l'entreprise
Utilisation efficace du personnel informatique
PO7.8 Changements de postes et dparts Poursuite efficace et efficiente des activits Accs interdit lorsque les employs quittent
Agir avec dtermination en ce qui concerne les mouvements de stratgiques l'entreprise
personnels, en particulier les dparts. Il faut organiser le transfert des Amlioration de la fidlisation du personnel Absence d'une continuit harmonieuse des
connaissances, rattribuer les responsabilits et supprimer les droits Un environnement informatique plus scuris activits stratgiques
d'accs, de faon minimiser les risques et garantir la continuit de
grce une restriction d'accs approprie et
la fonction.
opportune
tudier et vrifier si les procdures de dpart dans le cadre d'une rsiliation volontaire du contrat de travail sont documentes et contiennent tous les lments obligatoires, tels que le
transfert des connaissances ncessaires, la scurisation en temps utile de l'accs logique et physique, la restitution des actifs de l'entreprise et la ralisation d'entretiens de dpart.
Vrifier si les procdures de changement de poste sont documentes et contiennent tous les lments requis pour minimiser la perturbation des processus mtiers. Il peut s'agir, par
exemple, d'un parrainage professionnel, d'une phase de passage de tmoin ou d'une formation officielle de prparation. tudier les procdures de changement de poste pour dterminer si
elles sont suivies systmatiquement.
ANNEXE II
Demander aux RH de fournir une liste des utilisateurs dont le contrat a t rsili ou qui ont t muts (au cours des 6 derniers mois ou de l'anne coule).
91
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
Evaluer le rsultat des objectifs de contrle :
Examiner le plan des RH SI pour s'assurer que les besoins des SI de l'entreprise sont dfinis. Ce plan doit s'appuyer sur les objectifs de l'entreprise
et il doit inclure des initiatives stratgiques, des exigences rglementaires applicables et les comptences informatiques associes requises.
S'assurer que les besoins actuels et futurs sont valus par rapport aux comptences actuellement disponibles et que les lacunes sont traduites en
plans d'action.
Examiner le plan de gestion des RH SI et dterminer s'il traite des pratiques de fidlisation au sein du service informatique, par exemple via
l'identification des comptences essentielles et rares, la prise en compte des valuations personnelles, la rmunration et les mesures incitatives, les
plans d'volution et les besoins de formation individuelle.
S'assurer que les descriptions de postes sont rgulirement rvises et qu'elles incluent l'ensemble des comptences et les qualifications du
personnel actuellement en poste. Comparer les comptences des employs en poste et les exigences des descriptions de postes. Examiner les plans
de formation professionnelle d'un chantillon d'employs pour dterminer si les plans de carrire sont adapts. Les plans de formation
professionnelle doivent inclure des incitations au perfectionnement des comptences, des possibilits de promotion et des mesures permettant de
rduire la dpendance vis--vis d'employs cls.
Examiner les descriptions de postes pour s'assurer que chacune d'entre elles est actualise et pertinente. Inclure le guide de l'employ ou les
contrats signs avec des tiers pour confirmer que les obligations des employs et du personnel externe sont clairement tablies et adaptes au rle
en question. Examiner la dclaration par laquelle l'employ accepte les conditions d'embauche, y compris sa responsabilit vis--vis de la scurit
de l'information, du contrle interne, du respect de la rglementation, de la protection des droits de proprit intellectuelle et la non divulgation des
informations confidentielles. Dterminer si le niveau de supervision appliqu aux fonctions haut risque est appropri. Examiner les procdures
qui rgissent les activits des fonctions haut risque pour dterminer si une autorisation du suprieur hirarchique est requise pour les dcisions
stratgiques et si elle a effectivement t donne.
Dterminer si une tude comparative approprie des activits de gestion des ressources humaines est effectue rgulirement par rapport des
entreprises similaires, des normes internationales appropries ou aux meilleures pratiques du secteur. Confirmer que le niveau de supervision est
adapt l'importance du poste et aux responsabilits attribues.
Sappuyer sur les contrles automatiques pour dtecter des modifications de droits d'utilisateurs privilgis.
S'assurer que le processus de formation du personnel est communiqu tous les nouveaux utilisateurs avant l'octroi d'un accs et une fois par an.
Dterminer si le contenu du programme de formation du personnel est complet et appropri (il doit porter, par exemple, sur l'enseignement des
exigences de l'entreprise en matire de contrle interne et de comportement thique).
Inspecter les mcanismes de diffusion pour dterminer si les informations sont transmises tous les utilisateurs de ressources informatiques, y
compris les consultants, les sous-traitants et les employs temporaires. Dans certains cas, elles doivent tre galement transmises aux clients et
fournisseurs.
S'assurer que le programme de formation du personnel inclut les processus de certification et de renouvellement de certification pour les rles
appropris.
Vrifier et confirmer que les programmes et supports de formation sont rgulirement examins pour s'assurer de leur bien-fond et incluent
l'impact sur toutes les comptences ncessaires.
Confirmer l'existence d'un processus permettant d'valuer l'excution et l'efficacit des exigences et des principaux programmes de sensibilisation
et de formation des employs.
Examiner les stratgies documentes visant rduire la dpendance vis--vis de certaines personnes pour les postes cls. Vrifier la prise en
compte de la sparation des tches. Examiner le processus visant identifier les postes adapts la rotation et confirmer l'existence d'une rotation.
Interroger les employs pour dterminer si le partage des connaissances existe.
Examiner les informations compiles d'valuation des performances pour dterminer si elles ont t compiles de faon prcise et complte.
S'assurer que ces informations sont utilises de faon approprie. Demander aux employs si le management fournit des informations appropries
sur les performances pendant et aprs l'valuation des performances. S'assurer que les performances sont values par rapport aux critres de
performance et aux objectifs de chaque personne, tablis pour le poste. Dterminer si le processus d'valuation des performances est appliqu de
faon cohrente et respecte les objectifs de performance et les politiques de l'entreprise.
tudier les processus et procdures de dpart pour s'assurer de leur application homogne dans l'ensemble de l'entreprise.
Vrifier le bien-fond des droits d'accs (accs logique et physique) concernant les changements de poste. Dterminer les effets sur la sparation
des tches et les contrles compensatoires si d'anciennes autorisations d'accs sont conserves pendant une priode de transition.
S'assurer que les comptes des employs ayant quitt l'entreprise ont t dsactivs et qu'un accs appropri a t accord aux utilisateurs muts.
Un systme de gestion de la qualit est dvelopp et actualis, ce qui implique des processus et des standards de dveloppement et d'achat prouvs. Ceci est rendu possible par la
planification, la mise en place et l'actualisation d'un systme de gestion de la qualit, et par des exigences, des procdures et des politiques de qualit clairement dfinies. Les exigences de
qualit sont nonces et communiques au travers d'indicateurs quantifiables et ralistes. L'amlioration permanente s'obtient par une surveillance continue, l'analyse des carts et leur
correction, et la communication des rsultats aux parties prenantes. La gestion de la qualit est essentielle pour s'assurer que l'informatique apporte de la valeur l'entreprise, une
amlioration continue et une transparence vis--vis des parties prenantes.
PO8.1 Systme de gestion de la qualit (SGQ) Harmonisation avec les exigences mtiers des SI Qualit insuffisante des services et solutions, se
Mettre en place et actualiser un SGQ qui propose une approche et satisfaction de ces exigences traduisant par des dfauts, du travail
standard, formelle et continue de la gestion qualit en ligne avec les Satisfaction des parties prenantes garantie supplmentaire et une augmentation des cots
exigences mtiers. Le SGQ doit identifier les exigences et les critres Environnement d'assurance qualit homogne, Activits d'assurance qualit au coup par coup et
qualit, les processus informatiques cls, leur ordre de succession et
compris et suivi par tous les employs donc peu fiables
leurs interactions, les politiques, critres et mthodes pour dfinir,
dtecter, corriger et prvenir les dfauts de conformit. Le SGQ doit Fonctionnement efficace, efficient et standardis Pas d'harmonisation avec les bonnes pratiques du
dfinir l'organisation de la gestion qualit, avec ses rles, ses tches des processus informatiques secteur et les objectifs mtiers
et ses responsabilits. Tous les domaines cls doivent dvelopper Responsabilit floue en matire de qualit, se
leurs plans qualit en ligne avec les critres et les politiques, et traduisant par une rduction de la qualit
enregistrer leurs donnes qualit. Surveiller et mesurer l'efficacit et
l'adoption du SGQ et l'amliorer si ncessaire.
ANNEXE II
93
PO8 Grer la qualit (suite)
94
PO8.2 Standards informatiques et pratiques qualit Harmonisation du SGQ avec les politiques et les Responsabilits non dfinies au sein des projets
Identifier et actualiser les standards, les procdures et les pratiques exigences mtiers et des services
pour les processus cls afin de guider l'entreprise vers l'objectif du Cohrence et fiabilit du plan gnral d'assurance Qualit insuffisante dans les processus
SGQ. Utiliser les bonnes pratiques de la branche comme rfrence qualit informatiques cls
lorsqu'on adapte et qu'on amliore les pratiques qualit de
Fonctionnement efficace et efficient du SGQ Non-conformit aux procdures et standards
l'entreprise.
Garantie accrue, pour la direction de l'ensemble de dfinis
l'entreprise, que les standards, politiques, Standards, politiques, processus et pratiques
processus, pratiques informatiques et la gestion du informatiques non conformes aux bonnes
risque informatique sont efficaces et efficients pratiques actuelles
Standards, politiques, processus et pratiques
informatiques incapables d'atteindre les objectifs
de l'entreprise
PO8.3 Standards de dveloppement et d'acquisition Utilisation efficace et efficiente de la technologie Estimation imprcise des dlais et budgets des
Adopter et actualiser les standards pour tous les dveloppements et pour permettre la ralisation des objectifs mtiers projets
acquisitions qui suivent le cycle de vie du livrable dfinitif et qui dans les dlais Responsabilits mal dfinies au sein des projets
exigent un aval chaque tape cl selon des critres d'agrment Identification, documentation et excution Erreurs de dveloppement et de mise en uvre,
convenus. Parmi les questions prendre en compte : standards de
appropries des principales activits d'acquisition se traduisant par des retards, du travail
codification des logiciels, conventions de nommage, formats de
fichiers, standards de conception de schmas et de dictionnaires de et de dveloppement supplmentaire et une augmentation des cots
donnes, standards d'interfaces utilisateurs, interoprabilit, Mthode officiellement dfinie, standardise et Problmes d'interoprabilit et d'intgration
reproductible permettant de grer les acquisitions Problmes d'assistance technique et de
2008 AFAI. Tous droits rservs. www.afai.fr
Vrifier si les standards de dveloppement et d'acquisition sont appliqus en cas de modification des ressources informatiques existantes (ex : pratiques de codage scuris, standards de
codification des logiciels, conventions de nommage, formats de fichiers, standards de conception de schmas et de dictionnaires de donnes, standards d'interfaces utilisateurs,
interoprabilit, efficience des performances des systmes, capacit de mise l'chelle, standards de dveloppement et de tests, validation par rapport aux demandes, plans de tests et
tests unitaires, de rgression et d'intgration).
Demander ou vrifier si les standards de dveloppement et d'acquisition procurent un niveau de contrle appropri pour les modifications apportes aux ressources informatiques
existantes.
Demander si des directives en matire de dveloppement et d'acquisition sont intgres dans les standards et les cadres de rfrence informatiques.
PO8 Grer la qualit (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
PO8.4 Orientation client Amlioration de la satisfaction des clients Disparits entre les attentes et la prestation
Orienter la gestion qualit vers les clients en dterminant leurs Gestion qualit conforme aux attentes des clients Mauvaise comprhension des attentes des clients
besoins et en alignant ces derniers sur les standards et les pratiques Rles et responsabilits clairement dfinis Incapacit ragir correctement aux conflits
informatiques. Dfinir les rles et les responsabilits concernant la avec les clients et aux commentaires des clients
rsolution de conflits entre l'utilisateur/client et l'informatique.
Processus inadapts ou inefficaces en matire de
rsolution des conflits avec les clients
Priorit inapproprie donne aux diffrents
services fournis
Dsaccords propos des livrables et dfauts de
qualit
Demander si les clients donnent leur point de vue sur le processus de gestion qualit. Examiner le processus pour vrifier si les avis sont obtenus rgulirement.
valuer l'efficacit des questionnaires, enqutes, fiches de commentaires, entretiens, etc., auprs des clients.
Demander si les clients donnent leur point de vue sur le processus de gestion qualit. Examiner le processus pour vrifier si les avis sont obtenus rgulirement.
tudier les rsultats du processus de suivi pour dterminer si les commentaires sont organiss et utiles l'amlioration du processus de gestion des rclamations.
Inspecter la documentation relative aux rles et responsabilits pour dterminer si ces derniers permettent de rgler efficacement les conflits lis aux rclamations des clients.
Vrifier et confirmer que les aspects de relations clientle sont inclus dans les programmes de formation.
PO8.5 Amlioration continue Amlioration de la qualit des services et Prestation de service inefficace et non matrise
Actualiser et communiquer rgulirement un plan gnral qualit qui solutions Dysfonctionnement des services
promeut l'amlioration continue de la qualit. Amlioration de l'efficacit et de l'efficience de la Anomalies de dveloppement
prestation/livraison
Amlioration du moral des employs et de la
satisfaction professionnelle
ANNEXE II
procdures de qualit.
Vrifier et confirmer qu'un plan de gestion qualit est dfini. Examiner le plan et la documentation pour confirmer le bien-fond du processus d'apprentissage et de partage des
connaissances.
95
PO8 Grer la qualit (suite)
96
PO8.6 Mesure, surveillance et revue qualit Membres du personnel sensibiliss aux Manque d'objectifs de qualit clairs et cohrents
Dfinir, planifier et mettre en place un systme de mesure pour performances qualit Actions prventives et correctives non
surveiller en continu la conformit au SGQ, ainsi que la valeur Rapports cohrents identifies
apporte par celui-ci. Le propritaire du processus doit mesurer, Rapports d'assurance qualit intgrs dans le SGQ Rapports de qualit incohrents
surveiller et enregistrer les informations pour pouvoir dcider des
de l'entreprise et facilitant ce dernier Incapacit des rapports contribuer au SGQ de
actions correctives et prventives appropries.
Valeur mesurable et relle du SGQ l'entreprise
Retour d'informations sur la conformit au SGQ et Manque d'objectifs clairement dfinis
sur son utilit Incohrence des rapports sur la qualit
Incapacit du SGQ optimiser les objectifs de
l'entreprise
SGQ pas pris au srieux ou non respect par
l'entreprise
Atouts et lacunes du SGQ non identifis
Non-conformit non identifie
Projets susceptibles de dpasser leurs dlais et
budgets et fournis avec une qualit mdiocre
PO9.1 Rfrentiel de gestion des risques informatiques Approche cohrente de la gestion des risques Risques informatiques et risques mtiers grs
Mettre en place un rfrentiel de gestion des risques informatiques informatiques sparment
aligns sur le rfrentiel de gestion des risques de l'entreprise. Gestion efficace des risques informatiques Non dtection de l'impact d'un risque
valuation permanente des menaces et des risques informatique sur l'entreprise
informatiques pesant sur l'entreprise Matrise des cots insuffisante en matire de
Approche largie de la gestion des risques gestion des risques
informatiques Chaque risque est considr comme une menace
distincte sans tre pris en compte dans un
contexte global
Soutien inefficace de la direction gnrale en
matire d'valuation des risques
Dterminer si le rfrentiel de gestion des risques informatiques est en harmonie avec le rfrentiel de gestion des risques de l'entreprise et s'il inclut des composants orients mtiers
pour la stratgie, les programmes, les projets et les activits. Examiner la classification des risques informatiques pour s'assurer qu'ils sont bass sur un socle commun de caractristiques
issues du rfrentiel de gestion des risques d'entreprise. Dterminer si l'estimation des risques informatiques est standardise et hirarchise et si elle tient compte de facteurs aligns sur
le rfrentiel de gestion des risques d'entreprise (impact, acceptation du risque rsiduel et probabilits).
S'assurer que les risques informatiques sont pris en compte dans l'laboration et la vrification des plans informatiques stratgiques.
PO9.2 tablissement du contexte du risque Utilisation efficace et efficiente des ressources Risques insignifiants considrs comme
tablir le contexte dans lequel s'applique le cadre d'valuation du pour la gestion des risques importants
risque pour s'assurer d'obtenir les rsultats appropris. Cela implique
2008 AFAI. Tous droits rservs. www.afai.fr
Harmonie entre les priorits de gestion des risques Risques importants ne bnficiant pas de
de dterminer le contexte interne et externe de chaque valuation du et les besoins mtiers l'attention qu'ils mritent
risque, le but de l'valuation et les critres de cette valuation.
Focalisation sur les risques importants et Approche inapproprie de l'valuation des
significatifs risques
Hirarchisation des risques
Vrifier et confirmer qu'un contexte de risque appropri a t dfini conformment aux principes et aux rgles de gestion des risques d'entreprise et qu'il tient compte des processus
(systmes, gestion de projets, cycles de vie des applications logicielles, gestion des activits et services informatiques, etc.). Il convient galement de tenir compte des facteurs de risque
internes et externes.
Dterminer si le contexte de risque informatique est communiqu et compris.
PO9 valuer et grer les risques informatiques (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
PO9.3 Identification des vnements Approche cohrente de l'identification des Identification et focalisation sur des vnements
Identifier les vnements (menaces importantes et ralistes qui vnements risque risque insignifiants tandis que des vnements
exploitent une vulnrabilit applicable significative) qui peuvent Focalisation sur les vnements risque plus importants ne sont pas dtects
avoir un impact ngatif sur les objectifs ou les oprations de significatifs
l'entreprise, dont l'activit, les aspects rglementaires et lgaux, la
technologie, les partenaires commerciaux, les ressources humaines et
le secteur oprationnel. Dterminer la nature des consquences et
actualiser cette information. Enregistrer et tenir jour les donnes sur
les risques significatifs dans un registre des risques.
PO9.4 valuation du risque Amlioration de la planification et de l'utilisation Risques insignifiants considrs comme
valuer rgulirement la probabilit et les consquences de tous les des comptences et des ressources en matire de importants
risques identifis, en utilisant des mthodes qualitatives et gestion des risques informatiques Chaque risque est considr comme un
quantitatives. La probabilit et les consquences associes aux Crdibilit organisationnelle des quipes en vnement distinct sans tre pris en compte dans
risques inhrents et rsiduels doivent tre dtermines
charge de l'valuation des risques informatiques un contexte global
individuellement, par catgorie et par portefeuille.
Transfert des connaissances entre les gestionnaires Incapacit dcrire les risques importants au
des risques management
Mise en place d'une action de sensibilisation la Risques significatifs ventuellement non dtects
valeur des actifs informatiques Perte d'actifs informatiques
Atteinte la confidentialit ou l'intgrit des
actifs informatiques
Examiner le processus de gestion des risques pour dterminer si les risques inhrents et rsiduels sont identifis et documents.
ANNEXE II
Vrifier et confirmer que le processus de gestion des risques value les risques identifis de faon qualitative et/ou quantitative.
Inspecter les documents du projet et la documentation annexe pour valuer le bien-fond de l'valuation qualitative et quantitative des risques.
Examiner le processus pour dterminer si les sources d'information utilises dans l'analyse sont raisonnables.
Inspecter l'utilisation de l'analyse statistique et la dtermination des possibilits pour mesurer la probabilit de faon qualitative ou quantitative.
Vrifier et confirmer l'identification de corrlations entre les risques. Examiner les corrlations pour vrifier si elles prsentent des rsultats d'impact et de vraisemblance trs diffrents
dcoulant de ces relations.
99
PO9 valuer et grer les risques informatiques (suite)
100
PO9.5 Rponse au risque Gestion efficace des risques Rponses aux risques inefficaces
Dvelopper et tenir jour un processus de rponse au risque pour Approche cohrente de l'attnuation des risques Risques mtiers rsiduels non identifis
s'assurer que des contrles rentables rduisent en permanence Rentabilit de la rponse au risque Utilisation inefficace des ressources pour
l'exposition aux risques. Ce processus doit proposer des stratgies rpondre aux risques
comme l'vitement, la rduction, le partage et l'acceptation,
Confiance excessive dans les contrles
dterminer les responsabilits connexes et tenir compte des niveaux
de tolrance au risque. insuffisants existants
PO9.6 Maintenance et surveillance d'un plan d'action vis--vis Gestion efficace des risques Contrles d'attnuation des risques ne
des risques valuation permanente des risques et menaces fonctionnant pas comme prvu
tablir les priorits et planifier les activits de contrle tous les pesant sur l'entreprise Contrles de compensation s'cartant des risques
niveaux pour mettre en place les rponses aux risques considres identifis
comme ncessaires, sans oublier l'valuation des cots et des
bnfices, et la responsabilit de leur mise en uvre. Obtenir
l'approbation pour les actions recommandes et l'acceptation de tous
les risques rsiduels, et s'assurer que les propritaires des processus
affects par le risque assument aussi la proprit des actions
entreprises. Surveiller l'excution des plans et signaler tout cart au
management.
PO10.1 Cadre de rfrence pour la gestion de programme Une mthode optimise de gestion des tablissement inappropri des priorits du projet
Tenir jour le programme des projets, en relation avec le portefeuille programmes Approche dsorganise et inefficace des
des programmes d'investissements informatiques, en identifiant, Une mthode standardise, fiable et efficace de programmes du projet
dfinissant, valuant, slectionnant, initiant et contrlant ces projets, gestion des programmes travers l'entreprise Pas d'harmonisation entre le projet et les
et en tablissant leurs priorits respectives. S'assurer que les projets
Plus grande capacit se concentrer sur les projets objectifs du programme
servent les objectifs du programme. Coordonner les activits et
l'interdpendance de multiples projets, grer la contribution de tous cls au sein d'un programme
les projets aux rsultats attendus au sein du programme, et rsoudre
les problmes et les conflits lis aux ressources.
S'assurer que l'quipe de gestion du programme effectue rgulirement les tches suivantes :
Vrifier auprs des directions mtiers que le programme en cours, tel qu'il est conu, rpondra aux exigences mtiers et effectuer des ajustements si ncessaire
tudier l'avancement des diffrents projets et ajuster la disponibilit des ressources, si ncessaire, pour respecter les chances
valuer l'volution des marchs de l'informatique et des technologies pour dterminer si des ajustements du programme sont ncessaires pour viter des risques mergents, tirer parti
de solutions technologiques plus rcentes et plus efficaces ou profiter de rductions des cots lies l'volution du march.
PO10 Grer les projets (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
PO10.2 Cadre de gestion de projet Plus grande probabilit de russite du projet Diffrentes approches de gestion de projet au
Mettre en place et tenir jour un cadre de gestion de projets qui Rduction des cots relatifs la mise en place des sein de l'entreprise
dfinit aussi bien l'tendue et les limites de la gestion de projets que disciplines et des activits de gestion de projet Manque d'harmonisation avec la structure des
la mthode adopter et appliquer pour chaque projet entrepris. Ce Communication efficace des objectifs du projet, rapports de l'entreprise
cadre de rfrence et la mthode connexe doivent tre intgrs aux
des activits de gestion de projet et de Outils incohrents pour la gestion de projets
processus de gestion de programmes.
l'avancement du projet
Approche, outils et processus cohrents
Examiner les plans, politiques et procdures pour vrifier si le cadre de gestion de projets :
est en harmonie avec le cadre de gestion des programmes de l'entreprise et en fait partie intgrante
inclut un processus de contrle des modifications permettant de consigner, d'valuer, de communiquer et d'autoriser les modifications apportes au contenu du projet
est valu rgulirement pour vrifier son adquation compte tenu de l'volution des circonstances
inclut des recommandations sur le rle et l'utilisation d'un service existant ddi au programme ou au projet ou sur la cration d'une telle fonction pour un projet.
ANNEXE II
103
PO10 Grer les projets (suite)
104
PO10.3 Approche gestion de projet Utilisation optimise des ressources pour la Confusion et incertitude provoques par des
tablir une approche de gestion de projet en rapport avec la taille, la gestion de projet approches de gestion de projet diffrentes au
complexit et les exigences rglementaires de chaque projet. La Rles et responsabilits clairement dfinis sein de l'entreprise
structure de gouvernance des projets peut comporter les rles, garantissant un engagement et une responsabilit Manque d'harmonisation avec la structure des
responsabilits oprationnelles et finales du commanditaire du
finale clairs pour les dcisions et les tches cls rapports de l'entreprise
programme, des commanditaires des projets, du comit de pilotage,
du bureau des projets et du chef de projet, ainsi que les mcanismes Harmonie optimise entre les objectifs du projet et Incapacit ragir, par des dcisions optimales
grce auxquels ils peuvent faire face ces responsabilits (comme le les objectifs mtiers et approuves, aux problmes rencontrs par le
reporting et les revues d'tapes). Vrifier que chaque projet Capacit ragir aux problmes rencontrs par le projet
informatique est dot d'un commanditaire assez haut plac pour tre projet et les rsoudre, de faon rapide et flexible
propritaire de la mise en oeuvre du projet au sein du programme
stratgique gnral.
PO10.4 Implication des parties prenantes Plus grande probabilit que le projet soit stimul Responsabilits oprationnelles et
Obtenir l'implication et la participation de toutes les parties prenantes par les bnfices mtiers et qu'il gnre des responsabilits finales mal dfinies pour garantir
concernes par la dfinition et la mise en uvre du projet l'intrieur bnfices mtiers la matrise des cots et la russite du projet
du programme global d'investissements informatiques. Comprhension commune des objectifs du projet Participation insuffisante des parties prenantes
entre les mtiers, les utilisateurs finals et la dfinition des besoins et l'examen des
l'informatique livrables
Implication des utilisateurs et adhsion de toutes Comprhension et distribution limites des
les parties prenantes au projet bnfices mtiers
Vrifier et confirmer :
que le cadre de gestion de projets prvoit l'implication et la participation des principales parties prenantes, dont le management du service utilisateur concern et les principaux
utilisateurs finals, la mise en place, la dfinition et l'autorisation d'un projet
que la participation des principales parties prenantes et des utilisateurs finals est recherche lors de la mise en place du projet, puis rvise au cours du cycle de vie du projet.
tudier les rapports du projet pour s'assurer que l'implication constante porte sur la validation du projet, la validation des phases du projet, les rapports de vrification du projet, la
reprsentation au comit directeur du projet, la planification du projet, le test des produits, la formation des utilisateurs, la documentation sur les procdures utilisateur et l'laboration
des supports de communication du projet.
Interroger les principales parties prenantes et les utilisateurs finals et tudier les rsultats des analyses ayant suivi la mise en uvre pour vrifier si cette implication a permis d'amliorer
la qualit et l'acceptation des livrables du projet.
PO10.5 nonc du primtre du projet Indication d'un point de comparaison permettant Mauvaise comprhension des exigences et des
Dfinir et documenter la nature et l'tendue du projet pour confirmer d'valuer l'avancement et, au final, la russite du objectifs du projet
et dvelopper parmi les parties prenantes une comprhension projet Incapacit des projets rpondre aux besoins de
commune du primtre du projet et la faon dont il est reli aux Responsabilits attribues et prcises, y compris l'entreprise et des utilisateurs
autres projets du programme global d'investissements informatiques.
celles des principales parties prenantes mtiers Mauvaise comprhension de l'impact de ce
Cette dfinition doit tre formellement approuve par les
commanditaires du programme et du projet avant que ce dernier ne Utilisation efficace des ressources pour les projets projet sur les autres projets connexes
dmarre. Prparation facilite d'un plan directeur du projet
ANNEXE II
le cadre de gestion de projets fournit aux parties prenantes une dfinition crite et claire de l'objectif, du primtre et de la valeur mtier de chaque projet, avant qu'elles ne
commencent travailler sur le projet, afin de crer une comprhension commune du primtre du projet parmi les parties prenantes
les exigences relatives au projet sont valides et acceptes par les principales parties prenantes et les commanditaires du programme et du projet au sein de l'entreprise et du service
informatique, en tenant compte ds le dbut de facteurs cls de succs et d'indicateurs cls de performance
toutes les modifications ultrieures apportes au primtre du projet sont documentes de faon approprie et valides par les parties prenantes.
105
PO10 Grer les projets (suite)
106
PO10.6 Dmarrage d'une phase du projet Objectifs du projet cohrents et conformes la Manque d'harmonisation entre les projets et la
Valider le lancement de chaque phase importante du projet et en vision de l'entreprise vision de l'entreprise
informer toutes les parties prenantes. Fonder la phase de dmarrage Excution du projet s'appuyant sur l'tablissement Hirarchisation inapproprie des projets
sur les dcisions de la gouvernance des programmes. L'approbation de priorits carts non dtects par rapport au plan de projet
des phases suivantes doit se baser sur les revues et l'acceptation des
Phases du projet conformes la dfinition du global
livrables de la phase prcdente, ainsi que sur l'approbation d'une
tude de faisabilit mise jour lors de la prochaine revue majeure du projet Utilisation mdiocre des ressources
programme. Dans l'ventualit o des phases du projet se Capacit surveiller et communiquer
chevaucheraient, les commanditaires du programme et de chaque l'avancement du projet
projet devraient faire le point pour autoriser l'avancement du projet.
Examiner les plans, politiques et procdures pour vrifier si le cadre de gestion de projets prvoit la dsignation de responsables et d'utilisateurs finals des services informatiques et
mtiers concerns, chargs d'approuver et d'avaliser les livrables produits lors de chaque phase du projet (ex : analyse des besoins, conception, excution, test, mise en service) du cycle
de vie de dveloppement des systmes, avant le dmarrage de la phase suivante.
Vrifier et confirmer que le processus de validation s'appuie sur des critres d'acceptation clairement dfinis et valids par les principales parties prenantes avant de dbuter le travail sur
le livrable de la phase de projet et, au minimum, avant l'achvement des livrables d'une phase.
Examiner les plans, politiques et procdures pour vrifier si la validation et le lancement de cette phase tiennent compte des cots rels, des dlais et de l'avancement de la phase par
rapport aux valeurs budgtes.
Examiner les plans, politiques et procdures pour vrifier si les carts importants sont valus par rapport aux bnfices attendus du projet, valids par la fonction approprie de
gouvernance des programmes et reflts dans l'tude de faisabilit du programme.
Examiner les plans, politiques et procdures pour vrifier si, avant la mise en uvre, une valuation "stop-go" ralise officiellement permet d'affirmer que le projet est prt tre
excut. Cette valuation doit s'appuyer sur des facteurs cls de succs prdfinis, permettant de dterminer la qualit du systme et l'tat de prparation des fonctions mtiers et support
pour utiliser et grer le systme.
2008 AFAI. Tous droits rservs. www.afai.fr
PO10 Grer les projets (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
PO10.7 Plan projet intgr Plus grande probabilit que les principales tapes Erreurs non dtectes dans la planification et la
Mettre en place un plan projet intgr, formalis et approuv du projet soient respectes en termes de dlais, de budgtisation du projet
(couvrant les ressources mtiers et informatiques) pour guider la mise budget ou de champ d'application Manque d'harmonisation entre les projets et les
en uvre et le contrle du projet tout au long de son cycle de vie. Les Plus grande sensibilisation du management objectifs de l'entreprise et les autres projets
activits et les interdpendances de projets multiples dans un
propos d'un ventuel dcalage du projet dans le connexes
programme doivent tre comprises et documentes. Le plan de projet
doit tre tenu jour durant toute la dure du projet. Le plan projet et temps et capacit ragir rapidement carts non dtects par rapport au plan de projet
les modifications qui lui sont apportes doivent tre approuvs en Mcanisme permettant de partager le plan de
ligne avec le cadre de gouvernance des programmes et des projets. projet et les dtails de l'avancement, de faon
cohrente, l'intrieur et l'extrieur de l'quipe
de projet
Constatation et communication de l'tat
d'avancement du projet
PO10.8 Ressources du projet Comptences et ressources rparties et attribues Pnuries de comptences et de ressources qui
Dfinir les responsabilits, les relations, l'autorit et les critres de de faon efficace et efficiente au sein du projet compromettent des tches dterminantes du
performances des membres de l'quipe du projet et prciser la base Dtection opportune des pnuries de ressources projet
sur laquelle on engagera et affectera des membres comptents et/ou Ressources du projet rparties conformment la Utilisation inefficace des ressources
des contractuels dans l'quipe du projet. L'achat de produits et de
politique d'achat de l'entreprise Conflits contractuels avec des ressources
services ncessaires chaque projet doit tre planifi et gr pour
favoriser l'atteinte des objectifs du projet en utilisant les pratiques externalises
d'achat de l'entreprise.
ANNEXE II
les autorits dcisionnaires sont valides et comprises.
Vrifier et confirmer que les rles sont identifis et dots du personnel appropri.
Vrifier et confirmer que des chefs de projet et un chef d'quipe expriments sont utiliss, et que leurs comptences sont adaptes l'ampleur, la complexit et aux risques du projet
entrepris.
Examiner les plans, politiques et procdures pour vrifier si les rles et responsabilits des autres parties intresses sont pris en compte et clairement dfinis (ex : les parties intresses
incluent, entre autres, l'audit interne, la conformit, les finances, le juridique, les achats et les RH).
107
Vrifier et confirmer que la responsabilit de l'achat et de la gestion des relations tierces de support systme et projet est clairement dfinie.
PO10 Grer les projets (suite)
108
PO10.9 Gestion des risques du projet Identification prcoce d'ventuels points de Risques du projet non dtects
liminer ou rduire les risques spcifiques chaque projet au moyen blocage lors de l'tude de faisabilit et de la Absence d'actions d'attnuation des risques
d'un processus systmatique de planification, d'identification, validation du projet identifis
d'analyse, d'actions de rduction des risques, de surveillance et de Management capable d'identifier et de prvoir les Points de blocage du projet non dtects
contrle des domaines ou des vnements susceptibles de provoquer
incidents et les mesures correctives permettant de
des changements non souhaits. Les risques auxquels le processus de
gestion de projet et les livrables sont exposs doivent tre identifis et rduire l'impact des risques
consolids au niveau central. Responsables des risques et problmes facilement
identifiables
Surveillance des actions d'attnuation
Mthode cohrente et efficace de gestion des
risques au sein des projets, conformment au
rfrentiel de gestion des risques de l'entreprise
PO10.10 Plan qualit du projet Harmonisation entre le plan qualit du projet et le Les livrables du projet ne rpondent pas aux
Prparer un plan de gestion qualit qui dcrit le systme qualit du rfrentiel qualit de l'entreprise besoins de l'entreprise et des utilisateurs
projet et comment il sera mis en place. Le plan doit tre formellement Plus grande probabilit que le systme mis en Disparits entre la qualit escompte et la qualit
revu et accept par toutes les parties prenantes, puis incorpor au plan uvre ou la modification du systme rponde aux fournie au sein des projets
projet intgr.
besoins de l'entreprise et des utilisateurs Mthode d'assurance qualit inefficace et
Niveau homogne d'activit d'assurance qualit fragmente
travers le projet, y compris concernant les tiers Les modifications ou le systme mis en uvre
ont un impact ngatif sur l'infrastructure et les
systmes existants
Examiner les plans, politiques et procdures pour vrifier si le plan qualit identifie clairement la proprit, les responsabilits, les processus et les mtriques pour permettre l'assurance
qualit des livrables du projet qui composent le systme qualit du projet.
Examiner les plans, politiques et procdures pour vrifier si le plan qualit dcrit les exigences, le cas chant, de validation et de vrification indpendantes de la solution technique et
mtier.
PO10.11 Contrle des changements du projet Priorits clairement dfinies en matire de gestion Matrise insuffisante du primtre, des cots et
Mettre en place un systme de contrle des changements pour chaque des conflits de ressources des dlais du projet
projet, de faon ce que toutes les modifications de ses Possibilit d'effectuer le suivi du primtre du Perte de l'orientation mtier
caractristiques de base (ex : cot, planning, primtre et qualit) projet Incapacit grer les ressources
soient dment analyses, approuves et incorpores au plan projet
Dcisions relatives aux modifications du projet
intgr en ligne avec le cadre de gouvernance des programmes et des
projets. prises en toute scurit et de faon efficace
Vrifier et confirmer l'existence d'une procdure de contrle des modifications permettant de grer, d'valuer, de justifier et de valider les modifications apportes au projet. valuer le
bien-fond de la demande de modification dans le cadre de cette procdure.
Examiner un chantillon des demandes de modification du projet pour dterminer si elles sont introduites par les personnes dsignes et si elles contiennent une description dtaille de
la modification, des risques connexes et des bnfices attendus.
Vrifier et confirmer que la documentation et le plan du projet et du programme sont mis jour pour tenir compte des modifications valides.
ANNEXE II
109
PO10 Grer les projets (suite)
110
PO10.12 Planification du projet et mthodes d'assurance Exigences externes d'assurance (ex : audit Activits d'assurance non fiables
Identifier les tches d'assurance destines appuyer la validation de externe) satisfaites dans le respect des dlais et de Activits d'assurance inefficaces et/ou
systmes nouveaux ou modifis pendant la planification du projet, et faon rentable insuffisantes
les inclure dans le plan projet intgr. Les tches doivent fournir Facilitation de la validation externe des systmes Retards de validation et de mise en uvre
l'assurance que les contrles internes et les caractristiques de
ou des modifications de systmes
scurit satisfont les exigences prvues.
Confiance accrue des principales parties prenantes
dans le fait que le projet est sous contrle et qu'il
devrait gnrer des bnfices mtiers
PO10.13 Mtrique, reporting et surveillance de la performance Amlioration de la satisfaction et de l'orientation Inefficacit de la notification de l'avancement
du projet client des projets et problmes non identifis
Mesurer la performance du projet selon les critres cls du projet Place importante accorde au client dans la culture Matrise insuffisante de l'avancement du projet
(primtre, planning, qualit, cot et risque). Identifier tout cart par du service informatique pour tous les projets Rduction de l'importance accorde aux attentes
rapport au plan. valuer les consquences d'un cart sur le projet et
informatiques des clients et aux besoins mtiers
sur l'ensemble du programme et rapporter les rsultats aux parties
prenantes cls. Recommander, mettre en place et surveiller les actions Identification rapide des carts par rapport au plan
correctrices lorsque c'est ncessaire, en accord avec le cadre de Rsultats positifs communiqus et valoriss pour
2008 AFAI. Tous droits rservs. www.afai.fr
gouvernance des programmes et des projets. accrotre la confiance et l'implication des parties
prenantes
Vrifier et confirmer que les cadres de rfrence de gestion des SI, de gouvernance des projets informatiques et des programmes informatiques reposent sur l'existence de critres cls de
performances des projets informatiques, dont le primtre, le planning, la qualit, le cot et le niveau de risque.
Examiner les plans de projet initiaux pour dterminer si l'quipe de gestion du programme informatique recommande, met en uvre et surveille l'action corrective lorsqu'elle est
ncessaire. Les plans doivent tre conformes au cadre de gouvernance des programmes et des projets.
PO10 Grer les projets (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
PO10.14 Clture du projet Plus grande probabilit que le projet gnrera les Non dtection de certaines lacunes en matire de
Exiger qu' la fin de chaque projet, les parties prenantes dterminent bnfices mtiers attendus et valids gestion de projet
si le projet a fourni les rsultats et bnfices prvus. Identifier et Identification d'amliorations en termes de gestion Opportunits manques relatives aux
communiquer toutes les activits exceptionnelles qui ont t de projet et de dveloppement des systmes pour enseignements tirs
ncessaires pour obtenir les rsultats du projet et les bnfices du
les futurs projets
programme prvus, et identifier et documenter les enseignements qui
en ont t tirs et qui pourront tre utiles des projets ou des Focalisation accrue sur l'excution des actions
programmes futurs. restant entreprendre pour raliser les bnfices
attendus
ANNEXE II
111
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
Evaluer le rsultat des objectifs de contrle :
Examiner la documentation du cadre de gestion des programmes pour s'assurer que le programme value correctement le portefeuille
complet des projets informatiques par rapport aux objectifs du programme. Le programme doit spcifier les ressources ncessaires, dont le
financement, les chefs de projet, les quipes de projet, les ressources informatiques et les ressources mtiers, le cas chant.
Examiner la documentation et effectuer le suivi des activits tout au long du processus pour s'assurer que l'quipe de gestion du programme
prcise galement les ressources ncessaires, dont le financement, les chefs de projet, les quipes de projet, les ressources informatiques et
les ressources mtiers, le cas chant.
Examiner la documentation et effectuer le suivi des activits tout au long du processus pour s'assurer que l'quipe de gestion du programme
attribue efficacement les responsabilits pour chaque projet et que, si tel est le cas, ces responsabilits sont acceptes et que le responsable a
suffisamment d'autorit et de libert pour agir, qu'il dispose des comptences requises, de ressources proportionnes, d'une hirarchie des
responsabilits clairement tablie, d'une bonne comprhension des droits et obligations et de mesures de performance pertinentes.
Examiner les plannings et autres documents pour dterminer si l'quipe de gestion du programme a efficacement identifi les corrlations
entre les diffrents projets du programme et mis au point un planning d'excution permettant de respecter l'chancier global du
programme.
Examiner les communications et autres documents pour dterminer si l'quipe de gestion du programme dsigne efficacement les parties
prenantes au programme au sein et en dehors de l'entreprise, si elle tablit des niveaux appropris de coordination, de communication et de
liaison avec ces parties prenantes et si elle communique constamment avec elles pendant toute la dure du programme.
Examiner les valuations rgulires et autres documents pour s'assurer que le cadre de gestion de projets est utilis de faon efficace, qu'il
fait partie intgrante de la mthode de gestion de programmes de l'entreprise, qu'il est conforme cette dernire et qu'il s'adapte
l'volution de la situation.
Examiner les principales tapes dcisives pour confirmer que les validations appropries ont t obtenues avant le lancement de la phase
suivante (ex : un comit de surveillance, compos de commanditaires et d'utilisateurs finals, qui s'assure que le champ d'application et les
exigences sont appropris).
Examiner la documentation pour s'assurer que l'quipe de gestion du programme attribue efficacement chaque projet informatique un ou
plusieurs commanditaires assez haut placs pour grer la mise en uvre du projet au sein du programme stratgique gnral, que cette
attribution ne souffre d'aucune ambigut, que les rles et responsabilits sont clairement dfinis et que la responsabilit est accepte par les
personnes dsignes.
Examiner les documents tels que les comptes-rendus de runions et les documents de validation pour s'assurer que l'quipe de gestion du
programme prvoit, de faon efficace, l'implication et la participation des principales parties prenantes, dont le management du service
utilisateur concern et les principaux utilisateurs, la mise en place, la dfinition et l'autorisation d'un projet.
Examiner les documents tels que les comptes-rendus de runions et les documents de validation et effectuer le suivi des activits tout au
long du processus pour s'assurer que l'implication et la participation constantes des principales parties prenantes pour le reste du cycle de
vie du projet sont efficacement exposes lors du lancement du projet et qu'une procdure de perfectionnement est utilise au cours du
processus.
S'assurer que le plan de communication du projet/programme est efficacement tenu jour pendant toute la dure du projet.
Examiner un chantillon des demandes de modification pour s'assurer que les parties prenantes les ont valides de faon approprie.
Examiner les plans, politiques et procdures pour vrifier si, de par sa conception efficace, le cadre de gestion de projets prvoit la
dsignation de responsables et d'utilisateurs finals des services informatiques et mtiers concerns, chargs d'approuver et d'avaliser les
livrables produits lors de chaque phase de projet du cycle de dveloppement des systmes, avant le dmarrage de la phase suivante.
Examiner la documentation pour s'assurer que la base du processus de validation permet de dfinir clairement des critres d'acceptation
valids par les principales parties prenantes avant de dbuter le travail sur le livrable de la phase de projet et, au minimum, avant
l'achvement des livrables d'une phase.
Examiner les plans, politiques et procdures pour vrifier si la validation et le lancement de cette phase permettent de tenir compte des
cots rels, des dlais et de la gestion de l'avancement, et d'valuer les carts importants par rapport aux bnfices attendus du projet.
Examiner les plans, politiques et procdures pour vrifier si la fonction approprie de gouvernance des programmes est suffisamment
performante pour valider les valuations des carts significatifs et si ces derniers apparaissent dans l'tude de faisabilit du programme.
Vrifier physiquement la documentation et rechercher les pistes d'audit pour s'assurer que le plan projet intgr permet la direction de
contrler l'avancement du projet.
Examiner les documents pour s'assurer que le plan de projet intgr et tous les plans connexes sont tenus jour avec l'accord du propritaire
du plan pour reflter l'avancement rel et les modifications importantes constates par rapport au cadre de gestion du programme.
Vrifier si l'organigramme du chef de projet ou le tableau RACI est complet.
Examiner l'valuation des risques du projet et les documents/comptes-rendus de runions connexes pour s'assurer que les risques (internes
et externes) sont grs et passs en revu au niveau adapt au sein de la structure de gouvernance des projets, tout au long du projet.
S'assurer que le plan de gestion des risques est intgr dans le plan de projet global.
Examiner les valuations et les rvaluations des risques, les valuations des demandes de modification et les autres documents connexes
pour s'assurer que les rvaluations priodiques sont efficaces et s'adaptent l'volution des risques au cours du projet.
S'assurer que les mises jour ncessaires du plan de gestion des risques sont effectues.
Examiner les documents, rechercher les pistes d'audit et effectuer le suivi des transactions ralises au cours du processus pour s'assurer que
la gestion des risques du projet est efficace et inclut des solutions de contournement pour les risques imprvus.
Examiner le journal des risques du projet et le journal des problmes rencontrs par le projet pour s'assurer qu'ils sont tenus jour et qu'ils
prcisent les actions correctives mises en place.
Examiner la documentation pour s'assurer qu'elle contient le primtre qui documente les objectifs du projet et les principaux livrables du
projet et qu'une procdure qualit a t dfinie.
PAGE BLANCHE
AI1.1 Dfinition et actualisation des exigences mtiers techniques Toutes les exigences fonctionnelles et techniques Solution incorrecte slectionne partir d'une
et fonctionnelles importantes sont prises en compte lorsque des comprhension inapproprie des exigences
Identifier, classer par priorits, spcifier et valider les exigences solutions potentielles sont envisages Exigences importantes identifies tardivement,
mtiers techniques et fonctionnelles, qui couvrent l'tendue complte Ensemble complet et prcis d'exigences gnrant des frais lis au travail supplmentaire
de toutes les initiatives requises pour obtenir les rsultats escompts
fonctionnelles et techniques disponible avant le et des retards de mise en uvre
du programme d'investissement informatique.
dbut du dveloppement ou de l'acquisition
Exigences fonctionnelles et techniques dfinies de
faon efficiente et efficace
Solution choisie susceptible d'tre mise en uvre
plus rapidement et sans trop de travail
supplmentaire
Interroger les principaux employs concerns pour s'assurer que les exigences mtiers fonctionnelles et techniques ont t dfinies et qu'un processus d'actualisation a t valid.
Inspecter la documentation relative aux exigences et aux processus d'actualisation et s'assurer que sa conception est adapte l'importance, la complexit, aux objectifs et aux risques
de l'acquisition et qu'elle a t valide par le propritaire/commanditaire concern.
Interroger les principaux employs concerns pour s'assurer que toutes les exigences et les critres d'acceptation ont t pris en compte, recueillis, hirarchiss et enregistrs de faon
comprhensible par les parties prenantes et les commanditaires.
Interroger les principaux employs concerns pour s'assurer que les exigences techniques des applications et des infrastructures rpondent aux besoins des normes d'architecture de
l'information de l'entreprise et de l'orientation technique stratgique.
Examiner les plans, politiques et procdures pour identifier les exceptions/carts par rapport aux normes d'architecture de l'information de l'entreprise et l'orientation technique
stratgique.
ANNEXE III
115
AI1 Trouver des solutions informatiques (suite)
116
AI1.2 Rapport d'analyse de risques Identification prcoce des risques d'acquisition, ce Risques d'acquisition potentiellement importants
Identifier, valuer et analyser les risques associs aux exigences qui permet de rduire ou d'viter les rpercussions non identifis
mtiers et la conception des solutions en tant qu'lments du potentielles Management pas conscient des risques et
processus d'entreprise pour l'laboration des exigences. Plus grande sensibilisation du management vis-- incapable d'appliquer les contrles appropris
vis des risques potentiels Scurit des systmes mise en chec
AI1.3 tude de faisabilit et formulation d'alternatives La solution la plus efficace et la plus efficiente Solution incapable de rpondre aux besoins
Mener une tude de faisabilit qui examine la possibilit de mettre en choisie pour l'entreprise Solution incapable de fonctionner comme prvu
place les exigences. Le management des mtiers, assist par Ressources disponibles pour mettre en uvre et Solution incapable de s'intgrer dans
l'informatique, doit valuer la faisabilit et les alternatives et faire des exploiter la solution choisie l'infrastructure existante
recommandations aux commanditaires mtiers.
Exigences importantes vrifies avant la promesse
d'acquisition
Prise de dcision relative la slection base sur
des justifications valables
2008 AFAI. Tous droits rservs. www.afai.fr
Interroger les principaux employs concerns pour vrifier l'existence d'un processus d'tude de faisabilit qui dfinit les alternatives permettant de rpondre aux exigences mtiers
fonctionnelles et techniques (ex : une fonctionnalit rpondant aux besoins des exigences mtiers et techniques).
Vrifier et confirmer que le management et les principaux employs ont dfini les ressources utiliser et connaissent les points de contrle d'autorisation ou d'interdiction (go/no-go).
S'assurer, auprs des principaux employs concerns, que l'tude de faisabilit comprend l'analyse du rapport cots/bnfices pour chacune des alternatives identifies et des
fonctionnalits du systme.
AI1 Trouver des solutions informatiques (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
AI1.4 Dcision et approbation concernant les exigences et la Solution de nature satisfaire les exigences Solutions incapables de satisfaire les exigences
faisabilit mtiers mtiers
Vrifier si la procdure exige que les commanditaires mtiers Solution bnficiant de l'implication et de la Solutions alternatives non identifies
approuvent et avalisent les rapports sur les exigences mtiers participation des mtiers lors de la mise en uvre correctement
fonctionnelles et techniques et sur l'tude de faisabilit des tapes
Division mtier bnficiant d'une meilleure Aspects de la solution potentielle relatifs aux
cls prdtermines. La dcision finale quant au choix de la solution
et la procdure d'acquisition doit appartenir aux commanditaires comprhension de la nature de la solution et de processus mtiers et l'entreprise non pris en
mtiers. son impact sur les processus mtiers et sur compte de faon approprie
l'entreprise
ANNEXE III
117
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
Evaluer le rsultat des objectifs de contrle :
Examiner une slection de correspondances entre les commanditaires mtiers et les parties prenantes pour s'assurer que les exigences cls
(ex : dfinition des besoins des utilisateurs, formulation d'alternatives, identification de progiciels commerciaux, ralisation d'tudes de
faisabilit technologique, de faisabilit conomique, d'analyse des risques et de l'architecture de l'information) ont t apprhendes et
prises en compte.
Examiner une slection de documents relatifs aux exigences pour dterminer si un systme propos (nouveau ou modifi) a t clairement
dfini, examin et valid par crit par l'utilisateur comptent avant le dveloppement, la mise en uvre ou la modification du projet.
Examiner une slection de documents relatifs aux exigences techniques des applications et des infrastructures pour dterminer si l'exigence
est conforme l'orientation stratgique et aux normes d'architecture de l'information de l'entreprise (ex : plan de continuit des activits,
plan de reprise aprs sinistre, contraintes lgales et de scurit).
Examiner une slection de documents relatifs l'analyse des risques et dterminer si les risques mtiers et informatiques sont identifis,
examins, valus et compris par les mtiers et l'informatique et si les mesures de contrle interne et les pistes d'audit sont identifies dans
le cadre de l'analyse des risques (ex : risques pesant sur le plan de continuit des activits, le plan de reprise aprs sinistre, les contraintes
lgales et scuritaires).
Examiner une slection de documents relatifs l'analyse des risques pour dterminer si ces documents ont t valids par les principales
parties prenantes, y compris les reprsentants des mtiers et des SI.
Examiner une slection de rapports de projet, d'audit ou autres valuations et confirmer, par le biais d'entretiens avec les employs des
services conformit, audit, gestion des risques et scurit, si la conception des mcanismes de rponse aux risques tient compte d'un
quilibre adquat entre les contrles de dtection et de prvention.
Examiner la documentation sur les tudes de faisabilit pour s'assurer que les tudes de faisabilit technique et conomique rpondent aux
besoins des exigences mtiers et techniques.
Examiner une slection de documents sur les tudes de faisabilit pour s'assurer que le plan tient suffisamment compte de chaque tape du
cycle de vie d'acquisition ou de dveloppement et qu'il inclut des points de contrle d'autorisation ou d'interdiction (go/no-go).
Examiner une slection de documents sur les tudes de faisabilit technologique et conomique pour s'assurer que les cots et bnfices
identifiables relatifs chacune des alternatives et des fonctionnalits systme identifies ont t correctement pris en compte et intgrs
dans l'tude de faisabilit technologique et conomique requise.
Les applications doivent tre rendues disponibles en fonction des exigences mtiers. Ce processus recouvre la conception des applications, les contrles applicatifs et les exigences de
scurit appropris qu'il faut y inclure, ainsi que leur dveloppement et leur configuration conformment aux standards. Cela permet aux entreprises de disposer des applications
informatiques qui conviennent pour supporter correctement les tches mtiers.
AI2.1 Conception gnrale Cots rduits Dpendance vis--vis des connaissances que
Traduire les exigences mtiers en spcifications gnrales Cohrence entre les exigences mtiers et les possdent des individus cls
d'acquisition de logiciels, en tenant compte des orientations rsultats de la conception gnrale Primtre de dveloppement non dfini
technologiques de l'entreprise et de l'architecture de l'information. Amlioration des dlais de livraison Solutions incapables de satisfaire les exigences
Faire approuver les spcifications de la conception par le
mtiers
management pour s'assurer que la conception gnrale rpond aux
exigences. Effectuer une rvaluation lorsque des anomalies Solutions non conformes au plan informatique
significatives techniques ou logicielles se produisent pendant le stratgique, l'architecture de l'information et
dveloppement ou la maintenance. l'orientation technologique
Cot lev des solutions fragmentes
ANNEXE III
119
AI2 Acqurir des applications et en assurer la maintenance (suite)
120
AI2.3 Contrles applicatifs et auditabilit Cohrence des contrles applicatifs mis en place Contrles compensatoires coteux
Mettre en place des contrles mtiers, si ncessaire, dans les Intgrit des donnes garantie Problmes d'intgrit des donnes
contrles applicatifs automatiss, de faon ce que le traitement soit Possibilit de valider et de restaurer l'historique Disparits entre les contrles applicatifs et les
ralis avec exactitude, compltement, au bon moment, et qu'il soit des donnes de transaction si ncessaire menaces et risques rels
autoris et auditable.
Rsultats du traitement et rfrentiel ne
rpondant pas aux exigences de conformit
Examiner la documentation relative aux exigences de conception des contrles pour s'assurer que les contrles applicatifs automatiss sont dfinis en vertu des exigences de contrle des
processus mtiers.
Examiner la documentation relative aux exigences de conception des contrles et identifier les situations dans lesquelles les contrles d'autorisation, d'entre, de traitement, de sortie et
les contrles vis--vis de l'extrieur ne sont pas appropris.
Examiner les plans de mise en uvre des fonctions de contrle automatis dans les progiciels et s'assurer que les exigences de contrle des processus mtiers sont adquatement pris en
compte.
S'assurer, auprs des propritaires des processus mtiers et des responsables de la conception technique des SI, que les spcifications techniques de tous les contrles applicatifs
automatiss des applications dveloppes en interne ou achetes ont t valides.
Examiner les spcifications techniques de tous les contrles applicatifs automatiss des applications dveloppes ou achetes/cls en mains pour s'assurer qu'elles ont t valides.
S'assurer, auprs du personnel travaillant sur le projet, que des contrles automatiss ont t dfinis au sein de l'application et qu'ils favorisent la ralisation des objectifs des contrles
gnraux (scurit, intgrit des donnes, pistes d'audit, contrle d'accs, contrles d'intgrit des bases de donnes, etc.).
Inspecter les contrles applicatifs dans les progiciels dvelopps et achets, effectuer le suivi des transactions et examiner la documentation pour s'assurer que les objectifs des contrles
gnraux (scurit, intgrit des donnes, pistes d'audit, contrle d'accs, contrles d'intgrit des bases de donnes) sont adquatement pris en compte.
Examiner la documentation du projet pour s'assurer que les spcifications techniques ont t values par rapport aux objectifs et aux normes de gestion des risques, de contrle et
d'audit interne.
Examiner la documentation du projet pour dterminer si les effets des contrles compensatoires en dehors du domaine des logiciels applicatifs ont t pris en compte.
Examiner les constatations de l'analyse de haut niveau ralise pour s'assurer que les objectifs des contrles gnraux et des contrles applicatifs automatiss sont atteints (ex :
disponibilit, scurit, prcision, exhaustivit, opportunit, autorisation et auditabilit).
ANNEXE III
121
AI2 Acqurir des applications et en assurer la maintenance (suite)
122
AI2.4 Scurit et disponibilit des applications Contrles scuritaires de dtection et prventifs Violations de la scurit non dtectes
Faire appel aux exigences de scurit et de disponibilit des mis en place selon les besoins Contrles de compensation coteux
applications en rponse aux risques identifis, en ligne avec la Disponibilit, intgrit et confidentialit des Disparits entre les contrles de scurit
classification des donnes de l'entreprise, l'architecture de donnes garanties envisags et les menaces et risques rels
l'information, l'architecture de la scurit de l'information et la
Disponibilit des systmes maintenue pour la
tolrance aux risques.
gestion des processus mtiers
Interroger les principaux employs concerns pour dterminer s'ils savent comment les solutions pour la scurit et la disponibilit de l'infrastructure seront intgres dans l'application.
Examiner les plans d'acquisition, d'implmentation et de test des applications pour s'assurer que la scurit et la disponibilit des applications ont t prises en compte dans
l'environnement intgr.
Vrifier et confirmer que le plan de disponibilit a t valid par les responsables techniques.
S'assurer que les parties prenantes concernes ont valid la documentation.
Interroger les commanditaires mtiers et examiner la documentation de revue de projet pour valuer la comprhension et l'adquation du plan de disponibilit ; demander si le plan est
susceptible de rpondre aux exigences de scurit et de disponibilit.
AI2.5 Configuration et implmentation des logiciels applicatifs Systme acquis configur pour rpondre aux Altration de l'orientation mtiers
acquis exigences dfinies par les mtiers Incapacit appliquer efficacement les futures
Configurer et implmenter les logiciels applicatifs acquis afin Systme acquis conforme l'architecture existante mises jour
d'atteindre les objectifs mtiers. Rduction de la disponibilit du systme et de
l'intgrit des informations
2008 AFAI. Tous droits rservs. www.afai.fr
Interroger les propritaires des processus mtiers et les principaux employs concerns pour dterminer si leurs suggestions et leurs recommandations ont t sollicites et rpercutes
dans la personnalisation et la configuration des applications. Identifier les situations dans lesquelles les suggestions des propritaires des processus mtiers n'ont pas t sollicites.
S'assurer auprs des principaux employs que le logiciel applicatif a t personnalis et configur l'aide des meilleures pratiques, d'aprs les conseils des fournisseurs et conformment
aux normes d'architecture internes.
Examiner les meilleures pratiques fournies par les fournisseurs, les comparer la stratgie de mise en uvre et identifier les configurations et personnalisations incorrectes.
S'assurer auprs des principaux employs concerns que les procdures de test mises en place prvoient la vrification des objectifs de contrle des logiciels applicatifs acquis (ex :
fonctionnalits, interoprabilit avec les applications et l'infrastructure existantes, efficience des performances des systmes, intgration, tests de capacit et de surcharge, intgrit des
donnes).
Examiner la documentation sur les tests d'intgration et unitaires et tudier les procdures de test pour vrifier l'adquation des tests.
S'assurer auprs des principaux employs concerns que tous les manuels d'utilisation et d'exploitation sont complets et/ou mis jour si ncessaire. Rechercher un exemple de
personnalisation des manuels d'utilisation et d'exploitation pour confirmer les mises jour de la documentation.
AI2 Acqurir des applications et en assurer la maintenance (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
AI2.6 Mises jour majeures des systmes existants Disponibilit systme stable Disponibilit systme rduite
Suivre un processus de dveloppement similaire celui du Prservation de la confidentialit, de l'intgrit et Confidentialit, intgrit et disponibilit
dveloppement de nouveaux systmes dans l'ventualit de de la disponibilit des donnes traites compromises des donnes traites
modifications majeures des systmes existants qui ont pour Contrle de la qualit et des cots pour les Insuffisance de la matrise des cots pour les
consquences des modifications significatives de conception et/ou
dveloppements dveloppements majeurs
des fonctionnalits actuelles.
Prservation de la compatibilit avec
l'infrastructure technique
Interroger les principaux employs et examiner la documentation approprie pour s'assurer que l'tude d'impact des principales mises niveau a t effectue en tenant compte des
critres objectifs spcifis (ex : exigences mtiers), des risques encourus (ex : impact sur les systmes et processus existants ou sur la scurit), de la justification des cots-bnfices et
d'autres exigences.
Examiner la documentation approprie pour identifier les carts par rapport aux processus standard de dveloppement et d'implmentation.
Interroger les commanditaires mtiers et les autres parties prenantes concernes et examiner la documentation approprie pour dterminer si les accords et autorisations ont t obtenus
pour le processus de dveloppement et d'implmentation.
AI2.7 Dveloppement d'applications Satisfaction garantie des besoins de l'entreprise, Gaspillage des ressources
S'assurer que les nouvelles fonctionnalits automatises se des clients et des utilisateurs Perte de l'orientation sur les exigences mtiers
conforment aux spcifications de conception, aux standards de Capacit grer et hirarchiser les ressources Nombreux dysfonctionnements
dveloppement et de documentation, aux exigences d'assurance Logiciels applicatifs gnrant des capacits pour Incapacit grer efficacement les applications
qualit et aux normes d'approbation. S'assurer que tous les aspects
l'entreprise
lgaux et contractuels sont identifis et pris en compte dans les
applications dveloppes par des tiers. Application rpondant aux exigences de facilit
d'utilisation
S'assurer auprs des principaux employs concerns que toute l'activit de dveloppement a t mise en place pour garantir le respect des normes de dveloppement et que les logiciels
dvelopps sont bass sur des spcifications adoptes pour rpondre aux exigences mtiers, fonctionnelles et techniques.
Examiner la documentation approprie (conception, revue de code, revue de projet, etc.) pour identifier les exceptions aux spcifications et aux normes.
Se procurer la documentation d'valuation des logiciels dvelopps et l'analyser pour s'assurer de sa pertinence.
S'assurer auprs des principaux employs concerns que les applications des responsables techniques et des responsables d'exploitation sont prtes et aptes un transfert vers
ANNEXE III
l'environnement de production.
Parcourir le code et identifier les problmes et exceptions.
Interroger les principaux employs concerns pour s'assurer de la conformit avec toutes les obligations et exigences.
Examiner les obligations contractuelles et les conditions d'octroi de licences relatives aux dveloppeurs tiers.
123
AI2 Acqurir des applications et en assurer la maintenance (suite)
124
AI2.8 Assurance qualit des logiciels Approche globale en matire de tests Qualit mdiocre des logiciels
Dvelopper un plan d'assurance qualit, le doter de ressources et le Tests effectus refltant les processus et les Nouveau test des logiciels dvelopps
mettre en uvre de faon obtenir la qualit spcifie dans la exigences mtiers Tests incapables de reflter les processus mtiers
dfinition des exigences et dans les politiques et les procdures Logiciels accepts officiellement actuels
qualit de l'entreprise.
Donnes des tests mal utilises et mettant en
pril la scurit de l'entreprise
Tests insuffisants
Inobservation des exigences de conformit
AI2.9 Gestion des exigences des applications Exigences officiellement dfinies et attentes de Modifications non autorises
Effectuer un suivi individuel de chaque exigence (y compris de celles l'entreprise clairement tablies Modifications pas appliques aux systmes
qui ont t rejetes) au cours de la conception, du dveloppement et Conformit aux procdures tablies de gestion des souhaits
de l'implmentation, et approuver les modifications apportes changements Disparits entre les attentes et les exigences
certaines exigences selon un processus tabli de gestion des
Une approche standardise approuve, permettant
changements.
2008 AFAI. Tous droits rservs. www.afai.fr
Vrifier et confirmer que les modifications apportes aux exigences individuelles sont surveilles, analyses et approuves par les parties prenantes concernes.
Examiner la documentation approprie pour s'assurer que toutes les modifications et l'tat des modifications sont enregistrs dans le systme de gestion des changements.
Identifier et signaler les modifications qui ne font pas l'objet d'un suivi.
AI2 Acqurir des applications et en assurer la maintenance (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
AI2.10 Maintenance des applications Conformit aux procdures tablies de gestion des Modifications non autorises
Dvelopper un plan stratgique pour la maintenance des applications. changements Modifications pas appliques aux systmes
Une approche standardise approuve, permettant souhaits
de modifier les applications de faon efficace Disparits entre les attentes et les exigences
Disponibilit systme rduite
ANNEXE III
125
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
Evaluer le rsultat des objectifs de contrle :
Examiner la documentation de conception du projet pour s'assurer que la conception est cohrente avec les plans mtiers, stratgies,
rglementations applicables et plans informatiques.
Se procurer un exemple de document de validation du projet et l'examiner pour dterminer si les projets ont t valids par l'assurance
qualit et si la conception gnrale a t correctement approuve par les parties prenantes mtiers et informatique (commanditaires du
projet).
Confirmer auprs de la DSI et examiner la documentation approprie pour dterminer si l'chantillon de spcifications techniques du projet
est conforme l'orientation technologique de l'entreprise et l'architecture de l'information.
Examiner les procdures et le plan d'intgration pour s'assurer de leur adquation.
Examiner la documentation du projet pour dterminer si l'impact de la nouvelle implmentation sur les applications et l'infrastructure
existantes a t valu et si les mthodes d'intgration appropries ont t prises en compte.
Examiner la documentation de fin d'tape pour s'assurer que toutes les activits de dveloppement ont t surveilles et que les demandes
de modification et les revues de conception et de performance qualit ont fait l'objet d'un suivi et ont t prises en compte dans les
discussions officielles de fin d'tape. S'assurer galement que les parties prenantes ont t pleinement reprsentes et que les revues de fin
d'tape incluent des critres de validation. Inspecter les journaux d'incidents, examiner la documentation et les validations pour vrifier
l'adquation des activits de dveloppement et identifier les carts.
Examiner la documentation de conception pour s'assurer que des solutions et mthodes appropries de scurit et de disponibilit sont
conues pour rpondre correctement aux exigences dfinies et pour exploiter ou accrotre les capacits d'infrastructure existantes.
Examiner la documentation d'assurance qualit et les journaux d'incidents pour s'assurer que toutes les exceptions significatives de qualit
sont identifies et que des mesures correctives sont prises. Examiner la documentation relative aux revues, rsultats, exceptions et
corrections d'assurance qualit pour s'assurer que les revues d'assurance qualit sont rptes si ncessaire.
Se procurer les demandes de modification et les examiner pour s'assurer qu'elles sont classes par catgories et priorits. S'assurer auprs
des principaux employs concerns que l'impact de toutes les demandes de modification a t valu.
Examiner les documents de contrle des modifications pour s'assurer que les modifications appliques en dehors de la procdure officielle
de gestion des changements ont t contrles et valides et pour identifier les modifications qui n'ont pas t contrles ni valides.
Inspecter les documents relatifs l'analyse des risques et dterminer si les risques mtiers et informatiques sont identifis, examins,
valus et compris par les mtiers et l'informatique et s'assurer que des lments indiquent que toutes les parties prenantes sont impliques.
Examiner les documents sur l'tude de faisabilit pour s'assurer que la faisabilit technique et la faisabilit conomique ont t prises en
compte de faon approprie.
Examiner la documentation sur les revues qualit, la comparer avec les critres d'acceptation initiaux et identifier les exceptions ou les
carts par rapport ces critres.
Examiner la documentation de fin d'tape pour s'assurer qu'une validation a t obtenue pour les dmarches proposes et/ou les
commentaires ncessitant une analyse de faisabilit plus approfondie.
Les entreprises disposent de processus pour l'acquisition, la mise en place et la mise niveau de leur infrastructure technique. Cela exige une approche planifie de l'acquisition, de la
maintenance et de la protection de l'infrastructure en accord avec les stratgies technologiques adoptes et de disposer d'environnements de dveloppement et de test. On est ainsi sr de
disposer d'un support technique permanent pour les applications mtiers.
AI3.1 Plan d'acquisition d'une infrastructure technique Planification technologique cohrente Pas de modle d'acquisition
laborer un plan d'acquisition, de mise en place et de maintenance de Scurit optimise des systmes Infrastructure technologique incohrente
l'infrastructure technique qui rponde aux besoins fonctionnels et Utilisation quilibre du matriel informatique et Technologie incapable de rpondre aux besoins
techniques dfinis des mtiers, et qui soit en accord avec les des logiciels mtiers
orientations technologiques de l'entreprise.
Harmonisation avec le plan informatique Scurit de l'information mise en pril
stratgique, l'architecture de l'information et
l'orientation technologique
Planification financire optimise
ANNEXE III
127
AI3 Acqurir une infrastructure technique et en assurer la maintenance (suite)
128
AI3.2 Protection et disponibilit des ressources de Planification technologique cohrente Perturbation du traitement de la production
l'infrastructure Scurit optimise des systmes Contournement non dtect des contrles d'accs
Mettre en place des mesures de contrle interne, de scurit et Utilisation quilibre du matriel informatique et Accs non autoris des logiciels sensibles
d'auditabilit au cours de la configuration, de l'intgration et de la des logiciels Besoins mtiers non pris en charge par la
maintenance du matriel et des logiciels systme pour protger les
Confidentialit et intgrit des donnes technologie
ressources et assurer la disponibilit et l'intgrit. Ceux qui
dveloppent et intgrent les composants d'infrastructure doivent maintenues dans toutes les tapes du systme
clairement dfinir les responsabilits d'utilisation des composants
sensibles. Leur utilisation doit tre suivie et value.
S'assurer auprs des principaux employs concerns que les activits de maintenance des lments d'infrastructure sensibles sont journalises et rgulirement contrles par un cadre
suprieur comptent.
Examiner les journaux de maintenance et s'assurer que tous les lments ont t enregistrs. Examiner la documentation approprie (ex : le tableau d'analyse des journaux et les rapports
priodiques de scurit du systme) pour s'assurer que les journaux sont rgulirement analyss.
AI3 Acqurir une infrastructure technique et en assurer la maintenance (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
S'assurer auprs des principaux employs concerns que la maintenance du processus logiciel de base install utilise la mme procdure que les mises jour d'application, le cas chant.
Examiner la maintenance planifie des logiciels systme et identifier les carts par rapport la procdure standard de mise jour des applications et/ou les exceptions aux procdures et
consignes des fournisseurs.
S'assurer auprs des principaux employs concerns que la documentation des logiciels systme est gre et tenue jour l'aide de la documentation du fournisseur, pour toutes les
activits de maintenance des systmes.
Examiner la documentation approprie et identifier les domaines dans lesquels elle est incomplte ou obsolte.
Interroger les principaux employs concerns pour vrifier le processus ou la mthode utilis pour connatre, en temps utile, la disponibilit des mises niveau et/ou des correctifs
proposs par les fournisseurs (ex : accord spcifique avec le fournisseur, adhsion un groupe d'utilisateurs du produit, abonnement une revue professionnelle).
Examiner un exemple de logiciel systme et s'assurer que les mises niveau et/ou correctifs ont t appliqus en temps utile.
Identifier tous les carts et/ou les exceptions.
Interroger les principaux employs concerns pour vrifier si le volume d'activit de maintenance ralise, la vulnrabilit de l'infrastructure non prise en charge et les futurs risques et
lacunes de scurit sont rgulirement passs en revue.
Effectuer une valuation de ces bilans et noter les domaines dans lesquels les risques identifis par l'valuation n'ont pas t abords par les principaux employs concerns.
Examiner les journaux de suivi de la maintenance et les outils de retour d'exprience pour s'assurer que les rsultats de ces bilans sont communiqus au comit informatique ou un
groupe quivalent et qu'ils sont pris en compte dans le processus de planification de l'infrastructure.
AI3.4 Environnement de test de faisabilit Mesures efficaces pour justifier le remplacement Perturbation de l'activit
Mettre en place des environnements de tests et de dveloppement des logiciels Vandalisme
pour favoriser une faisabilit efficace et efficiente et pour tester Dtection des erreurs et des problmes avant qu'ils
l'intgration des composants de l'infrastructure. ne se rpercutent sur le traitement de la production
ANNEXE III
Evaluer les contrles
S'assurer auprs des principaux employs concerns qu'une approche conforme aux plans informatiques stratgiques est conue pour permettre la cration d'environnements de tests et
de simulation adapts et la vrification de la faisabilit des acquisitions ou dveloppements prvus.
129
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
Evaluer le rsultat des objectifs de contrle :
Examiner les plans d'acquisitions d'infrastructure pour s'assurer qu'ils ont t contrls et valids et que les risques, les cots et bnfices et
la conformit technique ont t pris en compte. Inspecter les plans pour s'assurer qu'ils ont t approuvs par le comit informatique ou
quivalent.
S'assurer auprs des principaux employs concerns que toutes les exigences de scurit associes aux procdures d'installation et de
maintenance des logiciels applicatifs ont t prises en compte et que tous les risques nouveaux ont t valus et traits.
S'assurer auprs des responsables de la formation et des principaux employs qui utilisent les composants d'infrastructure sensibles qu'une
formation approprie a t dispense.
S'assurer auprs des principaux employs concerns qu'un plan et une stratgie sont en place pour orienter la maintenance de l'infrastructure
conformment aux procdures de gestion des changements. Inspecter la documentation approprie relative aux plans pour s'assurer qu'elle
porte sur tous les aspects des exigences de maintenance de l'infrastructure (demandes de changement, correctifs, mises niveau,
rparations, etc.). S'assurer galement que la stratgie et le plan sont en harmonie avec l'orientation technologique de l'entreprise, qu'ils sont
contrls en temps utile et valids par les dirigeants comptents.
S'assurer que la mthode utilise pour sparer les environnements systme dans les phases de dveloppement et de test est approprie.
S'assurer qu'un environnement de tests a t cr et qu'il tient compte de la configuration des fonctionnalits, du matriel et des logiciels,
des tests d'intgration et de performance, de la migration d'un environnement un autre, du contrle des versions, des donnes et des outils
de tests, et de la scurit.
Les connaissances sur les nouveaux systmes sont rendues disponibles. Ce processus impose de produire de la documentation et des manuels pour les utilisateurs et pour l'informatique, et de
proposer des formations pour assurer une bonne utilisation et un bon fonctionnement des applications et de l'infrastructure.
AI4.1 Planification pour rendre les solutions exploitables Manuels d'utilisation et d'exploitation cohrents Changements trop tardifs
Dvelopper un plan pour identifier et documenter tous les aspects Soutien de la formation des utilisateurs Disparits entre les attentes et la capacit
techniques, d'exploitation et d'utilisation, de faon ce que toutes les Optimisation de la qualit de service Priorit inadapte donne aux diffrents services
personnes charges de l'exploitation, de l'utilisation et de la fournis
maintenance des solutions automatises puissent exercer leurs
Budgets et ressources inappropris pour
responsabilits.
remdier aux disparits
AI4.2 Transfert de la connaissance au secteur mtier Transfert des connaissances au sein de l'entreprise Changements trop tardifs
Transfrer la connaissance aux responsables mtiers pour leur Qualit homogne dans toutes les quipes Disparits entre les attentes et la capacit
permettre d'assumer la proprit des systmes et des donnes et concernes Priorit inadapte donne aux diffrents services
d'exercer la responsabilit de la livraison de services et de la qualit, Soutien efficace des mtiers fournis
du contrle interne et de l'administration des applications.
Manuels d'utilisation favorisant les processus Budgets et ressources inappropris pour
mtiers remdier aux disparits
ANNEXE III
Inspecter les principales fonctions systme avec le personnel des directions mtiers pour identifier les domaines dans lesquels une formation supplmentaire serait utile.
Examiner et valuer les supports de formation pour identifier les sujets non traits ou mal expliqus.
131
AI4 Faciliter le fonctionnement et l'utilisation (suite)
132
AI4.3 Transfert des connaissances aux utilisateurs finaux Transfert des connaissances aux parties prenantes Utilisation incohrente du systme
Transfrer les connaissances et les comptences pour permettre aux Formation efficace et efficiente Documentation insuffisante
utilisateurs finaux d'utiliser le systme avec efficacit et efficience au Optimisation du fonctionnement et de l'utilisation Confiance accrue envers les principaux
bnfice des processus mtiers. du systme employs
Problmes rencontrs lors des activits
quotidiennes
Formation ne rpondant pas aux besoins des
utilisateurs
Service d'assistance surcharg
Interroger les principaux employs propos de la sensibilisation du groupe d'utilisateurs et de leur connaissance du processus permettant d'utiliser efficacement le systme applicatif au
bnfice des processus mtiers (ex : formation et perfectionnement des comptences, supports de formation, manuels d'utilisation, manuels de procdure, aide en ligne, service
d'assistance, identification des utilisateurs cls, valuation).
Examiner les supports de formation et d'implmentation pour dterminer si la procdure dfinie inclut le contenu requis.
Interroger les principaux employs concerns pour s'assurer que l'utilisateur connat le mcanisme de retour d'exprience et est en mesure de l'utiliser pour valuer l'adquation de la
documentation d'assistance, des procdures et de la formation correspondante.
AI4.4 Transfert des connaissances vers le personnel de Transfert des connaissances aux parties prenantes Documentation insuffisante
l'exploitation et du support Formation efficace et efficiente Confiance accrue envers les principaux
Transfrer les connaissances et les savoir-faire pour permettre au Optimisation du fonctionnement et du support employs
personnel de l'exploitation et du support technique de travailler avec systme Problmes rencontrs lors des activits
efficacit et efficience, de fournir l'assistance et la maintenance
Approches dfinies officiellement pour toutes les quotidiennes
ncessaires au systme et l'infrastructure associe.
tapes de dveloppement des applications Formation ne rpondant pas aux besoins de
2008 AFAI. Tous droits rservs. www.afai.fr
Interroger les principaux employs propos de la sensibilisation du personnel d'exploitation et du support technique et de sa connaissance du processus permettant de travailler avec
efficacit et efficience, de fournir l'assistance et la maintenance ncessaires au systme d'applications et l'infrastructure associe, en maintenant les niveaux de services requis (ex :
formation et perfectionnement des comptences, supports de formation, manuels d'utilisation, manuels de procdure, aide en ligne, scnarios du service d'assistance).
Examiner les supports de formation et d'implmentation pour dterminer si la procdure dfinie inclut le contenu requis.
Interroger les principaux employs concerns pour s'assurer que le personnel d'exploitation et du support technique connat le mcanisme de retour d'exprience et est en mesure de
l'utiliser pour valuer l'adquation de la documentation d'assistance, des procdures et de la formation correspondante.
Dterminer si les employs du service d'exploitation et du support technique participent l'laboration et la gestion de la documentation d'exploitation et de support technique.
Identifier les domaines dans lesquels les procdures de soutien oprationnel ne sont pas intgres dans les procdures de soutien oprationnel existantes.
ANNEXE III
Evaluer le rsultat des objectifs de contrle :
Pour un chantillon de projets de fourniture de solutions, inspecter la documentation pour dterminer si des manuels d'utilisation et de
procdures d'exploitation sont disponibles.
valuer les connaissances du management pour dterminer si les membres du management ont dirig la cration de procdures de gestion
pour leurs secteurs d'activit (ex : autorisation d'accs, gestion des droits, sparation des tches, contrles mtiers automatiss,
sauvegarde/restauration, scurit physique, archivage des donnes source). S'assurer que ces procdures sont intgres dans les procdures
de gestion et de contrle existantes et mener une enqute pour dterminer si le management est conscient des anomalies.
Inspecter les applications nouvelles ou mises niveau avec les directions mtiers pour identifier les domaines dans lesquels une formation
supplmentaire est ncessaire. Examiner et valuer les supports de formation utiliss.
Inspecter un chantillon de documents de retour d'exprience pour dterminer si les mcanismes de retour d'exprience appropris ont t
utiliss pour laborer la documentation d'assistance, les procdures et la formation correspondante.
valuer la participation des utilisateurs la cration de procdures utilisateur pour leurs secteurs d'activit (ex : formation et
perfectionnement des comptences, supports de formation, manuels d'utilisation, manuels de procdure, aide en ligne, service d'assistance,
identification des utilisateurs cls, valuation). S'assurer que ces procdures sont intgres dans les procdures de contrle et d'utilisation
existantes (ex : entres/sorties systme, intgration systme, messages d'erreur) et mener une enqute pour dterminer si les utilisateurs sont
conscients des anomalies.
Inspecter les infrastructures et applications nouvelles ou mises niveau avec le personnel de la direction de l'exploitation et du support
technique pour identifier les domaines dans lesquels une formation supplmentaire serait utile. Examiner et valuer les supports de
formation pour dterminer s'ils sont appropris.
valuer la participation du personnel d'exploitation et du support technique la cration de procdures d'exploitation et de support
technique pour leurs secteurs d'activit (ex : formation et perfectionnement des comptences, supports de formation, manuels d'utilisation,
manuels de procdure, aide en ligne, scnarios du service d'assistance). S'assurer que ces procdures (ex : sauvegarde,
redmarrage/restauration, diffusion des rapports/rsultats, rparations d'urgence, paramtres/commande de l'oprateur, remonte des
problmes) sont intgres dans les procdures existantes du personnel d'exploitation et de support technique. Mener une enqute pour
dterminer si les membres du personnel d'exploitation et de support technique sont conscients des anomalies.
AI5.1 Contrle des achats Relations avec les fournisseurs optimises Inconstance des fournisseurs concernant la
Dvelopper et suivre un ensemble de procdures et de standards Excellente contribution aux processus mtiers et satisfaction des exigences
conformes au processus gnral et la stratgie d'acquisition de informatiques Vulnrabilits commerciales et contractuelles en
l'entreprise pour acheter l'infrastructure, les installations, les Achats favorisant la ralisation des objectifs matire d'achats
matriels, logiciels et services informatiques dont l'entreprise a
mtiers et informatiques fixs Solutions automatises non conformes aux plans
besoin.
court terme et long terme de l'entreprise
Qualit insuffisante des logiciels dans les
solutions achetes
Manque de matrise des cots
AI5.2 Gestion des contrats fournisseurs Buts et objectifs des relations investisseurs Manque de matrise des cots
Mettre en place, pour tous les fournisseurs, une procdure pour clairement dfinis Disparits entre les attentes de l'entreprise et les
tablir, modifier et mettre un terme aux contrats. Cette procdure doit Gestion efficace de l'acquisition des ressources comptences des fournisseurs
recouvrir, au minimum, les responsabilits lgales, financires et Excellente contribution aux processus mtiers et Cots des services supports non dfinis
civiles, ainsi que celles qui sont lies la documentation, la
informatiques Services incapables de reflter les exigences
2008 AFAI. Tous droits rservs. www.afai.fr
Interroger les principaux employs concerns pour s'assurer que les politiques et standards sont mis en place pour passer des contrats avec les fournisseurs. Ces politiques et standards
doivent porter sur les responsabilits des clients et fournisseurs, les contrats de service (CS) des fournisseurs, la surveillance des CS et les rapports correspondants, les procdures de
transition, les procdures de notification et de remonte d'informations, les normes de scurit, les exigences de contrle et de gestion des enregistrements, et les pratiques d'assurance
qualit obligatoires des fournisseurs. Les contrats doivent galement inclure les aspects juridiques, financiers, organisationnels, documentaires, relatifs aux performances, la scurit,
l'auditabilit, la proprit intellectuelle et la responsabilit oprationnelle et finale.
AI5 Acqurir des ressources informatiques (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
AI5.3 Choix des fournisseurs Contribution aux nouvelles ides et pratiques Slection inapproprie des fournisseurs
Choisir les fournisseurs en suivant une procdure officielle et Participation permanente aux objectifs de Soutien inappropri pour la ralisation des
quitable pour garantir la meilleure adaptation durable aux exigences l'entreprise au-del des CS des fournisseurs objectifs de l'entreprise
spcifies. Celles-ci doivent tre optimises l'aide des propositions Disparits entre les exigences et la capacit des
de fournisseurs potentiels.
fournisseurs
ANNEXE III
135
AI5 Acqurir des ressources informatiques (suite)
136
AI5.4 Acquisition de ressources informatiques Gestion des incidents efficiente et efficace Mises jour logicielles non disponibles au
Protger et veiller au respect des intrts de l'entreprise dans tous les Systmes fonctionnant comme prvu et non sujets moment souhait
accords contractuels d'acquisition, y compris les droits et obligations aux dysfonctionnements Logiciels incapables de soutenir les processus
de toutes les parties dans les clauses contractuelles en rapport avec Possibilit de remdier aux incidents dans des mtiers
l'acquisition des logiciels, des ressources de dveloppement, des
dlais appropris Impossibilit d'appliquer les modifications
infrastructures et des services.
d'applications comme prvu
Systme sujet aux problmes et incidents,
entranant la perturbation des activits
AI6.1 Standards et procdures de changement Une approche standardise approuve, permettant Affectation inapproprie des ressources
Mettre en place des procdures formelles de gestion des changements de grer les changements de faon efficace et Pas de suivi des changements
pour traiter de faon standardise toutes les demandes de efficiente Contrle insuffisant des changements d'urgence
modifications (y compris maintenance et correctifs) des applications, Changements contrls et valids de faon Plus grande probabilit que des changements
procdures, processus, paramtres systmes et services, et des plates-
cohrente et coordonne non autoriss soient introduits dans les systmes
formes sur lesquelles ils s'appuient.
Mesure des performances et perspectives mtiers cls
officiellement dfinies Incapacit respecter les exigences de
conformit
Changements non autoriss
Disponibilit systme rduite
AI6.2 valuation de l'impact, choix des priorits et autorisation Une approche standardise approuve, permettant Consquences indirectes non intentionnelles
valuer toutes les demandes de changements de faon structure pour d'valuer l'impact de faon efficace et efficiente Effets ngatifs sur la capacit et les
dterminer l'impact sur le systme en exploitation et sur ses Perspectives d'impact des changements performances de l'infrastructure
fonctionnalits. S'assurer que les changements sont classs par officiellement dfinies, en fonction du risque Gestion des priorits insuffisante en matire de
catgories, par priorits et qu'ils sont autoriss.
mtiers et de la mesure des performances changements
Procdure de modification cohrente
ANNEXE III
139
AI6 Grer les changements (suite)
140
AI6.3 Modifications d'urgence Une approche standardise approuve, permettant Incapacit rpondre efficacement aux besoins
Mettre en place un processus pour dfinir, susciter, tester, de grer les changements de faon efficace et de modifications d'urgence
documenter, valuer et autoriser les modifications d'urgence qui ne efficiente Suppression inapproprie de l'autorisation
suivent pas le processus de changement tabli. Mesure des performances et perspectives de d'accs supplmentaire
modifications d'urgence officiellement dfinies Application de modifications non autorises,
Procdure cohrente de modification d'urgence mettant en pril la scurit et gnrant un accs
non autoris aux donnes de l'entreprise
Vrifier et confirmer que la procdure globale de gestion des changements inclut des procdures de modification d'urgence (ex : dfinir, susciter, tester, documenter, valuer et autoriser
les modifications d'urgence).
Examiner la documentation relative un chantillon reprsentatif de modifications d'urgence et, en interrogeant les principaux employs concerns, dterminer si les modifications
d'urgence sont mises en uvre conformment la procdure de gestion des changements.
Interroger les principaux employs concerns pour s'assurer que les mesures d'accs d'urgence sont autorises, documentes et annules une fois la modification applique.
Vrifier et confirmer qu'une revue post-implmentation des modifications d'urgence est effectue.
AI6.4 Suivi et compte-rendu des changements Une approche standardise approuve, permettant Affectation insuffisante des ressources
Mettre en place un systme de suivi et de reporting pour documenter de grer les changements de faon efficace et Absence de consignation et de suivi des
les modifications refuses, communiquer la situation des efficiente modifications
modifications autorises et en cours, et finaliser les modifications. Mesure des performances et perspectives Dtection inexistante des modifications non
S'assurer que les modifications autorises sont mises en uvre
officiellement dfinies autorises appliques l'environnement de
comme prvu.
Procdure de modification cohrente production
Vrifier et confirmer qu'une procdure tablie permet aux demandeurs et aux parties prenantes de suivre la situation des demandes au cours des diffrentes tapes de la procdure de
gestion des changements.
Vrifier et confirmer que le systme de suivi et de reporting surveille l'tat des demandes de changement (ex : refuse, autorise mais pas entreprise, autorise, en cours).
Vrifier et confirmer que le management contrle et surveille l'tat dtaill des changements et l'tat gnral (analyse d'anciennet des demandes de changement).
Vrifier et confirmer que les changements initis et valids sont clturs en temps utile, en fonction de leur priorit.
AI6 Grer les changements (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
AI6.5 Clture et documentation des changements Une approche standardise approuve, permettant Dpendance accrue vis--vis d'individus cls
Chaque fois qu'on met en place des changements, mettre jour les de documenter les changements Documents de configuration ne refltant pas la
systmes associs, la documentation utilisateur et les procdures. Perspectives officiellement dfinies configuration actuelle du systme
Procdures cohrentes de modification et de Manque de documentation relative aux
documentation processus mtiers
Absence de mises jour suite aux changements
de matriel et de logiciels
Vrifier et confirmer que la documentation relative aux changements (ex : procdures d'exploitation, informations sur la configuration, documentation des applications, crans d'aide,
supports de formation) est tenue jour.
Vrifier et confirmer que la documentation relative aux changements (ex : documentation utilisateur et systme pr-implmentation et post-implmentation) est conserve.
Vrifier et confirmer que la documentation sur les processus mtiers est mise jour par rapport aux changements appliqus au matriel et aux logiciels.
ANNEXE III
141
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
Evaluer le rsultat des objectifs de contrle :
Pour un chantillon de modifications, s'assurer que les lments suivants ont t valids par les parties prenantes concernes (propritaires
des processus mtiers et DSI) :
Demande de changement
Description du changement
Accs au programme source
Application de la modification par le programmeur
Demande de dplacement de la source dans l'environnement de test
Ralisation du test de recette
Demande de compilation et mise en production
Dtermination et acceptation de l'impact global et spcifique sur la scurit
laborer un processus de distribution.
Examiner la documentation relative au contrle des modifications pour s'assurer qu'elle contient les lments suivants :
Date du changement demand
Noms des demandeurs
Validation de la demande de changement
Validation du changement effectu (service informatique)
Validation du changement effectu (utilisateurs)
Date de mise jour de la documentation
Date de la mise en production
Validation du changement par le service d'assurance qualit
Acceptation par le service d'exploitation
Pour un chantillon de modifications, examiner la documentation pour vrifier l'existence d'un mcanisme de contrle des versions.
Pour un chantillon de modifications relatives aux prestataires de services sous contrat, examiner les changements mis en uvre et
dterminer s'ils sont conformes aux instructions fournies par le prestataire.
Examiner un chantillon de modifications et dterminer si les demandes ont t classes par catgories.
Examiner un chantillon de modifications et dterminer si elles ont t classes par priorits en fonction de critres prdfinis.
Examiner un chantillon de modifications et dterminer si elles ont t values selon une mthode structure (ex : incidences juridiques,
contractuelles, en termes de scurit et de conformit, sont prises en compte et les propritaires des processus mtiers sont impliqus).
Examiner un chantillon de modifications d'urgence et s'assurer qu'elles ont t appliques conformment au cadre de gestion des
changements. S'assurer que les procdures ont t respectes pour autoriser, documenter et annuler l'accs une fois la modification faite.
Examiner un chantillon de modifications d'urgence et dterminer si une revue post-implmentation a t ralise une fois les modifications
appliques. tudier les incidences sur la maintenance ultrieure du systme applicatif, l'impact sur les environnements de tests et de
dveloppement, la qualit de dveloppement des logiciels applicatifs, la documentation et les manuels, ainsi que l'intgrit des donnes.
Inspecter le systme de suivi et de reporting et s'assurer que la documentation tient compte des modifications refuses, de l'tat des
modifications valides et en cours et des modifications termines, et s'assurer auprs des utilisateurs que l'tat est jour.
Examiner un chantillon de rapports de situation des changements pour dterminer si une piste d'audit est utilise pour suivre les
changements, de leur origine leur achvement.
Examiner un chantillon de rapports de situation des changements pour dterminer si des mesures de performance sont utilises pour aider
le management contrler et surveiller les oprations.
Examiner un chantillon de modifications pour dterminer si la documentation s'y rapportant a t conserve pendant la priode d'archivage
approprie.
Examiner les manuels des processus mtiers pour dterminer s'ils ont t mis jour pour tenir compte des fonctionnalits nouvelles ou
amliores des logiciels et du matriel.
Slectionner un chantillon de modifications et valuer la qualit de la coordination avec les tiers.
Confirmer le processus d'valuation des performances de la procdure de gestion des changements. valuer toutes les amliorations
potentielles identifies qui se sont traduites par des recommandations la DSI en vue d'amliorer la procdure de gestion des changements.
Il faut mettre en exploitation les nouveaux systmes lorsque la phase de dveloppement est acheve. Cela exige d'effectuer les bons tests sur les donnes dans un environnement ddi, de
dfinir les instructions de dploiement et de migration, un planning de livraison et la mise en production proprement dite, et des revues post-implmentation. Cela garantit que les systmes
oprationnels sont en phase avec les attentes et les rsultats recherchs.
AI7.1 Formation Dveloppement cohrent de nouvelles Incapacit dtecter rapidement les problmes
Former le personnel des services utilisateurs concerns et l'quipe de comptences lis aux systmes ou leur utilisation
production informatique conformment au plan de formation dfini et Formation optimise pour un rendement Manque de connaissances pour effectuer les
aux supports associs ; cette tape doit faire partie intgrante de tous professionnel efficace et efficient tches et activits requises
les projets de dveloppement, de mise en place ou de modification
Familiarisation avec les systmes nouveaux ou Erreurs suite au lancement de nouveaux projets
des systmes d'information.
modifis
ANNEXE III
143
AI7 Installer et valider les solutions et les modifications (suite)
144
AI7.2 Plan de test Participation des parties prenantes cls Insuffisance des tests raliss par des scripts de
Constituer un plan de test bas sur des standards applicables Rduction des interruptions d'activit test automatiss
l'ensemble de l'entreprise, qui dfinissent des rles, des occasionnes par la dfaillance du traitement Problmes de performance non dtects
responsabilits et des critres d'entre/sortie. S'assurer que le systme Manque de matrise des cots sur les activits de
programme est valid par les parties concernes.
test
Rles et responsabilits non dfinis en matire
de tests
Vrifier et confirmer qu'un plan de test est labor et document conformment au plan qualit du projet et aux normes organisationnelles et qu'il est communiqu aux propritaires des
processus mtiers concerns et aux parties prenantes des SI.
Vrifier et confirmer que le plan de test s'appuie sur une valuation des risques du projet et que toutes les exigences de tests fonctionnels et techniques sont prises en compte.
Vrifier et confirmer que le plan de test identifie les ressources permettant d'effectuer les tests et d'en analyser les rsultats.
UTILISATION
S'assurer que les parties prenantes sont consultes propos des incidences du plan de test en termes de ressources.
TILISATION DE
Vrifier et confirmer que le plan de test prvoit la prparation des tests (et du site ddi), les besoins de formation, l'installation ou la mise jour d'un environnement de tests dfini, la
planification/performance/documentation/conservation des scnarios de tests, la gestion, la correction et le signalement des erreurs et problmes, et la validation officielle.
Pour un chantillon de plans de test, inspecter la documentation pour dterminer si les phases de test appropries sont excutes.
Vrifier et confirmer que le plan de test dfinit clairement des critres permettant de mesurer la russite de l'excution de chaque phase de test et que les entretiens avec les propritaires
des processus mtiers et les parties prenantes des SI sont pris en compte pour dfinir les critres de russite.
Dterminer si le programme met en place des mesures correctives lorsque les critres de russite ne sont pas remplis (ex : en cas de dysfonctionnement important d'une phase de test, le
programme fournit des recommandations sur la faon de passer la phase suivante, d'arrter le test ou de reporter la mise en uvre).
Vrifier et confirmer que les plans de test sont valids par les parties prenantes, y compris les propritaires des processus mtiers et les SI, suivant le cas. Exemples d'autres parties
DE C
prenantes : responsables du dveloppement d'applications, chefs de projet, utilisateurs finaux des processus mtiers.
COBI
OBIT
T
2008 AFAI. Tous droits rservs. www.afai.fr
AI7 Installer et valider les solutions et les modifications (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
AI7.3 Plan d'implmentation Une approche standardise approuve, permettant Affectation inapproprie des ressources pour
laborer un plan d'implmentation prvoyant des solutions de de mettre en uvre les modifications de faon garantir la mise en uvre efficace des
remplacement et de restauration. Obtenir l'approbation des parties efficace et efficiente modifications
concernes. Mesure des performances et perspectives Failles de scurit
officiellement dfinies
Reprise efficace en cas d'chec de
l'implmentation
Pour un chantillon reprsentatif de projets, s'assurer que le plan d'implmentation a t contrl et valid.
Vrifier et confirmer qu'un plan d'implmentation a t cr et qu'il inclut une stratgie d'implmentation globale, l'ordre des tapes d'implmentation, les besoins en ressources, les
corrlations, les critres selon lesquels le management valide la mise en production, les exigences de vrification des installations et la stratgie de transition pour le soutien de la
production.
Slectionner un chantillon reprsentatif de projets et s'assurer que le plan d'implmentation est conforme au plan de gestion des changements mtiers.
Vrifier et confirmer que les tiers s'engagent participer chaque tape de l'implmentation.
Vrifier et confirmer que les processus de remplacement et de reprise sont identifis et documents dans le plan d'implmentation.
AI7.4 Environnement de tests Interruptions limites de l'activit en production Insuffisance des tests raliss l'aide de scripts
Dfinir et laborer un environnement de tests scuris, reprsentatif de test automatiss
de l'environnement d'exploitation prvu en matire de scurit, de Problmes de performance non dtects
contrles internes, de pratiques d'exploitation, d'exigences de qualit Scurit des systmes mise en chec
et de confidentialit des donnes, et de charge de travail.
Vrifier et confirmer que l'environnement de tests est configur pour reflter l'environnement de production (les facteurs incluent la charge de travail/contraintes, les systmes
d'exploitation, les logiciels applicatifs ncessaires, les systmes de gestion de bases de donnes, l'infrastructure rseau et informatique).
Vrifier et confirmer que l'environnement de tests n'est pas en mesure d'interagir avec les environnements de production.
Vrifier et confirmer l'existence d'une base de donnes test.
Dterminer l'existence et la qualit d'un processus de nettoyage des donnes lors de la cration d'une base de donnes test.
ANNEXE III
valuer les mesures de protection et l'autorisation d'accs l'environnement de tests.
Vrifier et confirmer l'existence d'une procdure permettant de grer l'archivage ou l'limination des rsultats des tests, et s'assurer que cette procdure est respecte.
Vrifier et confirmer que la procdure d'archivage respecte ou dpasse les exigences de conformit ou rglementaires.
145
AI7 Installer et valider les solutions et les modifications (suite)
146
AI7.5 Conversion des systmes et des donnes Composants inappropris dtects et retirs de la Anciens systmes indisponibles lorsqu'ils sont
Planifier la conversion des donnes et la migration des infrastructures production ncessaires
dans le cadre des projets de dveloppement de l'entreprise (pistes Nouveau systme fonctionnant comme prvu et Manque de fiabilit du systme et des rsultats
d'audit, restaurations, remplacements, etc.). soutenant les processus mtiers de conversion
Interruptions de traitement en dcoulant
Problmes d'intgrit des donnes
UTILISATION
TILISATION DE
Objectif de contrle Inducteurs de valeur Inducteurs de risque
AI7.6 Test des modifications Objectifs atteints en termes de performance des Gaspillage des ressources
Tester les modifications de faon indpendante, conformment au systmes Dtrioration de la scurit globale
plan de test dfini et avant la migration vers l'environnement Matrise efficace des cots Rpercussion des changements sur la
d'exploitation. S'assurer que le plan tient compte de la scurit et des Confiance accrue des clients disponibilit et les performances des systmes
performances.
DE C
COBI
Evaluer les contrles
OBIT
Vrifier et confirmer que le test des modifications est labor de faon indpendante (sparation des tches) et ralis uniquement dans l'environnement de tests.
Vrifier et confirmer l'existence de scripts de tests pour respecter les exigences de scurit et de performance.
T
2008 AFAI. Tous droits rservs. www.afai.fr
S'assurer, par le biais d'entretiens, que des plans de remplacement ou de restauration sont labors et tests avant que les modifications soient appliques en production.
AI7 Installer et valider les solutions et les modifications (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
AI7.7 Test de recette dfinitive Interruptions limites de l'activit en production Problmes de performance non dtects
S'assurer que les propritaires des processus mtiers et les parties Protection des flux de donnes critiques Mtiers rejetant les capacits fournies
prenantes des SI valuent le rsultat de la procdure de test, comme le Identification des carts par rapport la qualit de
prconise le plan de test. Corriger les erreurs significatives identifies service attendue
dans la procdure de test, aprs avoir effectu la squence de tests
Application rpondant aux exigences de facilit
identifis dans le plan de test et tous les tests de rgression
ncessaires. Suite l'valuation, valider l'envoi en production. d'utilisation
S'assurer que les parties prenantes cls sont prises en compte dans les activits de test de recette dfinitive.
Vrifier et confirmer que, lors des phases de recette dfinitive, les critres de russite sont identifis dans le plan de test.
Vrifier et confirmer l'existence d'une documentation approprie pour le contrle et l'valuation.
Demander aux principales parties prenantes si la documentation et la prsentation des rsultats des tests de recette dfinitive sont complets et fournis en temps utile.
ANNEXE III
147
AI7 Installer et valider les solutions et les modifications (suite)
148
AI7.8 Transfert en production Une approche standardise approuve, permettant Manquements au principe de sparation des
Aprs les tests, contrler le passage du systme modifi de transfrer les modifications en production de tches
l'exploitation, en veillant ce qu'il reste conforme au plan faon efficace et efficiente Systmes exposs la fraude ou autres actes
d'implmentation. Obtenir l'autorisation des parties prenantes Mesure des performances et perspectives malveillants
(utilisateurs, propritaire du systme, direction de l'exploitation, etc.).
officiellement dfinies Aucun retour possible la version prcdente du
Lorsque cela est possible, excuter le systme en parallle avec
l'ancien systme pendant une certaine priode et comparer le Procdure de modification cohrente systme applicatif
comportement et les rsultats.
Examiner les procdures de transfert des programmes pour s'assurer qu'il existe un processus officiel ncessitant une validation documente des responsables utilisateurs et du
dveloppement systme.
S'assurer que le processus de validation identifie les dates de transfert des nouveaux systmes, applications ou infrastructure vers la production, ainsi que celles du retrait des anciens
systmes, applications ou infrastructures.
UTILISATION
Vrifier et confirmer que le processus de validation prvoit une autorisation documente officielle de la part des propritaires des processus mtiers, des tiers et des parties prenantes des
TILISATION DE
SI suivant le cas (ex : groupe de dveloppement, groupe de scurit, gestion des bases de donnes, groupe d'exploitation et d'assistance utilisateur).
Confirmer l'existence de procdures permettant de mettre jour les copies de la documentation systme et le plan d'urgence appropri.
Interroger les principaux employs concerns sur les procdures permettant de mettre jour toutes les bibliothques de programmes source et les procdures d'tiquetage et d'archivage
des versions antrieures.
Interroger les principaux employs concerns sur les procdures obligatoires permettant d'obtenir les supports utiliss pour l'implmentation, auprs du service charg des tests de
recette.
Interroger les principaux employs concerns pour vrifier si la distribution automatique des logiciels est matrise et si des contrles du processus de distribution sont effectus pour
s'assurer que l'environnement de destination correspond une version et une implmentation standard correctes.
DE C
valuer l'efficacit du contrle pour s'assurer que les logiciels sont uniquement distribus vers les destinations autorises et correctement identifies.
Interroger les principaux employs concerns pour vrifier s'ils conservent un journal officiel prcisant les logiciels et les lments de configuration distribus, les destinataires, le lieu
COBI
o ils ont t implments et les dates auxquelles ils ont t mis jour.
Interroger les principaux employs concerns sur les procdures permettant de mettre jour rapidement toutes les copies des programmes et les procdures permettant de fournir
OBIT
l'avance les instructions/ordres d'implmentation, sur tous les sites concerns.
T
2008 AFAI. Tous droits rservs. www.afai.fr
AI7 Installer et valider les solutions et les modifications (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
AI7.9 Revue post-implmentation Une approche standardise approuve relative aux Incapacit constater que les systmes ne
Mettre en place des procdures conformes aux standards de gestion revues post-implmentation rpondent pas aux besoins des utilisateurs finaux
des changements organisationnels pour exiger une revue post- Procdure de contrle cohrente et transparente Retour sur investissement ne rpondant pas aux
implmentation, comme indiqu dans le plan d'implmentation. Utilisation efficace des ressources de l'entreprise attentes du management
Satisfaction accrue de l'utilisateur final
Interroger les principaux employs concerns pour s'assurer que des procdures post-implmentation ont t mises en place.
Interroger les principaux employs concerns pour s'assurer que les propritaires des processus mtiers et la DSI participent la slection des mtriques pour mesurer la russite, la
satisfaction des exigences et l'obtention des bnfices.
Interroger les principaux employs concerns pour s'assurer que la forme de la revue post-implmentation est conforme au processus de gestion des changements organisationnels et que
les propritaires des processus mtiers et les tiers sont impliqus, suivant le cas.
Interroger les principaux employs concerns pour s'assurer que les exigences relatives la revue post-implmentation imputable aux mtiers et l'informatique externes sont prises en
compte.
Interroger les principaux employs concerns pour s'assurer qu'il existe un plan d'action visant rgler les problmes identifis dans la revue post-implmentation et que les propritaires
des processus mtiers et la DSI participent l'laboration de ce plan d'action.
ANNEXE III
149
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
Evaluer le rsultat des objectifs de contrle :
Examiner le plan de formation pour dterminer s'il identifie clairement les objectifs d'apprentissage, les ressources, les tapes cls, les
corrlations et les tches du chemin critique. S'assurer que le plan de formation envisage des stratgies de formation alternatives en fonction
des besoins mtiers.
Examiner la documentation du plan de formation pour :
s'assurer qu'elle dsigne les employs qui doivent bnficier d'une formation ;
s'assurer que la formation a t dispense au moment opportun ;
s'assurer qu'une mthode rentable est slectionne et utilise (ex : formation du formateur, reconnaissance professionnelle de l'utilisateur
final, formation via intranet) ;
s'assurer que les retours d'exprience (ex : formulaires d'valuation, fiches de commentaires) sont recueillis et utiliss pour identifier les
domaines dans lesquels le systme pourrait tre amlior ;
s'assurer que les modifications prvues ont tenu compte des exigences de formation.
s'assurer qu'elle est conforme au plan qualit du projet et aux normes organisationnelles correspondantes.
s'assurer que les plans de test ont t communiqus aux propritaires des processus mtiers concerns et aux parties prenantes des SI.
Examiner la documentation de test pour dterminer si les tests ont t effectus en fonction de l'valuation des risques du projet. S'assurer
que toutes les exigences de tests techniques et fonctionnels sont prises en compte (ex : performance, charge de travail, facilit d'utilisation,
tests pilotes et tests de la scurit) et que le plan de test a rpondu toutes les exigences relatives la validation interne ou externe.
Examiner la documentation de test pour dterminer si les ressources ont t identifies pour effectuer le test et valuer les rsultats (ex :
cration d'environnements de tests et membres du personnel affects au groupe test, y compris l'ventuel remplacement provisoire de ces
employs dans les environnements de production ou de dveloppement).
Examiner un chantillon des scripts de tests pour s'assurer qu'ils tiennent compte de chaque critre de test, de faon approprie.
Pour un chantillon de projets de dveloppement systme, d'implmentation ou de modification, examiner la documentation de test pour
dterminer si les phases de test appropries ont t excutes (ex : test unitaire, test de systme, test d'intgration, test de recette utilisateur,
test de performance, test de contrainte, test de conversion des donnes, test de scurit, test de disponibilit oprationnelle).
Pour un chantillon de plans de test, inspecter la documentation pour dterminer si :
les critres d'valuation du succs de chaque phase de test sont pris en compte
les plans de test sont valids
la base de donnes test utilise uniquement des donnes nettoyes et est protge contre la divulgation.
S'assurer de l'adquation des plans de conversion et s'assurer de l'exhaustivit et de l'intgrit des rsultats de la conversion auprs des
propritaires de donnes.
Examiner et valuer la documentation relative aux plans de remplacement ou de restauration.
S'assurer que les journaux d'erreur incluent des pistes d'audit pour faciliter la correction des bugs et l'application des mesures correctives au
moment opportun.
Contrler les activits de test de recette dfinitive pour dterminer si le primtre couvrait tous les composants et tenait compte des critres
d'acception.
tudier les rsultats des tests de recette et valuer l'efficacit de leur interprtation et de leur prsentation.
Examiner les rsultats des tests pour s'assurer qu'une validation officielle a lieu avant le transfert en production.
Examiner les bibliothques de programmes source pour s'assurer qu'ils sont mis jour en tenant compte des versions en cours et que les
versions prcdentes sont clairement tiquetes et conserves pendant un laps de temps raisonnable.
valuer l'efficacit du contrle pour s'assurer que les logiciels sont uniquement distribus vers les destinations autorises et correctement
identifies.
Inspecter le journal et s'assurer qu'une procdure a t mise en place pour garantir son intgrit et son exhaustivit.
Inspecter physiquement les instructions/ordres d'implmentation dans les archives.
Slectionner un chantillon de projets de dveloppement systme, d'implmentation ou de modification et inspecter la documentation
relative aux changements pour dterminer si l'aval du management est donn pour s'assurer que la modification est autorise, teste et
correctement documente avant l'envoi du logiciel en production.
Inspecter l'environnement d'archivage et examiner physiquement la documentation et les versions archives.
valuer l'efficacit du processus de transmission des modifications en s'assurant que seules les modifications autorises, testes et
documentes sont acceptes en production.
valuer l'efficacit du processus en s'assurant que les logiciels implments sont identiques ceux qui ont t tests.
Slectionner un chantillon de demandes de version et inspecter la documentation pour dterminer si la prparation des supports s'appuie
uniquement sur des demandes de version officielles.
S'assurer de l'efficacit des procdures de restauration ou d'inversion.
S'assurer qu'une piste d'audit de distribution tient compte des logiciels et des lments de configuration distribus, des destinataires, du lieu
o ils ont t implments et des dates auxquelles ils ont t mis jour
S'assurer que la distribution automatique des logiciels est uniquement effectue vers des destinations autorises et correctement identifies.
S'assurer que les procdures post-implmentation identifient, valuent et prcisent dans quelle mesure les exigences mtiers ont t
satisfaites, les bnfices attendus ont t obtenus, le systme est considr comme utilisable, les attentes des parties prenantes internes et
externes sont respectes, des impacts inattendus sur l'entreprise ont pu se produire, les risques cls sont attnus, et les processus de gestion
des changements, d'installation et de validation ont t excuts de faon efficace et efficiente.
Vrifier et confirmer que les exigences relatives la revue post-implmentation imputable aux mtiers et l'informatique externes sont
prises en compte.
Pour un chantillon de projets de dveloppement systme ou d'implmentation, s'assurer que les exigences mtiers et informatiques
externes (ex : audit interne, gestion des risques d'entreprise, conformit rglementaire) sont intgres dans la revue post-implmentation.
PAGE BLANCHE
DS1.1 Rfrentiel pour la gestion des niveaux de services Objectifs informatiques et responsabilits du Disparits entre les attentes et les capacits, se
Dfinir un cadre de rfrence qui propose un processus formalis de service informatique clairement dfinis et traduisant par des conflits
gestion des niveaux de services entre les clients et les fournisseurs. conformes aux objectifs mtiers Clients et fournisseurs ne comprenant pas leurs
Ce cadre doit veiller l'alignement continu avec les exigences Amlioration de la communication et de la responsabilits
mtiers et avec les priorits pour faciliter une comprhension
comprhension entre les clients mtiers et les Priorit inadapte donne aux diffrents services
commune entre clients et fournisseur(s). Il doit comporter des
processus de rcolte des exigences en matire de services, des prestataires de services informatiques fournis
dfinitions des services, des contrats de services (CS), des accords sur Renforcement de l'homognit en matire de Service d'exploitation inefficace et coteux
les niveaux oprationnels (ANO) et des sources de financement. Ces niveaux de services, de dfinition des services et
lments doivent tre rpertoris dans un catalogue de services. Le de fourniture et soutien des services
rfrentiel doit dfinir l'organisation de la gestion de niveau de
service, s'intresser aux rles, tches et responsabilits des
fournisseurs de services internes et externes et des clients.
Inspecter les politiques et procdures des contrats de services (CS) pour dterminer si les objectifs des CS et les mesures de performances sont aligns sur les objectifs mtiers et la
stratgie informatique.
Vrifier et confirmer l'existence de politiques permettant d'aligner les objectifs des CS et les mesures de performances sur les objectifs mtiers et la stratgie informatique.
Inspecter le catalogue de services et s'assurer qu'il contient les exigences en matire de services, les dfinitions des services, les CS, les accords sur les niveaux oprationnels (ANO) et
les sources de financement.
Interroger les employs responsables de l'escalade et de la rsolution des problmes en matire de CS, afin de dterminer si les procdures ou mthodes ont tabli des niveaux de services
raisonnables lors de la prise en compte de ces questions.
Examiner un chantillon de modifications significatives et s'assurer qu'elles ont t appliques conformment au processus de gestion des changements.
Examiner la conception du programme d'amlioration des services pour vrifier l'existence de standards mesurant les performances.
ANNEXE IV
153
DS1 Dfinir et grer les niveaux de services (suite)
154
DS1.2 Dfinition des services Objectifs du service informatiques aligns sur les Services fournis de faon inapproprie
Fonder les dfinitions des services informatiques sur les objectifs mtiers Priorit incorrecte donne aux services fournis
caractristiques des services et des exigences mtiers. S'assurer qu'ils Services oprationnels informatiques bass sur des Mauvaise comprhension de l'impact des
sont structurs et rpertoris dans un catalogue/portefeuille de exigences et des priorits appropries incidents, se traduisant par une rponse tardive
services centralis.
Incidents relis aux services sur lesquels ils se et un impact mtier important
rpercutent, ce qui permet d'attribuer efficacement Diffrentes interprtations et mauvaise
une priorit la rponse aux incidents comprhension des services informatiques
fournis
DS1.3 Contrats ou conventions de services (CS) Responsabilits des services et objectifs Incapacit rpondre aux exigences des clients
Dfinir et accepter les contrats/conventions de services pour tous les informatiques conformes aux objectifs mtiers en matire de services
services informatiques critiques, en se fondant sur les besoins du Optimisation de la qualit de service grce une Utilisation inefficace des ressources de
client et les capacits de l'informatique. Cela recouvre les bonne comprhension et l'adquation de la prestation de services
engagements du client, les besoins d'assistance, les mtriques
fourniture de services Incapacit identifier les incidents de service
qualitatives et quantitatives pour mesurer le service contresign par
les parties prenantes, les sources de financement et, le cas chant, les Augmentation de l'efficacit des services et critiques et y rpondre
accords commerciaux, et les rles et responsabilits, y compris la rduction des cots grce un dploiement
supervision des conventions de services. Tenir compte des points efficace des services informatiques en fonction
suivants : la disponibilit, la fiabilit, la performance, la capacit de des priorits et des besoins rels
croissance, le niveau d'assistance, la planification de la continuit, les
contraintes de scurit et de rclamation.
2008 AFAI. Tous droits rservs. www.afai.fr
Vrifier et confirmer que les parties prenantes approuvent, enregistrent et communiquent les conventions de services, tant du point de vue du contenu que de la prsentation.
Examiner la structure du contenu des CS pour s'assurer qu'il tient compte des exclusions, des accords commerciaux et des ANO.
Examiner le processus de gestion des CS pour s'assurer qu'il mesure les CS (en termes qualitatifs et quantitatifs) et surveille les objectifs des CS.
S'assurer que les CS ont t valids et qu'ils comportent les signatures appropries.
Observer et contrler le processus de rvision des CS pour s'assurer qu'il est adquat.
S'assurer que la procdure d'amlioration ou d'ajustement des CS est base sur les informations de performances et l'volution des exigences mtiers et clients.
Demander aux principaux employs concerns si certains services fournis ne sont pas documents dans le CS.
DS1 Dfinir et grer les niveaux de services (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
DS1.4 Accords sur les niveaux oprationnels (ANO) Services oprationnels aligns sur les CS et donc Services fournis incapables de rpondre aux
Dfinir des ANO expliquant comment les services seront sur les besoins mtiers exigences mtiers
techniquement fournis pour appuyer le mieux possible les Optimisation des ressources oprationnelles grce Comprhension technique insuffisante des
conventions de services. Les accords sur les niveaux oprationnels la standardisation et l'harmonisation avec les services, se traduisant par des incidents
doivent prciser ce que sont les processus techniques en termes
exigences de services Utilisation inefficace et coteuse des ressources
comprhensibles par le fournisseur et peuvent concerner plusieurs
conventions de services. Rduction des cots grce l'utilisation optimise oprationnelles
des ressources et la rduction du nombre
d'incidents de service
DS1.5 Surveillance et comptes-rendus des niveaux de services Utilisateurs capables de surveiller les Manque de mesures dfinies importantes pour
atteints performances des niveaux de services en fonction l'entreprise
Surveiller en continu les critres de performance des niveaux de d'informations fiables Problmes de services sous-jacents non
services. Les rapports sur le respect des niveaux de services doivent Valeur des services informatiques communique identifis
adopter une prsentation comprhensible pour les parties prenantes.
au sein de l'entreprise Utilisateurs mcontents en raison d'un manque
Les statistiques de surveillance doivent tre analyses et des actions
connexes doivent tre entreprises pour mettre en vidence les Communication cohrente entre les parties d'informations, indpendamment de la qualit de
tendances positives et ngatives de chaque service, mais aussi concernes service
globalement de l'ensemble des services.
Dterminer les critres de reporting, par le biais d'entretiens avec les principaux employs responsables de la surveillance des performances des niveaux de services.
Se procurer des exemples de rapports de performance des CS et vrifier la faon dont ils sont distribus.
Inspecter les comptes-rendus pour valuer les prvisions et les tendances des performances des niveaux de services.
ANNEXE IV
155
DS1 Dfinir et grer les niveaux de services (suite)
156
DS1.6 Revue des conventions de services et des contrats Services informatiques fournis conformes Exigences commerciales et juridiques non
Faire une revue rgulire des CS et des contrats de sous-traitance l'volution des besoins mtiers respectes en raison de contrats obsoltes
(CST) avec les fournisseurs de services internes et externes pour Dfauts identifis et corrigs dans les contrats de Services ne satisfaisant pas aux exigences
s'assurer qu'ils sont efficaces, jour, et que les modifications des service existants modifies
exigences ont t prises en compte.
Pertes financires et incidents dus des services
non conformes
Inspecter les CS, comparer les CST et dterminer l'efficacit et la diffusion des modifications.
Se procurer une tude des exigences de documentation en matire de CS.
Examiner les CS et les CST et s'assurer que l'adquation aux objectifs mtiers est rgulirement value.
2008 AFAI. Tous droits rservs. www.afai.fr
ANNEXE IV
Evaluer le rsultat des objectifs de contrle :
Interroger les cadres suprieurs qui reprsentent les services mtiers et informatique pour connatre leur implication dans la conception et la
validation du rfrentiel de gestion des CS.
Demander aux principaux employs concerns si des critres de performance ont t officialiss pour favoriser et mesurer la ralisation des
objectifs des CS et si une procdure a t mise en place pour surveiller et communiquer la ralisation des objectifs.
Examiner les CS en matire de performances internes et externes et comparer les rsultats rels pour dterminer s'ils sont conformes aux
attentes des CS.
S'assurer que les objectifs des services informatiques sont en harmonie avec les objectifs mtiers et dfinir officiellement les attentes et les
mesures de performances.
Inspecter les informations sur les services pour vrifier les raisons pour lesquelles ils ne sont pas performants et s'assurer qu'un programme
d'amlioration des performances a t mis en place.
Analyser l'historique des performances et s'assurer que les rsultats font l'objet d'un suivi tenant compte des engagements pralables en
termes d'amlioration des services.
Demander aux principaux employs concerns si les parties prenantes approuvent, enregistrent et communiquent les conventions de
services, tant du point de vue du contenu que de la prsentation.
Examiner la prsentation du contenu des CS pour s'assurer qu'ils tiennent compte des exclusions, des accords commerciaux et des ANO.
Pour un chantillon de CS anciens et en cours, dterminer si le contenu inclut :
- la dfinition du service
- le cot du service
- le niveau de service minimum quantifiable
- le niveau d'assistance fourni par le service informatique
- la disponibilit, la fiabilit et la capacit de croissance
- la procdure de modification pour toute partie du contrat
- la planification de la continuit
- les exigences de scurit
- un accord crit et officiellement approuv entre le fournisseur et l'utilisateur du service
- la priode d'application et la rvision, le renouvellement ou le non-renouvellement d'une nouvelle priode
- le contenu et la frquence des rapports de performance et du paiement des services
- des tarifs ralistes par rapport aux antcdents, au march et aux meilleures pratiques
- le calcul des frais
- un engagement d'amlioration des services
- l'accord officiel de l'utilisateur et du fournisseur.
S'assurer que les utilisateurs concerns connaissent et comprennent les processus et procdures des CS.
Examiner les CS pour s'assurer que les ANO et les CST appuient les exigences techniques des CS et sont fournis de faon optimale.
Slectionner un chantillon de CS et s'assurer qu'ils contiennent et respectent les procdures de rsolution des problmes de prestation de
services, notamment pour non-performance.
Inspecter le catalogue de services et s'assurer que tous les services sont correctement dfinis.
Vrifier et confirmer que les diffrents services informatiques auxquels des cots seront imputs ont t dfinis et documents.
Vrifier si les propritaires de processus mtiers connaissent les services informatiques qui soutiennent leur processus mtier.
Examiner la documentation disponible qui identifie les processus mtiers et les services informatiques ou l'infrastructure sur lesquels ils
s'appuient, et dterminer si la mise en correspondance est complte et prcise. Pour ce faire, par exemple, comparer la mise en
correspondance avec l'organigramme, les secteurs d'activit, etc.
Demander aux propritaires de processus mtiers et aux propritaires de services informatiques s'ils ont accept une mise en
correspondance entre les services informatiques et les processus mtiers.
Interroger les propritaires de processus mtiers et les utilisateurs sur le niveau de satisfaction vis--vis des services informatiques fournis
afin d'identifier les ventuels domaines insuffisants. Ces questions peuvent tre poses individuellement ou via un sondage anonyme.
Examiner la documentation relative la mise en correspondance entre les secteurs de services informatiques et les processus mtiers pour
dterminer si les aspects oprationnels de la mise en correspondance sont tablis (ex : l'adquation des CS doit tre examine).
Le besoin de garantir que les services fournis par des tiers (fournisseurs, prestataires externes et partenaires) satisfont les exigences mtiers impose un processus de gestion des services tiers.
Ce processus exige de dfinir clairement les rles, responsabilits et les attentes dans les contrats avec des tiers, et aussi d'effectuer des revues et une surveillance de l'efficacit et de la
conformit de tels contrats. Une gestion efficace des services fournis par des tiers minimise les risques mtiers lis des fournisseurs non performants.
DS2.1 Identification des relations avec tous les fournisseurs Prsentation centralise des fournisseurs de Fournisseurs stratgiques et importants non
Identifier tous les services fournisseurs et les rpartir en catgorie services pour faciliter la prise de dcision identifis
selon leur type, importance et niveau critique. Tenir jour une concernant les fournisseurs Utilisation inefficace des ressources de gestion
documentation formelle des relations organisationnelles et techniques Identification des fournisseurs privilgis pour les des fournisseurs
en prcisant les rles et responsabilits, les objectifs, les livrables
futurs achats Rles et responsabilits mal dfinis, se traduisant
attendus et les accrditations des reprsentants de ces fournisseurs.
Ressources de gestion des fournisseurs axes sur par une mauvaise communication, des services
les fournisseurs stratgiques mdiocres et une augmentation des cots
Vrifier et confirmer qu'un registre des relations fournisseurs est tenu jour.
Identifier et examiner les critres de relations fournisseurs pour vrifier la vraisemblance et l'exhaustivit des catgorisations par type de fournisseur, importance et niveau critique.
Dterminer si le systme de classification des fournisseurs est suffisamment dtaill pour catgoriser toutes les relations fournisseurs en fonction de la nature des services externaliss.
Vrifier si l'historique des slections/refus de fournisseurs est conserv et utilis.
Examiner le registre des relations fournisseurs pour s'assurer qu'il est jour, correctement class par catgories et suffisamment dtaill pour servir de base la surveillance des
fournisseurs existants.
Examiner un chantillon reprsentatif de contrats fournisseurs, CS et autres documents pour s'assurer qu'ils correspondent au fichier fournisseurs.
DS2.2 Gestion des relations fournisseurs Relations renforces qui favorisent la ralisation Fournisseur non ractif ou non impliqu dans la
Formaliser le processus de gestion des relations fournisseurs pour des objectifs gnraux de l'entreprise (mtiers et relation
chacun d'entre eux. Les responsables des relations fournisseurs informatiques) Problmes non rsolus
doivent intervenir sur les questions qui concernent la relation Communication et rsolution efficaces et Qualit de service inapproprie
clients/fournisseurs et garantir la qualit de relations bases sur la
efficientes des problmes
confiance et la transparence (par exemple, au moyen de CS).
Rpartition claire des responsabilits entre le
client et le fournisseur
Examiner la documentation relative aux fournisseurs de services pour s'assurer qu'elle prcise les rles et responsabilits formaliss, et dterminer si les rles de gestion des fournisseurs
ANNEXE IV
ont t documents et communiqus au sein de l'entreprise.
Dterminer s'il existe des politiques visant tablir des contrats officiels, dfinir le contenu de ces contrats et l'affectation des responsabilits du propritaire ou du responsable des
relations fournisseurs, pour s'assurer que ces contrats sont crs, tenus jour, surveills et rengocis si ncessaire.
Dterminer si, en matire de gestion des relations fournisseurs, l'affectation des rles est approprie et base sur le niveau et les comptences techniques requises pour grer efficacement
ces relations.
159
DS2 Grer les services tiers (suite)
160
DS2.3 Gestion du risque fournisseurs Conformit aux exigences lgales et contractuelles Non-respect des obligations lgales et
Identifier et rduire les risques lis l'aptitude des fournisseurs Rduction du nombre d'incidents et des pertes rglementaires
fournir, de manire continue, des services efficaces, srs et efficients. potentielles Incidents de scurit et autres incidents
S'assurer que les contrats se conforment aux standards universels de Identification des fournisseurs bien grs et Pertes financires et dgts en termes d'image,
la profession, en conformit avec les exigences lgales et
prsentant un risque faible causs par l'interruption des services
rglementaires. La gestion des risques doit par ailleurs prendre en
compte les clauses de confidentialit, les contrats de mise sous
squestre, la viabilit du fournisseur (continuit), la conformit aux
exigences de scurit, les solutions alternatives en fourniture, les
pnalits/rcompenses, etc.
Demander si les risques associs l'incapacit d'excuter les contrats fournisseurs sont dfinis.
Demander si des recours ont t envisags lors de la dfinition du contrat fournisseur.
Examiner la documentation relative au contrat pour s'assurer qu'elle fait l'objet de contrles.
Demander aux principaux employs concerns s'il existe une procdure de gestion des risques permettant d'identifier et de surveiller le risque fournisseurs.
Dterminer s'il existe des rgles imposant l'indpendance au sein du processus de recherche et de slection des fournisseurs, et entre le fournisseur et le personnel de gestion au sein de
l'entreprise.
DS2.4 Surveillance des performances fournisseur Dtection opportune du non-respect des niveaux Dgradation du service non dtecte
tablir un processus de surveillance de la fourniture de services pour de services Incapacit remettre en cause les cots et la
s'assurer que le fournisseur respecte les exigences mtiers en cours, Ralisation des bnfices du contrat de service qualit de service
qu'il continue se conformer aux clauses de son contrat et celles du Cots matriss Incapacit optimiser le choix des fournisseurs
contrat de service, et que ses performances sont concurrentielles par
Conflits coteux et ventuels litiges vits
rapport aux autres fournisseurs et aux conditions du march.
2008 AFAI. Tous droits rservs. www.afai.fr
Slectionner un chantillon de factures fournisseurs, dterminer si elles identifient les prix des services externaliss, tels qu'ils apparaissent dans les contrats de service, et valuer le
caractre raisonnable des frais par rapport diffrentes prestations comparables au niveau interne, externe et au march.
Examiner un chantillon de rapports sur les services des fournisseurs pour dterminer si le prestataire fournit rgulirement des rapports tenant compte de critres de performance
adopts et si ces rapports de performance sont objectifs, mesurables et conformes aux CS dfinis et au contrat fournisseur.
ANNEXE IV
Evaluer le rsultat des objectifs de contrle
Pour un chantillon de fournisseurs, dterminer si les fichiers fournisseurs sont harmoniss avec le systme de catgorisation dfini pour
identifier et catgoriser toutes les relations fournisseurs.
Se procurer la liste des critres de relations fournisseurs et s'assurer qu'elle est complte, et vrifier les fichiers fournisseurs par rapport au
systme de catgorisation utilis pour identifier et catgoriser toutes les relations fournisseurs. Dterminer si le type de fournisseur,
l'importance et le niveau critique des services fournis ont t documents.
Se procurer le fichier fournisseurs et vrifier la prcision des donnes via l'inspection d'un chantillon de contrats de service.
Se procurer un fichier fournisseurs et vrifier la prcision des donnes. Il convient de tenir compte des changements d'organisation ou des
modifications rcemment apportes au paysage informatique, qui ncessitent de modifier les critres des relations fournisseurs.
Dterminer si la documentation fournisseur est suffisamment dtaille pour identifier les mthodes de communication, la hirarchisation
des services et les procdures d'escalade, les niveaux de services minimum et les objectifs oprationnels.
Vrifier si la documentation dlimite clairement les responsabilits entre le fournisseur de services et l'entreprise utilisatrice.
Dterminer si la documentation relative aux fournisseurs de services est gre et tenue jour de faon centralise et s'il existe une
procdure pour contrler et actualiser rgulirement les documents.
Effectuer une analyse dtaille de chaque contrat tiers pour dterminer l'existence de clauses qualitatives et quantitatives confirmant les
obligations, notamment des clauses pour la coordination et la communication des relations entre le fournisseur et l'utilisateur des services
informatiques.
Dterminer s'il existe des rgles imposant au management d'tudier rgulirement les rapports sur les fournisseurs de services et
slectionner un chantillon de ces rapports pour s'assurer que le management les a tudis.
Se procurer et inspecter les rapports d'incidents relatifs aux fournisseurs de services et dterminer si les incidents ont t classifis et
transmis l'chelon suprieur en fonction des niveaux de gravit adopts, s'ils ont t communiqus au sein de l'entreprise et ont fait l'objet
d'un suivi jusqu' leur rsolution. Les incidents signals doivent galement tre communiqus au management du fournisseur et aux
utilisateurs des services.
Vrifier si les objectifs et les niveaux de services attendus sont rgulirement contrls pour s'assurer qu'ils continuent soutenir les
exigences mtiers actuelles et que les modifications proposes sont clairement communiques aux fournisseurs de services.
Examiner le fichier fournisseurs pour s'assurer qu'il dsigne un responsable des relations fournisseurs, et se procurer et examiner le
document prouvant l'existence d'un processus de communication avec les fournisseurs de services.
Se procurer et tudier les contrats pour vrifier l'existence de clauses relatives aux contrles des tiers, et dterminer si le management s'est
procur et a tudi les rapports dcoulant de ces contrles.
Pour un chantillon de fournisseurs, examiner la documentation disponible pour dterminer si le risque fournisseurs a t pris en compte et
si le risque identifi a t tudi/attnu.
Pour un chantillon de relations fournisseurs, dterminer si les lments suivants ont t pris en compte dans le contrat fournisseur :
- les exigences de scurit
- les clauses de non-divulgation
- le droit d'accs et le droit d'audit
- la validation officielle du management et du service juridique
- l'entit juridique qui fournit les services
- les services fournis
- les CS (qualitatifs et quantitatifs)
- le cot des services et la frquence des paiements pour ces services
- la procdure de rsolution des problmes
- les pnalits pour non-conformit
- la procdure de rsiliation
- la procdure de modification
- les rapports sur le service (contenu, frquence et distribution)
- la rpartition des rles entre les parties contractantes tout au long de la dure de vie du contrat
- la garantie de continuit des services fournis par le prestataire
- la procdure de communication et la frquence des communications entre l'utilisateur des services et le fournisseur
- la dure du contrat
- le niveau d'accs accord au fournisseur
- les exigences rglementaires.
Pour un chantillon de fournisseurs, dterminer si la criticit des services pour l'entreprise a t value et dterminer si la continuit des
services a t prise en compte dans le contrat fournisseur (notamment la planification d'urgence par le fournisseur) pour assurer des services
continus au sein de l'entreprise.
Pour un chantillon de relations fournisseurs, dterminer si le conseiller juridique et le management ont valid les contrats fournisseurs.
Slectionner un chantillon de factures fournisseurs, dterminer si elles identifient les prix des services externaliss, tels qu'ils apparaissent
dans les contrats de service, et valuer le caractre raisonnable des frais par rapport diffrentes prestations comparables au niveau interne,
externe et au march.
Examiner un chantillon de rapports sur les services des fournisseurs pour dterminer si le prestataire fournit rgulirement des rapports
tenant compte des critres de performance adopts et si ces rapports de performance sont objectifs, mesurables et conformes aux CS dfinis
et au contrat fournisseur.
La bonne gestion des performances et des capacits des ressources informatiques exige qu'un processus les passe rgulirement en revue. Ce processus inclut la prvision des besoins futurs
en fonction des exigences de charge de travail, de stockage et des imprvus. Ce processus assure que les ressources informatiques qui appuient les exigences mtiers sont constamment
disponibles.
DS3.1 Planification de la performance et de la capacit Gestion efficace des ressources en vitant les Incidents inattendus en raison d'une capacit
tablir un processus de planification pour la revue des performances cots indirects insuffisante
et des capacits des ressources informatiques afin de garantir que des Performance optimise des systmes grce des Disponibilit systme insuffisante en raison de
capacits et des performances sont disponibles des cots justifis tests comparatifs internes l'absence de planification proactive des
pour traiter les charges de travail convenues et dtermines par les
Prdiction des exigences de capacit et de performances et de la capacit des ressources
contrats de services (CS). Les plans de capacit et de performance
doivent mobiliser les techniques de modlisation appropries pour performance futures Incapacit rpondre aux exigences mtiers en
proposer un modle de performance, de capacit et de dbit, actuels Possibilit de comparer la capacit parmi les raison de plans de performance et de capacit
et prvus, des ressources informatiques. diffrents secteurs de l'entreprise et de faon obsoltes
externe pour identifier les amliorations
ANNEXE IV
163
DS3 Grer la performance et la capacit (suite)
164
DS3.2 Performance et capacit actuelles Gestion efficace et efficiente des ressources Perturbation de l'activit
valuer les performances et les capacits des ressources informatiques CS non respects
informatiques pour dterminer si elles sont suffisantes pour satisfaire Amlioration de la planification des capacits et Exigences mtiers non respectes
aux niveaux de services adopts. des performances Sous-engagement ou sur-engagement concernant
Performance optimise des systmes grce une la prestation de services, en raison de mesures de
planification proactive des capacits et des capacit inconnues
performances
Vrifier et confirmer que le logiciel de surveillance des systmes a t implment sur les ressources informatiques appropries, en s'appuyant sur des facteurs tels que :
- la criticit mtier de la ressource informatique
- les exigences identifies dans le CS
- la probabilit ou la tendance historique concernant les problmes de performance ou de capacit subis par les ressources informatiques
- l'impact oprationnel/financier/rglementaire des problmes de performance ou de capacit.
Dterminer si des seuils ont t tablis et appliqus aux ressources informatiques en fonction des exigences mtiers et des CS. Voici quelques exemples de seuil :
- le centre d'appels augmente la capacit de la ligne rseau sur les appels entrants gratuits lorsque les lignes sont occupes 80 %
- les serveurs augmentent l'espace disque disponible lorsque les disques durs atteignent un niveau de capacit spcifique.
Dterminer comment les cas de performances inadaptes sont identifis et suivis.
Se procurer les dossiers d'incident et localiser les transactions identifies travers le systme pour dterminer si un suivi adapt a t mis en place.
Interroger les principaux employs responsables de l'application des CS au sein de l'entreprise pour dterminer comment ils surveillent, assurent le suivi et gnrent des rapports sur les
mesures de performance et de capacit des ressources informatiques.
Passer en revue les rapports oprationnels fournis aux principales parties prenantes.
2008 AFAI. Tous droits rservs. www.afai.fr
DS3 Grer la performance et la capacit (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
DS3.3 Performance et capacit futures Utilisation optimise des ressources informatiques Niveaux de services mis contribution non
intervalles rguliers, faire des prvisions de performance et de Prvision des exigences mtiers relatives fournis aux mtiers
capacit des ressources informatiques pour rduire le risque l'infrastructure informatique Indisponibilit du systme en raison de
d'interruption de service cause de la dgradation de leurs Amlioration de la planification des capacits et ressources informatiques dfaillantes
performances et de l'insuffisance de leurs capacits. Relever les excs
des performances Systmes incapables de rpondre aux charges de
de capacit pour un ventuel redploiement. Relever les tendances de
la charge de travail et dterminer les prvisions inclure dans les traitement leves
plans de performance et de capacit.
Interroger les principaux employs concerns et examiner les rapports et la documentation sur les processus afin de vrifier l'utilisation d'outils et de procdures appropris pour
effectuer les tches suivantes :
- mesurer les performances et les capacits relles
- analyser l'utilisation de la capacit, la bande passante (ex : rapports d'utilisation du rseau et de la ligne principale) et les rapports de performance
- comparer la demande relle et la demande prvue en termes de ressources
- impliquer le management dans l'analyse des rapports de prvision et les discussions sur les ventuels carts.
Examiner les documents qui mesurent les performances relles des ressources informatiques par rapport aux performances et aux capacits prvues.
Dterminer comment les carts des comparatifs entre les chiffres rels et les prvisions/modles sont utiliss en analysant les modles de prvision et s'assurer qu'une analyse est
rgulirement effectue, en temps utile.
Demander aux principaux employs concerns s'ils connaissent bien la procdure de planification des capacits et la faon dont ils sont avertis des nouvelles exigences mtiers qui
peuvent ncessiter de modifier les applications, les serveurs ou d'autres ressources informatiques.
Vrifier, auprs des principaux employs concerns, la procdure de coordination de la planification et de l'acquisition des ressources informatiques lorsque ces actions sont imposes
par les modles de prvision.
Examiner un chantillon reprsentatif de CS et d'ANO et le plan de capacit pour dterminer si les contrles de l'utilisation des capacits et des performances prvues ncessitent des
ajustements rguliers.
ANNEXE IV
165
DS3 Grer la performance et la capacit (suite)
166
DS3.4 Disponibilit des ressources informatiques Utilisation efficace des ressources informatiques Indisponibilit du systme en raison de
Fournir les capacits et les performances requises en tenant compte Niveaux de services conformes aux exigences ressources informatiques dfaillantes
des caractristiques comme les charges de travail normales, les mtiers Incapacit prvoir la disponibilit et la facilit
imprvus, les exigences de stockage et les cycles de vie des Gestion efficace de la disponibilit des ressources d'emploi des services informatiques
ressources informatiques. Il faut prvoir des dispositions telles qu'un
informatiques Interruptions imprvues des services
classement des tches par priorit, des machines tolrance de
pannes et des allocations de ressources. Le management doit s'assurer informatiques
que les plans d'urgence peuvent correctement faire face des
problmes de disponibilit, de capacit et de performance des
diffrentes ressources informatiques.
DS3.5 Surveillance et comptes-rendus Identification des problmes ayant une incidence Surveillance insuffisante des performances
Surveiller en continu les performances et les capacits des ressources sur l'efficacit de la prestation de services Service incapable de fournir la qualit attendue
informatiques. Les donnes recueillies doivent servir deux Niveaux de services de rfrence identifiant des Anomalies non identifies en temps opportun,
objectifs : insuffisances en matire de perspectives ayant des rpercussions sur la qualit de service
Maintenir et ajuster les performances actuelles de l'informatique et Utilisation accrue des ressources informatiques
traiter des questions comme la rsilience, les imprvus, les charges de entranant l'amlioration de la prestation de
travail actuelles et futures, les plans d'archivage et l'acquisition de services
ressources.
Rendre compte de la disponibilit des services livrs aux mtiers
comme le prvoient les conventions de services.
Interroger les principaux employs concerns pour dterminer si une procdure de collecte des donnes (ex : besoins en ressources informatiques, capacit, disponibilit, utilisation,
recommandations sur l'affectation des ressources, tablissement de priorits) a t dfinie pour aider le management.
Interroger le management pour dterminer si les activits de surveillance et de reporting sont formalises et intgres.
Localiser les commentaires sur les rsultats du suivi et du reporting dans les activits de performance et de planification des capacits.
Vrifier et confirmer que les rapports sur la capacit sont intgrs dans le processus de budgtisation et de planification informatique stratgique.
ANNEXE IV
167
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
Evaluer le rsultat des objectifs de contrle :
Examiner la documentation sur la planification des capacits et des performances des ressources informatiques pour dterminer si le
processus de planification :
ncessite l'intgration de mtriques cls issues des CS
tient compte des exigences mtiers, des exigences techniques et des questions de cot
inclut des modles de performances et de capacits actuelles et prvues
inclut les documents de validation par les parties prenantes
implique le suivi et le reporting continus des SI.
Inspecter les rapports sur l'utilisation et le temps disponible des ressources informatiques pour dterminer si les capacits informatiques
actuelles sont appropries.
Vrifier et confirmer que des tudes comparatives sont effectues pour dterminer comment les concurrents de secteurs similaires tiennent
compte des prvisions de performance et de capacit.
Examiner les documents qui fournissent des informations sur la disponibilit des ressources informatiques dans des domaines tels que :
les exigences de stockage et la capacit actuelle
la redondance et la tolrance aux pannes
la raffectation des ressources informatiques pour tenter de rsoudre les problmes de disponibilit, de performance et de capacit.
Demander aux principaux employs concerns s'il existe des processus de surveillance et si des rapports s'y rapportant sont gnrs pour
grer la performance, la capacit et l'affectation des ressources informatiques.
Examiner les documents sur les comptes-rendus de performance pour s'assurer que des informations appropries sont rgulirement
transmises au management.
S'assurer que des plans de performance et de disponibilit sont utiliss dans les processus de budgtisation et pour l'amlioration de
l'architecture de l'information.
Le besoin d'assurer la continuit des services informatiques exige de dvelopper, de maintenir et de tester des plans de continuit des SI, d'utiliser des capacits de stockage de sauvegardes
hors site et d'assurer une formation priodique au plan de continuit. Un processus de service continu efficace rduit les risques et les consquences d'une interruption majeure des services
informatiques vis--vis des fonctions et processus mtiers cls.
DS4.1 Rfrentiel de continuit informatique Continuit du service travers les SI Pratiques de continuit insuffisantes
Dvelopper un cadre de rfrence de la continuit informatique pour Plans de continuit informatique cohrents et Services de continuit informatique
assister la gestion de la continuit des activits mtiers dans documents incorrectement grs
l'ensemble de l'entreprise l'aide d'un processus cohrent. L'objectif Services grs pour les besoins mtiers Dpendance accrue vis--vis d'individus cls
de ce cadre de rfrence doit aider dterminer la rsilience requise
Objectifs court et long termes atteints, favorisant
de l'infrastructure et inciter au dveloppement de plans de reprise et
de secours informatique. Il doit prendre en compte la structure de la ralisation des objectifs de l'entreprise
gestion de la continuit de l'entreprise, couvrir les rles, tches et
responsabilits des fournisseurs de services internes et externes, leur
management et leurs clients, et les processus de planification qui
laborent les rgles et les structures pour documenter, tester et mettre
en uvre les plans de reprise et de secours informatique. Ce plan doit
aussi traiter des questions comme l'identification des ressources
critiques, des interdpendances cls, la surveillance et les comptes-
rendus sur la disponibilit des ressources critiques, les traitements
alternatifs, et les principes de sauvegarde et de restauration.
Vrifier et confirmer qu'une procdure de gestion de la continuit des activits mtiers dans l'ensemble de l'entreprise a t labore et valide par la direction gnrale.
Examiner l'analyse d'impact sur les mtiers et dterminer si la planification de la continuit s'est traduite par un positionnement clair des ressources requises pour la reprise des
oprations mtiers en cas d'interruption.
Inspecter le rfrentiel de continuit mtiers pour s'assurer qu'il inclut tous les lments requis pour la reprise du traitement des oprations mtiers en cas d'interruption des activits
(tenir compte de la responsabilit, de la communication, du plan d'escalade, des stratgies de reprise, des niveaux de services mtiers et informatiques et des procdures d'urgence).
ANNEXE IV
169
DS4 Assurer un service continu (suite)
170
DS4.2 Plans de continuit informatique Continuit du service travers les SI, rpondant Incapacit rtablir les services et systmes
En se basant sur le rfrentiel, dvelopper des plans de continuit des aux exigences des ressources informatiques informatiques en temps opportun
SI destins rduire les consquences d'une perturbation majeure des critiques chec des processus dcisionnels alternatifs
fonctions et processus mtiers cls. Les plans doivent tenir compte Directives, rles et responsabilits dfinis et Absence des ressources de secours requises
d'une valuation du risque en termes d'impacts potentiels pour les
documents chec de la communication avec les parties
mtiers et doivent traiter des exigences de rsilience, des traitements
alternatifs et des capacits de restauration pour tous les services Objectifs court et long termes atteints, favorisant prenantes internes et externes
informatiques critiques. Ils doivent aussi prendre en compte les la ralisation des objectifs de l'entreprise
guides de mise en uvre, les rles et responsabilits, les procdures,
les processus de communication et les modalits de tests.
S'assurer que des plans de continuit mtiers existent pour tous les processus et fonctions mtiers cls.
tudier un chantillon appropri de plans de continuit mtiers et s'assurer que chaque plan :
- est conu pour tablir les capacits de rsilience, de traitement alternatif et de restauration conformment aux exigences de services et aux objectifs de disponibilit
- dfinit les rles et responsabilits
- inclut des processus de communication
- dfinit la configuration de restauration minimale acceptable.
Se procurer la stratgie de test globale pour les plans de continuit mtiers et la preuve que les tests sont effectus selon la frquence convenue.
tudier le rsultat des tests et s'assurer que les actions en dcoulant font l'objet d'un suivi.
2008 AFAI. Tous droits rservs. www.afai.fr
DS4 Assurer un service continu (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
DS4.3 Ressources informatiques critiques Matrise des cots pour la continuit Indisponibilit des ressources informatiques
Concentrer l'attention sur les lments considrs comme les plus Gestion efficace des ressources informatiques critiques
vitaux dans le plan de continuit des SI pour en renforcer la capacit critiques Augmentation des cots lis la gestion de la
de rsilience et tablir les priorits lorsqu'on est dans une situation de Gestion de la reprise en fonction de priorits continuit
reprise. viter de perdre du temps rcuprer les lments les moins
Hirarchisation de la reprise des services ne
importants et tenir compte des priorits des besoins mtiers pour la
raction et la reprise ; s'assurer aussi que les cots restent un niveau tenant pas compte des besoins mtiers
acceptable et se conformer aux exigences rglementaires et
contractuelles. Prendre en compte les exigences de dure en matire
de rsilience, ractivit et reprise pour diffrents laps de temps, par
ex. 1 4 heures, 4 24 heures, plus de 24 heures et les priodes
critiques d'exploitation des mtiers.
DS4.4 Maintenance du plan de continuit des SI Plans de continuit informatique appropris, Plans de reprise inappropris
Encourager la direction informatique dfinir et mettre en uvre favorisant la ralisation des objectifs de Plans incapables de reflter les changements de
des procdures de contrle des modifications pour s'assurer que le l'entreprise technologie et de besoins mtiers
plan de continuit des SI est maintenu jour et reflte en continu les Procdures de contrle des modifications Absence de procdures de contrle des
vritables exigences mtiers. Communiquer clairement et en temps
appliques aux plans de continuit informatique modifications
opportun les modifications de procdures et de responsabilits.
Parfaite connaissance des plans de continuit
informatique par les personnes concernes
Vrifier et confirmer que tous les exemplaires du plan de continuit informatique sont actualiss en tenant compte des rvisions et sont stocks sur site et hors site.
Vrifier et confirmer que toutes les modifications importantes des ressources informatiques sont communiques au responsable de la continuit pour qu'il mette jour le plan de
continuit informatique.
Vrifier et confirmer que les modifications du plan de continuit sont effectues une frquence adapte aux lments dclencheurs et qu'elles sont conformes aux procdures de
ANNEXE IV
contrle des modifications.
171
DS4 Assurer un service continu (suite)
172
DS4.5 Tests du plan de continuit des SI Restauration efficace des systmes informatiques Plans de reprise dfaillants
Tester rgulirement le plan de continuit des SI pour s'assurer qu'on Personnel expriment dans les processus de Plans de reprise obsoltes, ne refltant pas
peut restaurer efficacement les systmes informatiques, qu'on traite restauration des systmes informatiques l'architecture actuelle
les anomalies et que le plan reste pertinent. Cela exige de faire une Plans mis niveau, permettant de remdier aux Procdures et tapes de reprise inappropries
prparation minutieuse, de documenter les tests, de rendre compte des
dfaillances lors de la restauration des systmes Reprise efficace impossible en cas de sinistre
rsultats, et de mettre en place un plan d'action en fonction de ces
rsultats. Envisager d'tendre les tests de restauration d'applications rel
individuelles des scnarios de tests intgrs, des tests exhaustifs et
l'intgration de tests fournisseurs.
DS4.6 Formation au plan de continuit des SI Personnel expriment dans les processus de Programmes de formation obsoltes
Assurer pour toutes les parties concernes des sessions de formation restauration des systmes informatiques Incapacit restaurer les systmes comme prvu
priodiques sur les procdures et sur leurs rles et responsabilits en Formation du personnel sur les processus de en raison d'une formation inapproprie ou
2008 AFAI. Tous droits rservs. www.afai.fr
Demander aux principaux employs concerns si des sessions de formation sont rgulirement organises.
Vrifier et confirmer que les besoins en formation et les programmes de formation sont rgulirement valus et actualiss.
tudier les programmes et les supports de formation pour dterminer leur efficacit fonctionnelle.
Interroger les principaux employs concerns pour dterminer si les programmes de sensibilisation la continuit informatique sont appliqus tous les niveaux.
DS4 Assurer un service continu (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
DS4.7 Diffusion du plan de continuit des SI Personnel expriment dans les processus de Divulgation d'informations confidentielles dans
Vrifier ou faire en sorte qu'il existe une stratgie de diffusion dfinie restauration des systmes informatiques les plans
et gre, pour s'assurer que tous les plans sont distribus de faon Formation du personnel sur les processus de Plans non accessibles toutes les parties
sre et qu'ils sont disponibles pour les parties dment autorises et reprise concernes
intresses, l'endroit et au moment o elles en ont besoin. Bien
Plans disponibles et accessibles toutes les parties Mises niveau du plan non effectues en temps
vrifier que les plans sont accessibles selon tous les scnarios de
sinistres. concernes opportun en raison de stratgies de diffusion non
matrises
Vrifier et confirmer qu'une liste de diffusion du plan de continuit des SI est cre, dfinie et tenue jour. Examiner si les principes connatre ont t conservs pendant l'laboration
de la liste.
Se procurer la procdure de diffusion auprs du management.
valuer la procdure et en vrifier la conformit.
Vrifier et confirmer que tous les exemplaires numriques et papier du plan sont protgs de faon approprie et que seuls les employs autoriss peuvent accder aux documents.
DS4.8 Reprise et redmarrage des services informatiques Limitation des dlais de restauration Plans de reprise dfaillants
Prvoir les actions entreprendre pendant la priode de reprise et de Limitation des cots de restauration Procdures et tapes de reprise inappropries
redmarrage des services informatiques. Cela peut concerner Priorit donne la restauration des tches Incapacit rtablir les services et systmes
l'activation de sites de secours, le lancement de traitements critiques pour les mtiers critiques en temps opportun
alternatifs, la communication en direction des parties prenantes et des
clients, les procdures de redmarrage. S'assurer que les mtiers sont
conscients des dlais de restauration et des investissements
informatiques ncessaires pour faire face aux besoins de reprise et de
redmarrage des mtiers.
Se procurer une copie de la procdure de gestion des incidents et s'assurer qu'elle inclut des mesures d'valuation des dgts ainsi que des points de dcision et des seuils officiels pour
activer les plans de continuit.
tudier les plans de reprise informatique et s'assurer qu'ils sont conformes aux exigences mtiers.
ANNEXE IV
173
DS4 Assurer un service continu (suite)
174
DS4.9 Stockage de sauvegardes hors site Disponibilit des donnes de sauvegarde en cas de Indisponibilit des supports et des donnes de
Stocker hors site tous les supports de sauvegarde critiques, la destruction physique du matriel informatique sauvegarde en raison de l'absence de
documentation et les autres ressources informatiques ncessaires la Gestion cohrente des donnes hors site dans documentation sur le stockage hors site
reprise des SI et aux plans de continuit mtiers. Dterminer le l'ensemble de l'entreprise Perte de donnes suite un sinistre
contenu de ce stockage de sauvegarde grce une collaboration entre
Protection approprie du stockage hors site Destruction accidentelle des donnes de
les propritaires des processus mtiers et le personnel informatique.
Les responsables de l'installation de stockage hors site doivent sauvegarde
s'aligner sur la politique de classification des donnes et sur les Impossibilit de localiser les bandes de
pratiques de stockage des supports de l'entreprise. La direction sauvegarde en temps utile
informatique doit s'assurer que les quipements hors site sont valus
priodiquement, au moins annuellement, en ce qui concerne leur
contenu, leur protection vis--vis de l'environnement et leur scurit.
S'assurer que la compatibilit des matriels et de logiciels permet de
restaurer les donnes archives, et tester et actualiser priodiquement
les archives.
DS4.10 Revue aprs redmarrage Plans de reprise mis jour Plans de reprise inadapts
2008 AFAI. Tous droits rservs. www.afai.fr
Vrifier si la direction informatique a mis en place des procdures Objectifs atteints par les plans de reprise Plans de reprise incapables de rpondre aux
pour valuer l'adquation du plan de reprise de l'informatique dans de Plans de redmarrage adapts aux besoins mtiers besoins mtiers
bonnes conditions aprs un sinistre et mettre jour le plan en Objectifs non atteints par les plans de reprise
consquence.
Vrifier et confirmer que les dysfonctionnements du plan ont t mis en vidence et s'assurer de la tenue de runions post-reprise voquant les possibilits d'amlioration.
tudier les plans, politiques et procdures pour dterminer leur efficacit fonctionnelle.
ANNEXE IV
Evaluer le rsultat des objectifs de contrle :
Dterminer le niveau de management pour l'tablissement du rfrentiel de continuit prenant en charge les processus de reprise du
traitement des oprations mtiers dans l'ensemble de l'entreprise.
Dsigner les composants dfinis pour faire face aux responsabilits oprationnelles et aux responsabilits finales de la prise en charge de la
stratgie mtiers en rponse une interruption des activits.
valuer les plans de continuit des SI pour identifier les stratgies de reprise et les niveaux de services requis pour atteindre les objectifs de
traitement des oprations mtiers.
Dterminer l'efficacit du plan de communication cr pour garantir la scurit de toutes les parties concernes et la coordination avec les
autorits publiques.
valuer les directives, rles et responsabilits assurant la reprise des exigences des processus mtiers court et long termes.
S'assurer de l'existence d'une formation priodique aux plans de continuit des SI.
DS5.1 Gestion de la scurit informatique Protection des actifs informatiques critiques Absence de gouvernance de la scurit
Grer la scurit informatique au plus haut niveau appropri de Stratgie de scurit informatique rpondant aux informatique
l'entreprise, de faon ce que la gestion des actions de scurit soit besoins mtiers Absence d'harmonisation entre les objectifs
aligne sur les exigences des mtiers. Stratgie de scurit informatique conforme au mtiers et les objectifs informatiques
plan global de lentreprise Donnes et actifs informatiques non protgs
Pratiques de scurit mises en uvre et gres de
faon approprie, conformment la
rglementation et aux lois en vigueur
DS5.2 Plan de scurit informatique Plan de scurit informatique rpondant aux Plan de scurit informatique non conforme aux
Traduire les exigences des mtiers, des risques et de la conformit exigences mtiers et couvrant tous les risques exigences mtiers
dans un plan global de scurit informatique tenant compte de auxquels les mtiers sont exposs Plan de scurit informatique non rentable
l'infrastructure informatique et de la culture de la scurit. S'assurer Investissements en scurit informatique grs de Mtiers exposs des menaces non prises en
que le plan se dcline en politiques et procdures de scurit assorties
faon cohrente pour permettre l'application du compte dans la stratgie
des investissements appropris en services, personnels, logiciels et
matriels. Communiquer les politiques et les procdures de scurit plan de scurit Disparits entre les mesures de scurit
aux parties prenantes et aux utilisateurs. Politiques et procdures de scurit informatique prvues et appliques
communiques aux parties prenantes et aux Utilisateurs non sensibiliss au plan de scurit
utilisateurs informatique
Utilisateurs sensibiliss au plan de scurit Mesures de scurit mises en chec par les
informatique parties prenantes et les utilisateurs
ANNEXE IV
177
DS5 Assurer la scurit des systmes (suite)
178
DS5.3 Gestion des identits Mise en uvre efficace des Modifications non autorises du
S'assurer que tous les utilisateurs (internes, externes et temporaires) et leur action sur changements matriel informatique et des logiciels
les systmes informatiques (applications mtiers, environnement informatique, Enqute adapte en cas d'activit Gestion des accs non conforme aux
exploitation, dveloppement et maintenance des systmes) sont identifiables sans d'accs illicite exigences mtiers et compromettant la
ambigut. Grer les identits l'aide de systmes d'authentification. S'assurer que les
Communication scurise garantissant scurit des systmes critiques pour les
droits d'accs des utilisateurs aux systmes et aux donnes sont en accord avec des
besoins mtiers dfinis et documents et que des profils de fonctions sont associs aux des transactions mtiers approuves mtiers
identits. S'assurer que les droits d'accs des utilisateurs sont demands par leur Exigences de scurit non spcifies
management, approuvs par le propritaire du systme et mis en place par la personne pour tous les systmes
responsable de la scurit. Tenir jour les identits et les droits d'accs des utilisateurs Non-respect de la sparation des tches
dans un entrept de donnes centralis. Dployer et maintenir oprationnelles au Divulgation d'informations systme
meilleur cot des techniques et des procdures pour crer l'identit des utilisateurs,
mettre en uvre leur authentification et pour faire respecter les droits d'accs.
Dterminer si les pratiques de scurit ncessitent que les utilisateurs et les processus systme soient identifiables sans ambigut et que les systmes soient configurs pour imposer
l'authentification avant d'autoriser l'accs.
Si des rles prdtermins et pr-autoriss sont utiliss pour accorder l'accs, dterminer si ces rles dfinissent clairement les responsabilits en fonction des privilges de base et
s'assurer que l'tablissement et la modification des rles sont valids par le management du propritaire du processus.
Dterminer si des mcanismes de fourniture d'accs et de contrle d'authentification sont utiliss pour contrler l'accs logique sur tous les utilisateurs, les processus systme et les
ressources informatiques, pour les utilisateurs, les processus et les systmes administrs en interne et distance.
DS5.4 Gestion des comptes utilisateurs Comptes utilisateurs grs et Failles de scurit
Disposer de procdures de gestion des comptes utilisateurs permettant de traiter les administrs de faon cohrente Utilisateurs ne respectant pas les rgles
demandes, attributions, ouvertures, suspensions, modifications et cltures des comptes Rgles et rglements pour tous les types de scurit
utilisateurs et des droits associs. Y inclure une procdure d'approbation spcifiant le d'utilisateurs Incidents non rsolus en temps opportun
nom du propritaire des donnes ou du systme qui attribue les droits d'accs. Ces
Dtection des incidents en temps Incapacit rsilier les comptes
procdures doivent s'appliquer tous les utilisateurs, y compris les administrateurs
opportun inutiliss en temps opportun, entranant
2008 AFAI. Tous droits rservs. www.afai.fr
DS5.5 Tests de scurit, vigilance et surveillance Personnel expriment en tests de scurit et Mauvaise utilisation des comptes utilisateurs,
Tester et surveiller de faon proactive la mise en place de la scurit surveillance des systmes informatiques compromettant la scurit de l'entreprise
informatique. Pour s'assurer que la scurit informatique se maintient Niveau de scurit rgulirement contrl Failles de scurit non dtectes
au niveau convenu, il faut revoir et renouveler en temps utile sa Mise en vidence des carts par rapport aux Journaux de scurit non fiables
validation. Une fonction de surveillance des identifications doit
exigences mtiers
permettre une prvention /dtection rapide suivie d'un rapport en
temps utile des activits inhabituelles/anormales qu'il peut tre Failles de scurit dtectes de faon proactive
ncessaire de traiter.
Vrifier et confirmer l'existence d'un inventaire de tous les priphriques rseau, services et applications et qu'un indicateur de risque de scurit a t attribu chaque composant.
Dterminer s'il existe des principes de base de scurit pour tous les SI utiliss par l'entreprise.
Dterminer si une surveillance rgulire des vnements de scurit existe pour tous les actifs du rseau prsentant un risque lev et critiques pour l'entreprise.
Dterminer si le service de gestion de la scurit informatique a t intgr dans les initiatives de gestion de projet de l'entreprise pour s'assurer que la scurit est prise en compte dans
les exigences de dveloppement, de conception et de test, afin de minimiser le risque de failles de scurit introduites par des systmes nouveaux ou existants.
ANNEXE IV
179
DS5 Assurer la scurit des systmes (suite)
180
DS5.6 Dfinition des incidents de scurit Dtection proactive des incidents de scurit Failles de scurit non dtectes
Dfinir clairement et communiquer les caractristiques des incidents Signalement des failles de scurit un niveau Manque d'informations pour contre-attaquer
de scurit potentiels de faon ce que ceux-ci soient classifis et dfini et document Classification inexistante des failles de scurit
traits comme il convient par le processus de gestion des incidents et Moyens de communication identifis pour les
des problmes.
incidents de scurit
Dterminer s'il existe une cellule informatique d'intervention d'urgence (CERT, Computer Emergency Response Team) qui identifie et gre efficacement les urgences en matire de
scurit. Une procdure CERT efficace doit porter sur les domaines suivants :
Gestion des incidents : procdures gnrales et spcifiques et autres exigences pour garantir une gestion efficace des incidents et des vulnrabilits signales
Relations fournisseurs : rles et responsabilits des fournisseurs en matire de suivi et de prvention des incidents, de correction des failles logicielles et d'autres sujets
Communications : exigences, mise en uvre et fonctionnement des voies de communication standard et en cas d'urgence, parmi les principaux membres du management
Aspects lis aux enqutes pnales et judiciaires : questions souleves par des considrations juridiques et les exigences ou contraintes dcoulant de l'implication de services d'enqutes
pnales lors d'un incident
Relations avec les parties prenantes : services d'assistance du centre de rponse et mthodes d'interaction avec les parties prenantes (formation et sensibilisation, gestion de la
configuration, authentification, etc.)
Programme de recherche et interaction : identification des activits de recherche existantes et exigences et justification de la recherche ncessaire lie aux activits du centre de
rponse
Modle de la menace : laboration d'un modle de base qui caractrise les menaces et les risques potentiels pour aider privilgier les activits de rduction des risques et les avances
dans ces activits
Problmes externes : facteurs qui ne relvent pas directement de l'entreprise (ex : lgislation, politique, exigences procdurales) mais qui peuvent avoir une incidence sur le
droulement et l'efficacit des activits de l'entreprise.
Dterminer si la procdure de gestion des incidents de scurit offre une interface adapte avec les principales fonctions organisationnelles, dont le service d'assistance, les fournisseurs
de service externes et l'administration rseau.
Dterminer si la procdure de gestion des incidents de scurit inclut les lments cls suivants :
Dtection des incidents
Corrlation des vnements et valuation des menaces/incidents
2008 AFAI. Tous droits rservs. www.afai.fr
Vrifier et confirmer que des politiques et procdures ont t tablies pour faire face aux consquences des failles de scurit (notamment en tenant compte des contrles de la gestion de
la configuration, de l'accs aux applications, de la scurit des donnes et des exigences de scurit physique).
Examiner les dossiers de contrle accordant et approuvant l'accs et consignant les tentatives infructueuses, les verrouillages, l'accs autoris des fichiers et/ou donnes confidentiels, et
l'accs physique aux installations.
Vrifier et confirmer que les fonctions de conception de la scurit facilitent les rgles de mot de passe (ex : longueur maximum, caractres, expiration, rutilisation).
Vrifier et confirmer que le contrle ncessite que le management tudie tous les ans les fonctions de scurit pour l'accs physique et logique aux fichiers et aux donnes.
Vrifier si l'accs est autoris et approuv de faon approprie.
Examiner les rapports de scurit gnrs par les outils systme empchant les attaques de vulnrabilit et de pntration rseau.
ANNEXE IV
181
DS5 Assurer la scurit des systmes (suite)
182
DS5.8 Gestion des clefs de chiffrement Gestion dfinie et documente des cls Utilisation abusive de cls par des parties non
S'assurer que des politiques et des procdures sont en place pour Scurisation de la gestion des cls autorises
grer la gnration, la modification, la rvocation, la destruction, la Communications scurises Enregistrement d'utilisateurs non vrifis,
distribution, la certification, le stockage, l'entre, l'utilisation et compromettant la scurit du systme
l'archivage de cls de chiffrement afin de garantir leur protection
Accs non autoris aux cls de chiffrement
contre toute modification ou divulgation non autorise.
Dterminer s'il existe une procdure de gestion du cycle de vie des cls. Cette procdure doit inclure :
une taille de cl minimum requise pour la gnration de cls rsistantes
l'utilisation d'algorithmes de gnration de cls obligatoires
l'identification des standards requis pour la gnration des cls
les fonctions pour lesquelles les cls doivent tre utilises et rserves
les priodes d'utilisation autorises ou la dure de vie active des cls
les mthodes acceptables de distribution des cls
la sauvegarde, l'archivage et la destruction des cls.
Dterminer s'il existe des contrles appliqus aux cls prives pour assurer leur confidentialit et leur intgrit. Les lments suivants doivent tre pris en compte :
Stockage des cls de signature prives dans des systmes de chiffrement scuriss (ex : FIPS 140-1, ISO 15782-1, ANSI X9.66)
Cls prives non exportes depuis un module de chiffrement scuris
Cls prives sauvegardes, stockes et rcupres uniquement par le personnel autoris en utilisant un double contrle dans un environnement physiquement scuris.
Vrifier et confirmer que l'entreprise a mis en place une classification des informations et des contrles de protection connexes des informations, qui tiennent compte des besoins de
l'entreprise en matire de partage et de restriction des informations et des impacts organisationnels associs ces besoins.
Dterminer si des procdures sont dfinies pour garantir que la dsignation et le traitement des informations respectent le systme de classification des informations de l'entreprise.
2008 AFAI. Tous droits rservs. www.afai.fr
DS5 Assurer la scurit des systmes (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
DS5.9 Prvention, dtection et neutralisation des logiciels Scurit des systmes garantie par une protection Divulgation d'informations
malveillants proactive contre les logiciels malveillants Non-respect des exigences lgales et
Mettre en place des mesures de prvention, dtection et neutralisation Intgrit du systme garantie rglementaires
(en particulier des correctifs de scurit et des antivirus jour) dans Dtection des menaces en temps opportun Systmes et donnes exposs aux attaques de
l'ensemble de l'entreprise pour protger les systmes d'information et
virus
la technologie des logiciels malveillants (ex : virus, vers, logiciels
espion, pourriels (spams)). Contre-mesures inefficaces
Vrifier et confirmer qu'une politique de prvention contre les logiciels malveillants a t mise en place, est documente et communique dans l'ensemble de l'entreprise.
S'assurer que des contrles automatiques ont t mis en place pour assurer la protection antivirus et que les violations sont signales de faon approprie.
Demander aux principaux employs concerns s'ils connaissent la politique de prvention contre les logiciels malveillants et s'ils sont conscients de leur responsabilit pour garantir le
respect de cette politique.
Pour un chantillon de stations de travail d'utilisateurs, constater si un outil de protection antivirus a t install et contient des fichiers de dfinition de virus, et relever la date de
dernire mise jour des dfinitions.
Vrifier et confirmer qu'un logiciel de protection est distribu de faon centralise (version et correctifs) l'aide d'un processus centralis de configuration et de gestion des
modifications.
tudier le processus de distribution pour dterminer son efficacit fonctionnelle.
Vrifier et confirmer que les informations sur les nouvelles menaces potentielles sont rgulirement contrles et values et, si ncessaire, actualises manuellement dans les fichiers de
dfinition des virus.
tudier le processus de contrle et d'valuation pour dterminer son efficacit fonctionnelle.
Vrifier et confirmer qu'un filtrage appropri permet de dtecter les courriers lectroniques entrants non sollicits.
Contrler le processus de filtrage pour dterminer son efficacit fonctionnelle ou contrler le processus automatis mis en place pour le filtrage.
ANNEXE IV
183
DS5 Assurer la scurit des systmes (suite)
184
DS5.10 Scurit des rseaux Protection de la technologie de scurit de Rgles de pare-feu incapables de s'aligner sur la
Mettre en oeuvre des techniques de scurit et des procdures de l'entreprise politique de scurit de l'entreprise
gestion associes (ex : pare-feux, dispositifs de scurit, Scurisation des informations fiables Non-dtection des modifications non autorises
compartimentage rseau, dtection d'intrusion) pour autoriser et Protection des actifs de l'entreprise des rgles de pare-feu
contrler les flux d'informations entre rseaux.
Gestion cohrente de la scurit des rseaux Mise en pril de l'architecture de scurit globale
Failles de scurit non dtectes en temps
opportun
Vrifier et confirmer qu'une politique de scurit des rseaux (ex : services fournis, trafic autoris, types de connexion autoriss) a t mise en place et est tenue jour.
Vrifier et confirmer que des procdures et des recommandations pour l'administration de tous les composants critiques en rseau (ex : routeurs d'infrastructure, zone DMZ,
commutateurs VPN) sont mises en place et rgulirement mises jour par le personnel d'administration concern, et que les modifications apportes la documentation font l'objet d'un
suivi dans l'historique documentaire.
DS5.11 change de donnes sensibles Fiabilit des canaux de communication Divulgation d'informations confidentielles
Ne faire circuler les changes de donnes sensibles que sur des Fiabilit de l'change de donnes Mesures de scurit physique inappropries
circuits srs ou sur des supports dots de contrles qui garantissent Protection de l'intgrit des donnes et systmes Connexions externes non autorises des sites
l'authenticit du contenu et fournissent la preuve de la rception et distants
celle de non-rpudiation de la part de l'expditeur.
Divulgation d'actifs de l'entreprise et
informations confidentielles accessibles aux
parties non autorises
Vrifier et confirmer que les donnes de l'entreprise sont classes selon le niveau de vulnrabilit et le systme de classification (ex : confidentielles, sensibles, etc.).
Vrifier et confirmer que le traitement des donnes confidentielles fait l'objet de contrles applicatifs qui valident l'opration avant transmission.
Vrifier si l'application journalise ou interrompt le traitement en cas de transaction incorrecte ou incomplte.
ANNEXE IV
Evaluer le rsultat des objectifs de contrle
Interroger et observer pour dterminer si le service de gestion de la scurit interagit efficacement avec les principaux services de
l'entreprise, y compris dans les domaines de la gestion des risques, de la conformit et de l'audit.
Analyser le processus d'identification et de raction aux incidents de scurit, en slectionnant un chantillon des incidents signals.
Interroger les personnes concernes et tudier la documentation d'accompagnement pour dterminer si le management a pris des mesures
adaptes pour remdier l'incident.
Slectionner un chantillon d'employs et dterminer si des accords d'utilisation informatique et de confidentialit (non-divulgation) ont t
signs dans le cadre des conditions d'embauche initiales.
Examiner les procdures, politiques, plans et stratgies de scurit informatique pour dterminer leur adquation au paysage informatique
actuel de l'entreprise, et dterminer les dates auxquelles ils ont t vrifis et mis jour pour la dernire fois.
Contrler les plans, politiques, stratgies et procdures informatiques et vrifier s'ils refltent la classification des donnes.
Interroger les parties prenantes et les utilisateurs sur leur connaissance des procdures, politiques, plans et stratgies de scurit
informatique et dterminer s'ils les jugent adapts aux risques et aux pratiques organisationnelles.
Interroger la direction gnrale sur les modifications rcentes ou prvues apportes l'entreprise (ex : acquisition/cession d'units
fonctionnelles, nouveaux systmes, modification de l'environnement rglementaire) et dterminer si le plan de scurit informatique est
correctement harmonis.
Dterminer si des procdures de scurit ont t mises en place pour identifier et contrler spcifiquement les actions de tous les utilisateurs
et les processus via un contrle du systme (systmes de dveloppement, de test et de production) et des comptes applicatifs, des files
d'attente des tches et services, ainsi que des paramtres des logiciels de scurit.
Examiner un chantillon de listes de contrle d'accs (ACL) pour dterminer si le processus de mise en place de la scurit tient compte des
lments suivants :
- la confidentialit des informations et des applications concernes (classification des donnes)
- les rgles de protection et de diffusion des informations (exigences lgales, rglementaires et contractuelles)
- le caractre indispensable de la fonction
- les profils d'accs utilisateur standard pour les postes classiques dans l'entreprise
- la ncessit de sparer les droits d'accs concerns
- l'autorisation d'accs accorde par le propritaire des donnes et le management
- la documentation sur l'identit et les droits d'accs dans un rfrentiel centralis
- la cration, la communication et la modification des mots de passe initiaux.
Interroger les personnes concernes et examiner un chantillon d'ACL pour dterminer s'il existe une procdure permettant de rpondre aux
demandes de fourniture d'accs qui ne sont pas en rapport avec les rles et les pratiques d'authentification de scurit tablis.
Dterminer si un processus d'valuation des risques a t utilis pour identifier l'ventuelle sparation des tches et si une procdure
d'escalade a t utilise pour obtenir des niveaux supplmentaires d'autorisation du management.
Dterminer s'il existe des mcanismes d'authentification et d'autorisation pour veiller l'application des droits d'accs en fonction du
caractre confidentiel et critique des informations (ex : mot de passe, jeton, signature numrique).
Dterminer si des relations de confiance permettent de garantir le respect de niveaux de scurit comparables et de grer les identits des
utilisateurs et des processus.
Slectionner un chantillon de comptes d'utilisateur et de systme et un exemple d'ACL pour dterminer l'existence des lments suivants :
- les rles et/ou droits requis clairement dfinis
- la justification mtier de la mission
- l'autorisation du propritaire des donnes et du management
- la justification mtier/risque et l'autorisation du management pour les demandes non-standard
- un accs requis conforme au rle ou la fonction professionnelle et la sparation obligatoire des tches
- une documentation dmontrant le respect et l'excution du processus de mise en uvre.
Se procurer, auprs des RH, un chantillon des mutations et des dparts d'employs et examiner les profils du compte systme et/ou les
ACL pour dterminer si l'accs a t modifi en consquence et/ou supprim en temps opportun.
Slectionner un chantillon des principaux services systme et priphriques rseau et dterminer si les mcanismes de contrle d'accs ont
t rgulirement valus et tests pour s'assurer de leur efficacit fonctionnelle.
Slectionner un chantillon des principaux services systme et priphriques rseau et dterminer s'ils ont t rgulirement surveills pour
dtecter d'ventuels incidents de scurit.
Obtenir un aperu des principes de base de scurit et dterminer s'ils sont correctement aligns sur le profil de risque de l'entreprise et sur
les niveaux de risque accept, et s'ils tiennent compte des vulnrabilits et des risques frquents (en d'autres termes, s'ils sont conformes aux
pratiques dominantes).
Slectionner un chantillon de systmes informatiques et dterminer s'ils sont conformes aux principes de base de scurit tablis. En cas
d'entorse aux principes de base, dterminer si une valuation des risques a t effectue et si le management a approuv cette situation.
Dterminer si une procdure de contrle de la scurit a t intgre dans les processus Acqurir et Implmenter (AI) et les processus
Dlivrer et Supporter (DS) de l'entreprise, ncessitant l'implication du management de la scurit et son autorisation concernant tous les
changements informatiques pouvant avoir une incidence sur la conception ou la scurit des systmes d'exploitation. Ce processus de
contrle doit tenir compte des lments suivants :
- l'architecture technologique globale
- l'accs aux bases de donnes et la conception de la scurit
- l'utilisation des protocoles, ports et interfaces de connexion
- les services requis
La ncessit d'un systme loyal et quitable pour affecter les cots informatiques aux mtiers exige qu'ils soient chiffrs avec prcision et qu'un accord soit conclu avec les utilisateurs mtiers
sur une juste rpartition. Ce processus comprend l'laboration et la mise en uvre d'un systme pour calculer et affecter les cots informatiques et en rendre compte aux utilisateurs de
services. Un systme de rpartition juste permet aux mtiers de prendre des dcisions mieux documentes propos de l'utilisation des services informatiques.
Vrifier et confirmer l'existence d'une politique de rpartition des cots dans les diffrents services.
Inspecter la documentation dfinissant les services informatiques et vrifier si les diffrents services informatiques auxquels les cots seront imputs ont t dfinis et documents.
Examiner la mise en correspondance entre les services informatiques et l'infrastructure informatique et dterminer si elle est approprie en se procurant, par exemple, une copie des
stocks de matriel et logiciels informatiques et la liste des services informatiques pour s'assurer que tous les services et infrastructures ont t mis en correspondance.
Vrifier les sources d'information utilises pour crer la mise en correspondance afin de dterminer si elles sont adaptes l'exercice de mise en correspondance.
Examiner la mise en correspondance des services informatiques avec les processus mtiers pour s'assurer qu'elle a t effectue de faon complte et approprie. Pour ce faire, par
exemple, comparer la mise en correspondance avec l'organigramme ou les secteurs d'activit.
Demander et dterminer si les rsultats de la mise en correspondance ont t confirms auprs des propritaires des processus mtiers. Les questions doivent essentiellement permettre
de vrifier l'accord des propritaires de processus mtiers quant l'alignement des services informatiques fournis.
Examiner la documentation accompagnant la communication et l'accord sur la mise en correspondance pour dterminer si un accord a t obtenu. Ces documents peuvent inclure les
comptes-rendus de runions, la documentation sur le budget et les CS.
ANNEXE IV
189
DS6 Identifier et imputer les cots (suite)
190
DS6.2 Comptabilit de l'informatique Alignement plus efficace favoris entre les Incapacit du modle comptable actuel prendre
Calculer et affecter les cots rels en respectant le modle de cots objectifs mtiers et le cot des SI en charge la facturation interne quitable des
de l'entreprise. Les carts entre les prvisions et les cots rels Affectation facilite des ressources informatiques services
doivent faire l'objet d'analyses et de comptes-rendus conformes aux aux processus et projets informatiques mis en Cots enregistrs non conformes aux politiques
systmes de mesure financiers de l'entreprise.
concurrence comptables et financires de l'entreprise
Units oprationnelles capables de comprendre Les mtiers ont une vision incorrecte des cots
parfaitement le cot informatique total engag informatiques et de la valeur apporte
pour assurer le fonctionnement de diffrents
processus mtiers
Accroissement du niveau de productivit et
largissement de la vue mtier et du
professionnalisme du personnel au sein du service
informatique grce une responsabilit financire
accrue
Se procurer une copie des lments de cot dfinis (ex : dans un modle de rpartition des cots informatiques ou un systme de calcul des cots), les comparer aux lments de cot
dfinis pour l'ensemble de l'entreprise et identifier les diffrences.
Identifier les lments qui concernent uniquement l'informatique et valuer le bien-fond des lments de cot dfinis.
Examiner les entres du journal de rpartition des cots des factures pour enregistrer la rpartition des cots informatiques et valuer le bien-fond de cette rpartition. Par exemple, les
comparaisons entre services ou sous la forme d'un pourcentage des dpenses d'un service peuvent permettre d'identifier les rpartitions inappropries ou les cots non attribus.
Se procurer une copie de la configuration du systme de comptabilit analytique de l'entreprise et valuer le traitement des cots informatiques grce l'tude des registres des dpenses
informatiques, des factures inter-services, des entres du journal, etc.
Se procurer et examiner une copie de la documentation dans laquelle les budgets et les prvisions doivent tre actualiss en cas de modification de la structure des cots, et tudier cette
documentation avec les propritaires de processus mtiers et les responsables du service informatique pour dterminer si le processus est compris et dploy.
Examiner la documentation relative au processus de cration des rapports sur les budgets informatiques, les prvisions et les cots rels.
S'assurer que ces processus sont en harmonie avec les processus organisationnels gnraux et dterminer si les listes de diffusion et le planning des rapports sur les budgets initiaux, les
prvisions et les cots rels ce jour sont appropris. L'adquation de la distribution implique de tenir compte de tous les propritaires de processus mtiers concerns, de la direction
gnrale, etc.
2008 AFAI. Tous droits rservs. www.afai.fr
L'adquation du planning de distribution des rapports implique de s'assurer que l'informatique est en harmonie avec les calendriers des rapports mtiers.
valuer les dfinitions des rles pour les destinataires des budgets, des prvisions et de l'analyse relle afin de dterminer si toutes les parties concernes figurent parmi les destinataires.
DS6 Identifier et imputer les cots (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
DS6.3 Modle de cots et facturation Rpartition des cots informatiques transparente Modle de cots non conforme aux procdures
En se basant sur la dfinition des services, mettre en place et utiliser pour toutes les parties concernes comptables globales
un modle de cots informatiques qui permette le calcul du taux de Informations fiables fournies l'entreprise Disparits entre les services identifis et les
refacturation interne par service. Ce modle de cots doit permettre concernant ses cots informatiques totaux services facturs
aux utilisateurs d'identifier, de mesurer et de prvoir la facturation
Possibilit de rattacher les dcisions Utilisation des services insuffisamment value
des services pour encourager une bonne utilisation des ressources.
d'investissement aux cots actuels et ne refltant pas l'utilisation mtier relle
Vrifier et confirmer que tous les lments et services facturables fournis par le service informatique sont correctement classs par catgories et dtaills, et que les frais correspondant
chaque service sont rpertoris.
S'assurer que les documents sont structurs conformment au cadre comptable de l'entreprise.
Interroger les principaux utilisateurs et tudier les rclamations du service utilisateur dans les factures internes pour s'assurer que le modle de facturation interne est transparent et
quitable.
Interroger la DSI pour s'assurer que le modle de calcul des cots et de facturation interne permet une planification efficace des ressources.
Slectionner un exemple de ressource/service, comparer le cot total et les revenus gnrs par la facturation interne, et analyser la diffrence.
DS6.4 Maintenance du modle de cots Rpartition des cots informatiques toujours Modle de cots non conforme l'utilisation
Faire rgulirement des revues et des tests comparatifs du modle de conforme l'utilisation mtier relle des services relle
cots et de refacturation pour en maintenir la pertinence et informatiques Mthode utilise pour la rpartition des cots
l'adquation aux volutions des activits mtiers et informatiques. Rpartition des cots base sur la mthode la non adapte aux besoins des mtiers et de
mieux approprie pour les mtiers et l'informatique
l'informatique
Vrifier et confirmer que le modle de cots/facturation est rgulirement contrl (ex : chaque anne ou chaque semestre), y compris les exigences mtiers actuelles et les
modifications des cots et services informatiques.
Examiner les documents du modle de facturation rvalu pour vrifier s'il a t valid par le management et pour dterminer son efficacit fonctionnelle.
Examiner les politiques ou standards ncessitant l'application de modles de cots/facturation informatiques et s'assurer qu'il existe une obligation de contrle par rapport au modle
d'entreprise (ex : chaque anne ou chaque semestre) ou qu'il existe un processus visant reflter les modifications du modle d'entreprise dans les modles informatiques.
ANNEXE IV
191
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
Evaluer le rsultat des objectifs de contrle :
Vrifier et confirmer que la rpartition des cots dans les services est acceptable et/ou adapte l'entreprise.
Vrifier et confirmer que les cots sont affects aux diffrents services informatiques.
Vrifier et confirmer que la responsabilit de collecter et de rpartir les cots a t correctement attribue.
Examiner la documentation qui dfinit la mthode de rpartition des cots pour vrifier si tous les cots sont rpartis de faon raisonnable.
Pour ce faire, par exemple, comparer la rpartition des cots avec le budget ou les dpenses relles engages.
Se procurer le budget informatique et les budgets des divisions de l'entreprise, et dterminer s'il existe des cots de services informatiques
dans les budgets des diffrentes divisions.
Dterminer si le budget informatique est conforme aux besoins mtiers grce l'tude des budgets des divisions, des applications prises en
charge par les divisions, etc.
Slectionner un chantillon des cots engags et remonter l'origine de ces cots pour s'assurer qu'ils ont t correctement affects aux
services informatiques.
Extraire les cots importants (ex : les 10 % les plus levs, les cots importants pour les diffrentes divisions) et examiner ces cots pour
s'assurer qu'ils ont t correctement affects aux services informatiques.
Extraire tous les cots informatiques et les classer par type pour tablir des comparaisons avec les dfinitions des services informatiques.
S'assurer auprs des responsables des services informatiques que les services informatiques fournis possdent et tiennent compte de
l'ensemble du stock d'infrastructures. Pour ce faire, examiner le primtre gographique du service informatique et la nature des
applications et des services mtiers fournis, et discuter de ces paramtres avec les responsables des services informatiques ou en confirmant
le contenu des services informatiques tudis avec les diagrammes de rseau actuels.
Slectionner un chantillon de services informatiques et examiner les affectations de l'infrastructure informatique pour s'assurer de son
exhaustivit en tenant compte de la nature du service informatique fourni et de l'infrastructure connue requise pour l'assistance.
Slectionner un chantillon de l'infrastructure informatique pour s'assurer qu'il est mis en correspondance ou affect un secteur de services
informatiques.
Examiner les registres d'actifs, les diagrammes rseau ou autres inventaires d'infrastructures et dterminer si les affectations aux
propritaires des services ont t effectues.
Slectionner un chantillon d'actifs provenant de la visite du centre de donnes et s'assurer que les actifs sont correctement consigns dans
les registres d'actifs, les diagrammes rseau ou autres inventaires d'infrastructures.
Vrifier et confirmer que tous les lments de cot dfinis (ex : personnes, locaux, transferts, matriel informatique, logiciels) ont t
enregistrs.
Examiner les factures/rpartitions des cots/entres du journal pour enregistrer la rpartition des cots informatiques et valuer le bien-
fond de cette rpartition. Par exemple, les comparaisons entre services ou sous la forme d'un pourcentage des dpenses d'un service
peuvent permettre d'identifier les rpartitions inappropries ou les cots non attribus.
Comparer et rapprocher les cots affects aux services par rapport aux dpenses informatiques pour dterminer si des rpartitions
compltes et prcises sont effectues.
Examiner les dpenses informatiques enregistres dans les comptes du grand livre pour identifier les comptes prsentant un risque lev
(ex : comptes qui ne sont pas frquemment utiliss ou qui prsentent des mouvements de transactions importants) et contrler les critures
inhabituelles.
Slectionner un chantillon de factures du service informatique et s'assurer que le traitement comptable est conforme aux modles de
rpartition des cots de l'entreprise.
Analyser les informations sur les cots informatiques obtenues dans les comptes du grand livre pour dterminer si les comptes qui donnent
lieu des critures de journal standard ou imputes automatiquement sont correctement imputs. Par exemple, recalculer l'amortissement
des actifs informatiques pour s'assurer que l'amortissement accumul sur l'informatique est correctement affect aux services en fonction de
l'utilisation des services ou de pourcentages.
S'assurer auprs des propritaires de processus mtiers que des procdures ont t mises en place pour viter les modifications non
autorises de la rpartition des cots et pour dtecter/surveiller les modifications de la rpartition des cots.
Examiner un chantillon des modifications de la structure des cots et s'assurer que les budgets et prvisions des services concerns ont t
rviss et que les chiffres sont corrects.
Examiner les journaux des modifications pour identifier les changements importants ou le dploiement de nouveaux systmes, et
dterminer si ces changements ont eu un impact sur les structures des cots et s'ils se sont traduits par une modification ultrieure des
budgets et des prvisions.
tudier l'analyse des variations entre le cot budgt, le cot prvu et le cot rel et dterminer si elle a t effectue en temps opportun et
si elle est suffisamment dtaille. Dterminer si l'analyse a t effectue conformment aux standards de l'entreprise.
Examiner les listes de distribution pour s'assurer que tous les cadres dirigeants et les propritaires de processus mtiers concerns reoivent
l'analyse.
Demander aux propritaires de processus mtiers comment ils sont informs des modifications apportes aux cots de services
informatiques affects leur service.
Vrifier et confirmer que les demandes d'informations dues des procdures de tarification ou d'tablissement des cots mal dfinies sont
traites immdiatement et enregistres en vue d'une analyse rcapitulative. Suivre une demande d'informations travers le systme pour
dterminer l'efficacit fonctionnelle et s'assurer qu'elle est traite immdiatement.
DS7.1 Identification des besoins en savoir et en formation Besoins en formation du personnel identifis pour Employs ne bnficiant pas d'une formation
tablir et mettre rgulirement jour un programme pour chaque rpondre aux exigences mtiers approprie pour s'acquitter de leurs fonctions
groupe cible de salaris en prenant en compte : Des principes de base pour l'utilisation efficace de professionnelles
les besoins des mtiers et la stratgie actuels et futurs la technologie de l'entreprise par le personnel, que Mcanismes de formation inefficaces
la valeur de l'information en tant qu'actif ce soit immdiatement ou dans le futur Formation fournie inadapte aux besoins en
les valeurs de l'entreprise (valeurs thiques, culture de la scurit et
du contrle, etc.) Mise en place de programmes de formation et formation
la mise en place d'une nouvelle infrastructure informatique et de d'enseignement qui tiennent compte des risques et Sous-utilisation des fonctionnalits applicatives
nouveaux logiciels (ex : progiciels et applications) des opportunits auxquels l'entreprise est installes
les qualifications existantes et futures, les profils de comptences et confronte actuellement et dans le futur
les besoins de certification et/ou d'accrditation ou de raccrditation Optimisation des fonctionnalits applicatives
les mthodes d'enseignement (ex : classe, en ligne), la dimension installes pour satisfaire les besoins mtiers
des groupes cibles, l'accessibilit et les horaires.
Vrifier et confirmer qu'il existe un plan de formation et de perfectionnement professionnel du personnel informatique.
Se procurer et examiner le programme de la formation pour s'assurer de son exhaustivit (ex : ampleur du programme, frquence des cours, planning des cours, complexit des cours,
source de formation (cole locale du fournisseur ou institut professionnel).
Se procurer et examiner le calendrier de formation.
Se procurer et examiner le budget de formation.
Se procurer une copie des tests effectus, de notes et de la confirmation d'assiduit (ex : preuves d'examens et d'assiduit pour les cours en ligne).
Dterminer la procdure permettant au management d'laborer et de tenir jour un inventaire des comptences.
Se procurer et tudier le catalogue de l'inventaire des comptences et dterminer si les comptences qu'il contient correspondent aux systmes dploys.
S'assurer que la base de donnes des comptences est jour et que les connaissances disponibles sont maintenues jour.
Examiner la stratgie de formation pour s'assurer que les besoins en formation doivent tre intgrs dans les plans de performance individuelle des utilisateurs.
Examiner la documentation dtaillant la ncessit d'analyser les causes profondes, y compris la formation, partir des rsultats fournis par le service d'assistance.
2008 AFAI. Tous droits rservs. www.afai.fr
DS7 Instruire et former les utilisateurs (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
DS7.2 Fourniture de formation et d'enseignement Intrt formalis et communiqu du management Mcanismes et programmes de formation
En se basant sur les besoins identifis en formation et en pour la formation slectionns inappropris et inefficaces
enseignement, identifier les groupes cibles et leurs membres, les Efficacit des programmes de formation et des Supports de formation utiliss obsoltes
mcanismes efficaces, les enseignants, formateurs et conseillers formateurs Assiduit et implication faibles
pdagogiques. Engager des formateurs et organiser des sessions de
Assiduit et implication suffisantes dans les
formation en temps voulu. Enregistrer les inscriptions (y compris les
conditions pralables), l'assiduit et l'valuation des performances de sessions et les programmes de formation
la session.
DS7.3 valuation de la formation reue Programmes de formation efficaces s'appuyant Programmes de formation slectionns
valuer en fin de session le contenu de l'enseignement et de la sur le retour d'informations des utilisateurs inefficaces et inappropris
formation pour en dterminer la pertinence, la qualit, l'efficacit, ce Programmes de formation pertinents Utilisation de supports de formation obsoltes
qui a t retenu, le cot et la valeur. Les rsultats de cette valuation Qualit optimise des programmes de formation Qualit dcroissante des programmes de
doivent nourrir la dfinition des programmes des sessions de
Contenu de formation labor et structur de formation de l'utilisateur final
formation venir.
faon approprie, permettant aux utilisateurs de Conception et structure du contenu de formation
conserver et de rutiliser les connaissances ne favorisant pas la conservation et la
Suivi/surveillance efficace des cots (financiers, rutilisation des connaissances
en matriel, etc.) et de la valeur ajoute Cots de formation suprieurs aux avantages et
la valeur ajoute de la formation
tudier les formulaires d'valuation pour s'assurer qu'ils mesurent efficacement la qualit et la pertinence du contenu et le niveau de rponse aux attentes.
ANNEXE IV
Dterminer si les ractions sont rcapitules dans un format utile pour la dfinition du programme de formation futur.
Se procurer la liste des actions de suivi et la preuve qu'elles ont t mises en uvre.
S'assurer que le public cible a t atteint.
195
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
Evaluer le rsultat des objectifs de contrle :
tudier les communications transmises par le management au personnel pour l'encourager suivre les programmes de formation et d'auto-
apprentissage.
Se procurer et examiner les demandes de remboursement de frais pour la formation.
Se procurer une liste de supports de formation remis par les fournisseurs (ex : manuels, CD, kits de formation, programmes de cours).
Se procurer et tudier l'inventaire des brochures didactiques dans la bibliothque informatique.
S'entretenir avec les diffrents employs pour dterminer s'ils ont labor un plan de formation conforme aux exigences de leur entreprise
ou de leur service.
Examiner les registres d'incidents pour identifier les volutions de l'utilisation et du support systme pouvant indiquer des insuffisances en
termes de comptences.
Demander au management de dsigner les comptences spcifiques requises pour soutenir l'environnement et dterminer s'il existe un plan
pour dvelopper et renforcer ces comptences pour l'entreprise ou pour acqurir ces comptences via des accords avec des tiers.
Inspecter un chantillon des plans de performances individuelles pour dterminer si les besoins en formation technologique ont t intgrs.
Interroger le management sur les rsultats des valuations de performance et sur les ventuelles insuffisances identifies en termes de
comptences.
Examiner les rapports sur la gestion des problmes pour identifier les volutions de l'utilisation et du support systme pouvant indiquer des
insuffisances en termes de comptences.
tudier le processus permettant de dfinir des programmes de formation efficaces pour dterminer si :
- tous les besoins entrant en ligne de compte, y compris la planification, sont pris en compte ;
- les sessions de formation rpondent efficacement aux besoins en formation identifis ;
- les informations sur les mcanismes de prestation de formation sont jour ;
- les valuations rcentes des formateurs et des programmes sont analyses.
S'assurer de la prcision des rapports sur l'assiduit et l'excution des programmes de formation et d'enseignement.
Examiner les ractions des participants et des formateurs partir d'un chantillon de sessions de formation termines.
Interroger les utilisateurs pour valuer leur comprhension des sessions de formation, puis tudier les tests pour s'assurer qu'ils mesurent
efficacement la qualit et la pertinence du contenu des sessions et le niveau de rponse aux attentes.
Vrifier et confirmer que les parties prenantes ont t interroges et ont formul des commentaires sur l'enseignement et la formation.
Interroger le management sur les rsultats des valuations de performance et sur les ventuelles insuffisances identifies en termes de
comptences dans les domaines o une formation a t dispense.
Demander au management et aux utilisateurs si la formation dispense a permis d'amliorer l'efficacit et les connaissances.
Dterminer si des indicateurs, tels que la rduction du nombre d'appels au service d'assistance et la productivit des utilisateurs, sont
valus pour indiquer si la formation a eu l'impact souhait.
Examiner les valuations des cours pour dterminer le niveau de satisfaction des stagiaires vis--vis de la formation dispense. tudier
spcifiquement le niveau de satisfaction vis--vis des formateurs, du contenu des cours et du lieu des cours.
Apporter des rponses efficaces et au bon moment aux requtes et aux problmes des utilisateurs exige un processus performant de gestion du service d'assistance et de gestion des incidents.
Ce processus comporte la mise en place d'un service d'assistance qui s'occupe de l'enregistrement et de l'escalade des incidents, de l'analyse des tendances et des causes, et des solutions.
L'intrt de l'entreprise passe par l'amlioration de la productivit grce la rsolution rapide des demandes des utilisateurs. Par ailleurs les mtiers peuvent rechercher les causes premires
(comme une formation insuffisante des utilisateurs) au moyen de comptes-rendus efficaces.
DS8.1 Service d'assistance client Accroissement de la satisfaction clientle Accroissement du temps d'indisponibilit
Mettre en place un service client qui doit faire l'interface entre Performances dfinies et mesurables du service Baisse de la satisfaction clientle
l'utilisateur et l'informatique, pour enregistrer, communiquer et d'assistance client Utilisateurs non informs sur les procdures de
analyser tous les appels, les rapports d'incidents, les demandes de Incidents signals, traits et rsolus en temps suivi des incidents signals
services et d'information. Il faut des procdures de surveillance et
opportun Problmes rcurrents non traits
d'escalade bases sur les niveaux de services dfinis dans les
conventions de services appropries ; cela doit permettre de classer
tout problme ou incident rapport, demande de service ou
d'information et de lui attribuer des priorits. Mesurer la satisfaction
des utilisateurs finaux l'gard de la qualit du service d'assistance
client et des services informatiques.
ANNEXE IV
197
DS8 Grer le service d'assistance client et les incidents (suite)
198
DS8.2 Enregistrement des demandes des clients Rsolution efficace des incidents en temps Suivi partiel des incidents
Mettre en place une fonction et un systme qui permettent opportun Hirarchisation des incidents ne refltant pas les
d'enregistrer et de suivre les appels, les incidents, les demandes de Valeur ajoute pour les utilisateurs finaux besoins mtiers
services et les besoins en information. Cette fonction doit travailler Responsabilit de la rsolution des incidents Incidents non rsolus en temps opportun
en troite association avec des processus tels que la gestion des
incidents, des problmes, des changements, des capacits et de la
disponibilit. Les incidents doivent tre classs selon une priorit
mtier et une priorit de service, et dirigs vers l'quipe de gestion de
problmes approprie si ncessaire. Les clients doivent tre tenus
informs de l'tat d'avancement de leurs demandes.
S'assurer que des processus et des outils ont t mis en place pour enregistrer les demandes des clients, l'tat de la situation et les actions entreprises pour rsoudre le problme.
valuer le niveau d'exhaustivit et de prcision de ce rfrentiel.
S'assurer que le processus inclut l'ordonnancement des oprations pour le traitement et la remonte des requtes clients.
Examiner un chantillon de requtes clients (en cours et cltures) pour vrifier si elles sont conformes au processus et aux engagements de services.
DS8.3 Escalade des incidents Accroissement de la satisfaction clientle Utilisation inefficace des ressources
Mettre en place des procdures d'assistance client de faon ce que Cohrence du processus de rsolution des Indisponibilit des ressources du service
les incidents qui ne peuvent pas tre immdiatement rsolus soient problmes d'assistance client
transmis au niveau de support suprieur appropri dans les limites Responsabilit de l'incident rsolu Incapacit assurer le suivi de la rsolution des
prvues par les conventions de services, et que des solutions de
Suivi clair de l'volution de la rsolution des incidents
contournement soient identifies si ncessaire. S'assurer que la
proprit des incidents et la surveillance du cycle de vie restent entre incidents
les mains du service d'assistance client pour les incidents qui
concernent les utilisateurs, quelle que soit l'quipe informatique qui
travaille la rsolution des problmes.
2008 AFAI. Tous droits rservs. www.afai.fr
DS8.4 Clture des incidents Accroissement de la satisfaction clientle Collecte d'informations incorrectes
Mettre en place des procdures de surveillance de la rsolution des Processus de rsolution des incidents cohrent et Incidents courants non rsolus correctement
demandes des clients dans les temps. Lorsque l'incident a t rsolu, systmatique Incidents non rsolus en temps opportun
s'assurer que le service d'assistance client enregistre les tapes de sa Rcurrence des problmes vite
rsolution et confirmer que la solution apporte a reu l'agrment du
client. Enregistrer galement les incidents non rsolus (erreurs
connues et palliatifs) et en effectuer le rapport de faon disposer
d'informations pour une gestion correcte des problmes.
Vrifier et confirmer qu'un processus a t mis en place pour grer la rsolution de chaque incident.
Vrifier et confirmer que tous les incidents rsolus sont dcrits en dtail, y compris dans un journal dtaillant toutes les tapes de rsolution des incidents.
Examiner un chantillon d'incidents pour s'assurer que l'tat d'avancement de la gestion du cycle de vie de l'incident, y compris la rsolution et la clture, est communiqu.
DS8.5 Rapports et analyse des tendances Rduction du temps d'indisponibilit du service Service d'assistance incapable de soutenir les
Produire des rapports de l'activit du service d'assistance client pour Accroissement de la satisfaction clientle activits mtiers
permettre au management de mesurer la performance du service et Confiance vis--vis des services proposs Clients insatisfaits des services proposs
les temps de rponse, et d'identifier les tendances ou les problmes valuation et optimisation des performances du Incidents non rsolus en temps opportun
rcurrents, de faon ce que le service s'amliore en permanence.
service d'assistance Accroissement du temps d'indisponibilit pour le
client
Vrifier et confirmer qu'une procdure a t mise en place pour identifier toutes les requtes dont le dlai de rsolution adopt a t dpass, approfondir l'enqute sur ces requtes et en
communiquer les rsultats.
Vrifier et confirmer qu'une analyse des tendances est effectue sur toutes les requtes pour identifier les incidents et schmas qui se rptent, en complment de l'identification des
problmes.
Vrifier si les donnes relatives l'analyse des tendances et aux incidents sont rgulirement transmises aux responsables de la rsolution des problmes.
Vrifier et confirmer que l'analyse est effectue en fonction des ractions des clients, afin d'valuer leur niveau de satisfaction vis--vis des services fournis par l'quipe d'assistance.
Confirmer l'existence de rapports d'analyse des ractions des clients et vrifier si des actions correctives ont t entreprises pour amliorer le service.
S'assurer que les performances du service d'assistance sont compares aux normes du secteur.
Vrifier si une analyse comparative est utilise pour permettre l'amlioration continue.
ANNEXE IV
199
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
Evaluer le rsultat des objectifs de contrle :
Vrifier la faon dont les clients et les utilisateurs sont informs des standards du service d'assistance et vrifier l'existence de ces mthodes
(affichages au centre d'assistance ou en ligne, etc.).
Vrifier l'existence de fichiers journaux consignant les commentaires des utilisateurs.
Vrifier l'efficacit du systme en termes de surveillance et d'amlioration des taux de satisfaction clientle.
Vrifier l'existence de rapports de performance du service d'assistance.
Examiner un chantillon des entres du journal rpertoriant les appels qui n'ont pas t rsolus immdiatement et dterminer si les
procdures d'escalade appropries ont t respectes.
Dterminer si les mtriques communiques tiennent compte des objectifs pertinents du service d'assistance. Demander qui utilise les
rapports et dans quel but.
Surveiller plusieurs appels au centre d'assistance pour vrifier si les procdures existantes sont respectes. Effectuer le suivi des appels
observs dans le systme de suivi des incidents de service.
Vrifier et confirmer que les incidents sont correctement hirarchiss, conformment au rglement.
Examiner un chantillon de tickets d'incidents pour vrifier s'ils sont conformes au rglement.
Slectionner un chantillon de requtes et s'assurer que les registres d'incidents sont jour et indiquent la date et l'heure de chaque requte
et l'affectation du personnel informatique chaque requte.
Examiner un chantillon de la documentation relative aux incidents de fonctionnement et s'assurer que ces incidents sont conformes aux
niveaux de priorit dfinis par le rglement.
Vrifier et confirmer que les utilisateurs sont informs de l'avancement de la rsolution des incidents.
Vrifier et confirmer que tous les enregistrements de requtes et d'incidents sont surveills tout au long de leur dure de vie et
rgulirement tudis pour garantir une rsolution des requtes clients en temps opportun.
Vrifier et confirmer que les requtes et les incidents sont uniquement clturs aprs confirmation de l'auteur de la requte.
Examiner un chantillon d'incidents et s'assurer qu'un suivi manuel ou automatis de la rsolution a t effectu.
Par le biais d'une inspection, s'assurer que les incidents sont analyss pour assurer la mise jour de la base de connaissances, y compris
concernant les moyens de contourner le problme, les erreurs connues et la cause premire pour des incidents similaires se produisant
ultrieurement. Inspecter physiquement la base de connaissances et examiner un chantillon d'entres pour s'assurer que les moyens de
contourner le problme sont indiqus, ainsi que la cause premire si elle est connue.
Examiner un chantillon des registres d'incidents pour vrifier s'ils ont t surveills et remplis conformment aux CS.
Slectionner un chantillon d'enregistrements et s'assurer auprs de l'auteur de la requte qu'ils ont t consults avant clture.
Dterminer s'il existe des dfinitions appropries pour la classification des incidents (ex : par impact et urgence).
Dterminer si des procdures sont dfinies pour l'escalade fonctionnelle et hirarchique.
Vrifier et confirmer que la gestion des incidents est clairement relie aux plans d'urgence et de continuit.
Assurer l'intgrit des configurations matrielles et logicielles exige de constituer et de tenir jour un rfrentiel de configuration prcis et complet. Ce processus doit prvoir la collecte des
informations de la configuration initiale, l'tablissement de configurations de base, la vrification et l'audit des informations de configuration, et la mise jour du rfrentiel de configuration
lorsque c'est ncessaire. Une gestion efficace de la configuration facilite une plus grande disponibilit du systme, la rduction des problmes de production et une rsolution plus rapide de
ceux-ci.
DS9.1 Rfrentiel de configuration et configuration de base Planification efficace du matriel informatique et Changements non conformes l'architecture
Constituer un rfrentiel centralis et mettre en place un outil pour des logiciels pour grer les services mtiers technologique globale
recenser toutes les informations qui concernent les lments de Configuration dploye de faon homogne dans Actifs non protgs correctement
configuration. Surveiller et enregistrer tous les actifs et les toute l'entreprise Non-dtection des modifications non autorises
changements qui y sont apports. Pour chaque systme et chaque
Planification optimise pour que les changements du matriel et des logiciels, pouvant gnrer des
service, tenir jour une base des composants de sa configuration
pour pouvoir s'y rfrer aprs une modification. soient conformes l'architecture globale failles de scurit
conomies d'chelle grce au regroupement des Informations documentes ne refltant pas
fournisseurs l'architecture actuelle
Rsolution rapide des incidents Rtablissement impossible
Vrifier et confirmer que la direction gnrale dfinit le champ d'application et les mesures des fonctions de gestion de la configuration et qu'elle value les performances.
Vrifier et confirmer qu'un outil a t mis en place pour permettre la journalisation efficace des informations de gestion de la configuration dans un rfrentiel.
Dterminer si l'accs cet outil est limit au personnel comptent.
Examiner un chantillon des lments de configuration pour s'assurer qu'un identifiant unique leur est attribu.
Vrifier et confirmer que les principes de base de la configuration des composants sont dfinis et documents.
Examiner si ces principes de base permettent d'identifier la configuration systme certains moments prcis.
Vrifier et confirmer l'existence d'une procdure documente permettant de rtablir la configuration de base.
Tester un chantillon des systmes et applications en s'assurant que leur configuration de base peut tre rtablie.
Vrifier et confirmer l'existence de mcanismes permettant de surveiller les modifications par rapport au rfrentiel et aux principes de base dfinis.
S'assurer que le management reoit des rapports rguliers et que ces rapports se traduisent par des plans d'amlioration continue.
ANNEXE IV
201
DS9 Grer la configuration (suite)
202
DS9.2 Identification et maintenance des lments de Gestion efficace des changements et des incidents Incapacit identifier les lments critiques
configuration Conformit aux exigences comptables pour les mtiers
Mettre en place des procdures spcifiques pour faciliter la gestion et Gestion des changements non matrise,
l'enregistrement de tous les changements apports au rfrentiel de entranant la perturbation des activits
configuration. Intgrer ces procdures aux procdures de gestion des
Incapacit valuer l'impact d'un changement
changements, de gestion des incidents et de gestion des problmes.
cause d'informations imprcises
Incapacit comptabiliser les actifs avec
prcision
Vrifier et confirmer qu'une stratgie a t mise en place pour s'assurer que tous les lments de configuration et leurs attributs sont identifis et tenus jour.
Vrifier et confirmer l'existence d'une politique d'tiquetage des biens matriels.
S'assurer que les biens sont physiquement tiquets, conformment cette politique.
Vrifier et confirmer l'existence d'une politique d'accs en fonction des rles.
S'assurer que le personnel autoris et comptent a dfini l'accs au rfrentiel de configuration conformment la politique tablie.
Vrifier et confirmer qu'une stratgie a t mise en place pour s'assurer que les procdures de gestion des problmes et des changements sont intgres dans la maintenance du rfrentiel
de configuration.
Vrifier et confirmer qu'une procdure a t mise en place pour enregistrer les lments de configuration nouveaux, modifis et supprims, et identifier et grer les relations entre les
lments de configuration du rfrentiel de configuration.
Examiner la documentation approprie, l'excution en temps opportun et l'intgrit des donnes du processus.
Vrifier et confirmer qu'une procdure permet de s'assurer qu'une analyse est effectue pour identifier les lments de configuration critiques.
S'assurer que cette procdure prend en charge la gestion des changements et l'analyse des futures demandes de traitement et acquisitions technologiques.
Vrifier et confirmer que les procdures d'achat prvoient l'enregistrement des nouveaux actifs dans l'outil de gestion de la configuration.
S'assurer que les donnes de gestion des configurations correspondent aux registres d'achats.
2008 AFAI. Tous droits rservs. www.afai.fr
DS9 Grer la configuration (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
DS9.3 Revue d'intgrit des configurations Identification des anomalies par rapport la Incapacit identifier les lments critiques
Passer en revue de manire priodique les donnes de la configuration de base pour les mtiers
configuration afin de vrifier et confirmer l'intgrit de la Optimisation de l'identification et de la rsolution Gestion des changements non matrise,
configuration en cours par rapport son historique. Vrifier des problmes entranant la perturbation des activits
rgulirement les logiciels installs par rapport aux politiques
Identification des logiciels non autoriss Actifs mal utiliss
d'utilisation des logiciels afin d'identifier les logiciels personnels ou
sans licence, ou tout nombre de licences excessif par rapport aux Augmentation des cots associs la rsolution
contrats de licence en cours. Rdiger un rapport et agir pour corriger des problmes
les erreurs ou les anomalies.
Vrifier et confirmer qu'une procdure a t mise en place pour vrifier rgulirement l'intgrit de toutes les donnes de configuration.
tudier les rapports qui comparent les donnes enregistres et l'environnement physique.
S'assurer que les anomalies sont signales et corriges.
S'assurer que l'harmonisation du matriel et des logiciels est rgulirement effectue par rapport la base de donnes de configuration.
Si des outils automatiss sont utiliss, effectuer une harmonisation manuelle par rapport l'enregistrement automatis.
S'assurer que des revues priodiques sont effectues par rapport aux politiques d'utilisation des logiciels afin d'identifier les logiciels personnels ou sans licence, ou tout nombre de
licences excessif par rapport aux contrats de licence en cours.
ANNEXE IV
203
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
Evaluer le rsultat des objectifs de contrle :
Demander au management si des changements de configuration inoprants ou des failles de scurit se sont produits et dterminer si ces
problmes se sont traduits par une perte d'actifs d'entreprise, la divulgation d'information ou une priode d'indisponibilit.
Dterminer si l'accs l'outil de journalisation est limit au personnel concern.
Examiner un chantillon des lments de configuration pour s'assurer qu'un identifiant unique leur est attribu.
Vrifier si les principes de base permettent d'identifier la configuration systme certains moments prcis.
Vrifier et confirmer l'existence d'une procdure documente permettant de rtablir la configuration de base.
Examiner les rsultats des outils conus pour dtecter les changements de configuration et dterminer si ces changements sont conformes
aux spcifications de conception et la stratgie de scurit de l'entreprise.
Examiner les outils utiliss pour la base de donnes de gestion des configurations (BDGC) et s'assurer que la quantit et la qualit des
informations fournies par la BDGC sont appropries pour tous les processus informatiques.
Dterminer si les informations de configuration sont contenues dans des systmes informatiques redondants.
Slectionner un chantillon de postes de travail et examiner la configuration et les logiciels installs par rapport aux standards de la
configuration de base, pour s'assurer qu'aucune modification non autorise n'a t effectue.
Dterminer si l'utilisation de logiciels sans licence est empche et s'il existe des procdures pour dtecter les logiciels interdits.
S'assurer que le management reoit des rapports rguliers et que ces rapports se traduisent par des plans d'amlioration continue.
Tester un chantillon des systmes et applications en s'assurant que leur configuration de base peut tre rtablie.
Se procurer des outils d'valuation de la vulnrabilit pour les technologies dployes et les excuter pour dterminer si des vulnrabilits
connues ont t corriges.
Dterminer ce qui doit tre document (ex : lments de configuration, registres d'incidents, registres des changements, planification des
changements, informations de disponibilit, niveaux de services) pour l'examen des informations de configuration et pour documenter les
relations entre les lments de configuration.
Une gestion efficace des problmes exige de les identifier, de les classer, d'analyser leurs causes initiales et de leur trouver des solutions. Le processus de gestion des problmes implique
aussi de formuler des recommandations d'amlioration, de tenir jour les enregistrements des problmes et de vrifier o en sont les actions correctives. Un processus efficace de gestion des
problmes favorise la disponibilit des systmes, amliore les niveaux de services, rduit les cots, rpond mieux aux besoins des clients et augmente donc leur satisfaction.
DS10.1 Identification et classification des problmes Outils permettant d'optimiser les performances du Perturbation des services informatiques
Mettre en place des processus pour signaler et classer les problmes service d'assistance Probabilit accrue d'une rptition des
qui ont t identifis comme relevant de la gestion des incidents. Les Gestion proactive des problmes problmes
tapes de la classification des problmes sont similaires celles de la Optimisation de la formation de l'utilisateur final Problmes et incidents non rsolus en temps
classification des incidents ; elles consistent dterminer la
Traitement efficace et efficient des problmes et opportun
catgorie, l'impact, l'urgence et la priorit. Rpartir les problmes
selon les groupes ou domaines auxquels ils appartiennent (ex : incidents Absence de pistes d'audit des problmes,
matriel, logiciel, logiciel d'assistance). Ces groupes peuvent Problmes et incidents rsolus en temps opportun incidents et de leurs solutions pour une gestion
correspondre aux responsabilits organisationnelles de l'utilisateur ou Amlioration de la qualit des services proactive des problmes et incidents
du client, et doivent servir dterminer l'quipe d'assistance informatiques Rcurrence des incidents
laquelle ils seront affects.
Vrifier et confirmer que des processus appropris, soutenus par des outils adapts, sont mis en place pour identifier et classer les problmes.
tudier les critres tablis pour classer et hirarchiser les problmes, en s'assurant qu'ils se traduisent par des classifications conformes aux engagements de services et aux units
organisationnelles charges de rsoudre ou d'endiguer le problme.
S'assurer qu'une procdure a t mise en place pour garantir la prcision de la classification et identifier les raisons d'une ventuelle mauvaise classification afin d'y remdier.
Se procurer un chantillon reprsentatif de la base de donnes des problmes pour s'assurer que les problmes sont classs et hirarchiss de faon approprie.
ANNEXE IV
205
DS10 Grer les problmes (suite)
206
DS10.2 Suivi et rsolution des problmes Perturbation ou rduction limite de la qualit des Rcurrence des problmes et incidents
S'assurer que le systme de gestion des problmes fournit les outils services informatiques Perte d'informations
de pistes d'audit adquats qui permettent de suivre, d'analyser et de Traitement efficace et efficient des problmes et Incidents critiques non rsolus de faon
dterminer les causes initiales de tous les problmes signals en incidents approprie
prenant en compte :
Dlai rduit entre la dtection et la rsolution des Perturbation de l'activit
tous les lments de configuration associs
les problmes et les incidents non rsolus problmes Qualit de service insuffisante
les erreurs connues et souponnes Rsolution approprie des problmes par rapport
le reprage des tendances en matire de problmes. aux niveaux de services adopts
Trouver et initier des solutions viables qui s'appliquent aux causes Amlioration de la qualit des services
initiales, en suscitant des demandes de modification par informatiques
l'intermdiaire du processus de gestion des changements. Au cours
du processus de rsolution, les responsables de la gestion des
problmes doivent obtenir des rapports rguliers de l'quipe de
gestion des modifications sur la progression de la rsolution des
problmes et des erreurs. Ces responsables doivent surveiller en
continu les consquences des erreurs et des problmes connus sur les
services utilisateurs. Dans le cas o ces consquences deviendraient
graves, l'quipe de gestion des problmes doit faire remonter le
problme, peut-tre un niveau de direction appropri, pour
augmenter la priorit de la demande de modification, ou pour mettre
en uvre une modification d'urgence selon le cas. Suivre la
progression de la rsolution du problme conformment aux contrats
de services.
S'assurer que des processus et des outils ont t mis en place pour enregistrer, classer, hirarchiser et suivre les problmes jusqu' leur rsolution.
S'assurer que les outils incluent les mcanismes de reporting utiliss pour produire des rapports de gestion sur les problmes.
Slectionner un chantillon de rapports sur les problmes et vrifier l'adquation des lments suivants :
- la documentation sur les problmes pour l'analyse des causes premires
- l'identification du responsable du problme et du responsable de sa rsolution
2008 AFAI. Tous droits rservs. www.afai.fr
DS10.3 Clture des problmes Requtes rsolues dans les dlais convenus Requtes en attente
Mettre en place une procdure pour clturer les enregistrements de Amlioration de la satisfaction clientle et Perturbation accrue des services
problmes, soit aprs confirmation de l'limination russie de l'erreur utilisateur Incidents critiques non rsolus de faon
connue, soit aprs un accord avec les mtiers sur la faon de trouver Traitement efficace et efficient des problmes et approprie
une solution alternative.
incidents Mcontentement vis--vis des services
Capacit appliquer les enseignements tirs lors informatiques
de la rsolution future de problmes de mme
nature
Vrifier et confirmer que les problmes sont uniquement clturs aprs confirmation de leur rsolution par les parties prenantes.
Slectionner un chantillon reprsentatif de problmes et vrifier, en interrogeant les parties prenantes, que celles-ci ont t informes de la clture des problmes, de faon complte et
en temps opportun.
DS10.4 Intgration de la gestion de la configuration, des Amlioration de la satisfaction des clients Perte d'informations
incidents et des problmes Traitement efficace et efficient des problmes et Incidents critiques non rsolus de faon
Pour assurer une gestion efficace des problmes et faciliter les incidents approprie
amliorations, intgrer les processus de gestion de la configuration, Gnration de rapports documents sur les Perturbation de l'activit
de gestion des incidents et de gestion des problmes.
problmes et incidents Augmentation du nombre de problmes
Gestion efficace des services Baisse de la satisfaction vis--vis des services
informatiques
Passer en revue les processus de gestion de la configuration, de gestion des incidents et de gestion des problmes, et s'assurer qu'ils sont correctement intgrs.
tudier les enregistrements pour s'assurer que les responsables des diffrents secteurs se runissent rgulirement et rsolvent les problmes frquents.
ANNEXE IV
207
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
Evaluer le rsultat des objectifs de contrle :
Comparer la liste des incidents avec les rapports d'incidents et les journaux d'erreurs pour s'assurer que le processus de traitement des
incidents fonctionne correctement.
Vrifier l'existence d'une documentation relative l'identification et au traitement des problmes.
Examiner un chantillon de rapports pour s'assurer qu'ils sont utiliss en temps opportun et qu'ils contiennent les informations ncessaires.
S'assurer que les erreurs connues, les outils d'analyse des incidents et les causes premires sont communiqus aux processus de gestion des
incidents.
S'assurer que l'tat du processus de traitement des problmes est surveill tout au long de sa dure de vie, y compris l'apport de la gestion
des changements et de la configuration.
Passer en revue les calendriers et les comptes-rendus des runions entre les propritaires des processus mtiers, concernant la gestion des
configurations, des incidents et des problmes.
Examiner et analyser les enregistrements et les rapports concernant le cot total des problmes.
Une gestion efficace des donnes impose d'identifier les exigences qui les concernent. Le processus de gestion des donnes ncessite aussi de mettre en place des procdures efficaces pour
grer la mdiathque, les sauvegardes et la restauration des donnes, et l'limination des supports de faon approprie. Une gestion efficace des donnes aide garantir la qualit et la
disponibilit des donnes mtiers au moment opportun.
DS11.1 Exigences des mtiers pour la gestion des donnes Gestion des donnes favorisant les exigences Gestion des donnes ne favorisant pas les
Vrifier qu'on reoit toutes les donnes attendues d'un traitement et mtiers exigences mtiers
qu'elles sont traites compltement, avec justesse, en temps opportun Recommandations pour le traitement des donnes Failles de scurit
et que tous les rsultats sont fournis conformment aux exigences des Transactions de donnes autorises Exigences mtiers, lgales et rglementaires non
mtiers. Prendre en compte les besoins de redmarrage et de
Stockage scuris des sources respectes
retraitement.
DS11.2 Dispositifs de stockage et de conservation Gestion des donnes favorisant les exigences Donnes non protges contre les modifications
Dfinir et mettre en place des procdures efficaces et efficientes de mtiers ou l'affichage non autoriss
stockage, de conservation et d'archivage des donnes en rponse aux Recommandations pour le traitement des donnes Documents non rcuprs lorsque cela est
objectifs des mtiers ainsi qu'aux exigences de la politique de Stockage scuris des sources ncessaire
scurit de l'entreprise et aux exigences rglementaires.
Rcupration efficace des donnes Non-respect des obligations lgales et
rglementaires
Accs non autoris aux donnes
tudier le modle de donnes et s'assurer que les techniques de stockage sont conformes aux exigences mtiers.
Examiner les priodes de conservation des donnes et s'assurer qu'elles sont conformes aux exigences contractuelles, lgales et rglementaires.
ANNEXE IV
209
DS11 Grer les donnes (suite)
210
DS11.3 Systme de gestion de la mdiathque Comptabilisation de tous les supports Intgrit des supports compromise
Dfinir et mettre en place des procdures pour tenir jour un Gestion amliore des sauvegardes Supports de sauvegarde indisponibles au
inventaire des supports stocks et archivs de faon s'assurer qu'ils Protection de la disponibilit des donnes moment opportun
sont utilisables et garantir leur intgrit. Rduction du dlai de restauration des donnes Accs non autoris aux cassettes de sauvegarde
Destruction de sauvegardes
Incapacit dterminer l'emplacement des
supports de sauvegarde
Se procurer l'inventaire des supports et, partir d'un chantillon, s'assurer que les supports peuvent tre identifis dans la liste d'inventaire et que l'origine des lments stocks peut tre
retrouve dans l'inventaire.
partir d'un chantillon, s'assurer que les tiquettes externes correspondent aux tiquettes internes. Sinon, s'assurer que les tiquettes externes sont apposes sur le support appropri.
DS11.4 Mise au rebut Protection approprie des donnes de l'entreprise Divulgation des donnes de l'entreprise
Dfinir et mettre en uvre des procdures permettant de s'assurer que Gestion optimise des sauvegardes Intgrit compromise des donnes
les exigences des mtiers en termes de protection de donnes Protection de la disponibilit des donnes confidentielles
sensibles et de logiciels sont satisfaites lors de la mise au rebut ou de Accs non autoris aux cassettes de sauvegarde
la cession de donnes et de matriel.
Vrifier et confirmer :
que la responsabilit de l'laboration et de la communication des politiques de mise au rebut est clairement dfinie
que les quipements et supports contenant des informations confidentielles sont nettoys avant d'tre rutiliss ou mis au rebut, de faon ce que les donnes signales comme
"supprimes" ou " liminer" ne soient pas rcuprables (ex : les supports contenant des donnes hautement confidentielles ont t physiquement dtruits)
2008 AFAI. Tous droits rservs. www.afai.fr
que les quipements et supports limins contenant des informations confidentielles sont consigns dans un journal afin de conserver une piste d'audit
qu'il existe une procdure permettant de supprimer les supports actifs de la liste d'inventaire des supports lors de la mise au rebut. S'assurer que l'inventaire en cours a t mis jour pour
reflter les mises au rebut rcentes dans le journal
que les quipements et supports non nettoys sont transports de faon scurise tout au long du processus de mise au rebut
que l'entreprise de traitement des dchets dispose de la scurit physique et des procdures ncessaires pour stocker et manipuler les supports et quipements avant et pendant la mise au
rebut.
DS11 Grer les donnes (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
DS11.5 Sauvegarde et restauration Restauration approprie des donnes de Divulgation des donnes de l'entreprise
Dfinir et mettre en place des procdures pour la sauvegarde et la l'entreprise Incapacit restaurer les donnes de sauvegarde
restauration des systmes, des applications, des donnes et de la Gestion optimise des sauvegardes, au moment opportun
documentation conformes aux exigences des mtiers et au plan de conformment aux exigences des mtiers et au Procdures de restauration ne rpondant pas aux
continuit.
plan de sauvegarde exigences mtiers
Protection de la disponibilit et de l'intgrit des Incapacit restaurer les donnes en cas de
donnes sinistre
Dlai prescrit inadapt pour la ralisation des
sauvegardes
Vrifier et confirmer :
que les donnes critiques ayant une incidence sur les oprations mtiers sont rgulirement identifies conformment au modle de gestion des risques et au plan de continuit des
services informatiques
que des politiques et procdures adquates pour la sauvegarde des systmes, applications, donnes et documentations existent et tiennent compte des facteurs suivants :
. la frquence des sauvegardes (ex : disques en miroir pour des sauvegardes en temps rel ou DVD-ROM pour une conservation longue dure)
. le type de sauvegarde (ex : complte ou incrmentale)
. le type de support
. les sauvegardes en ligne automatises
. les types de donnes (voix, optiques, etc.)
. la cration de fichiers journaux
. les donnes informatiques critiques pour l'utilisateur final (ex : feuilles de calcul)
. l'emplacement physique et logique des sources de donnes
. la scurit et les droits d'accs
. le chiffrement.
que des responsabilits ont t attribues pour la ralisation et la surveillance des sauvegardes
qu'il existe un chancier pour effectuer et journaliser les sauvegardes conformment aux politiques et procdures en vigueur
que les systmes, applications, donnes et documentations grs ou traits par des tiers sont correctement sauvegards ou qu'ils sont scuriss. Le renvoi des sauvegardes par les tiers
doit tre demand et un systme de squestre ou de dpt doit tre envisag
que des exigences ont t dfinies pour le stockage sur site et hors site des donnes de sauvegarde et qu'elles rpondent aux exigences mtiers, y compris concernant l'accs requis aux
donnes de sauvegarde
que des tests de restauration suffisants ont t effectus rgulirement pour s'assurer que tous les composants des sauvegardes peuvent tre efficacement restaurs
que le dlai requis pour la restauration a t adopt et communiqu avec le propritaire du processus mtier ou informatique. La priorit en matire de restauration des donnes est
base sur les exigences mtiers et sur les procdures de continuit des services informatiques.
ANNEXE IV
211
DS11 Grer les donnes (suite)
212
DS11.6 Exigences de scurit pour la gestion des donnes Scurisation et protection appropries des Utilisation abusive ou destruction de donnes
Dfinir et mettre en place des politiques et procdures pour identifier informations confidentielles confidentielles
et mettre en uvre les exigences de scurit applicables la Seuls les utilisateurs autoriss peuvent visualiser Accs non autoris aux donnes
rception, au traitement, au stockage physique et la sortie de ou modifier les informations Transmission de donnes incompltes et
donnes conformment aux objectifs des mtiers, aux exigences de la
Exhaustivit et exactitude des donnes transmises inexactes
politique de scurit de l'entreprise et aux exigences rglementaires.
Donnes modifies par des utilisateurs non
autoriss
Vrifier et confirmer :
qu'un processus permet d'identifier les donnes confidentielles et qu'il rpond aux besoins mtiers en termes de confidentialit des donnes, que la conformit aux lois et
rglementations a t prise en compte et que la classification des donnes a t convenue avec les propritaires des processus mtiers
qu'une politique a t labore et mise en place pour protger les donnes et messages confidentiels contre l'accs non autoris et la transmission et le transport inappropris, y
compris, entre autres, par le chiffrement, les codes d'authentification des messages, les sommes de contrle, les courriers recommands et l'emballage inviolable pour le transport
physique
que des exigences ont t tablies pour l'accs physique et logique aux donnes en sortie et que la confidentialit des rsultats est clairement dfinie et prise en compte
que des rgles et procdures ont t tablies pour l'accs de l'utilisateur final aux donnes et pour la gestion et la sauvegarde des donnes confidentielles
que des rgles et procdures ont t tablies pour les applications d'utilisateur final qui peuvent avoir des rpercussions ngatives sur les donnes stockes dans les ordinateurs des
utilisateurs finaux ou sur les donnes ou applications mises en rseau (ex : envisager des politiques sur les droits des utilisateurs vis--vis des ordinateurs personnels mis en rseau)
que des programmes de sensibilisation ont t mis en place pour susciter et maintenir la vigilance en matire de scurit lors de la manipulation et du traitement des donnes
confidentielles
que les systmes de traitement des informations confidentielles sont placs dans des locaux physiquement scuriss, protgs par des primtres de scurit dfinis ainsi qu'une
surveillance adapte, des barrires de scurit et des contrles d'entre
que la conception de l'infrastructure physique empche les pertes causes par un incendie, des perturbations, une attaque externe ou un accs non autoris
quil existe des points de livraison scuriss en sortie pour les sorties sensibles ou le transfert de donnes des tiers.
2008 AFAI. Tous droits rservs. www.afai.fr
ANNEXE IV
Evaluer le rsultat des objectifs de contrle :
tudier la documentation relative aux exigences mtiers pour s'assurer que le mcanisme de documentation est utilis comme prvu.
Examiner les outils de gestion des donnes pour s'assurer qu'ils sont utiliss conformment leur description.
Vrifier si l'accs aux supports et aux systmes est limit au personnel autoris.
Vrifier si les supports susceptibles de se dtriorer, tels que les bandes, sont rgulirement remplacs.
Slectionner un chantillon de la liste d'limination des supports et s'assurer que les supports mis au rebut ne figurent pas dans la liste
d'inventaire des supports.
Examiner les systmes de stockage sur site et hors site et vrifier leur accessibilit.
Examiner un chantillon de rsultats de tests pour s'assurer que les restaurations sont russies et que le dlai requis pour la restauration
concide avec les CS et les exigences de continuit.
S'assurer que les donnes de sauvegarde sont stockes hors site, comme l'exigent les processus de continuit.
S'assurer que les procdures pour garantir l'intgrit des informations archives sont en place et respectes.
DS12.1 Slection du site et agencement Rduction des menaces envers la scurit Non-identification des menaces envers la
Dfinir et slectionner les sites physiques des quipements physique scurit physique
informatiques en conformit avec la stratgie informatique elle- Rduction du risque d'attaque physique sur le site Vulnrabilit accrue vis--vis des risques de
mme lie la stratgie des mtiers. La slection et la conception de informatique en attnuant la possibilit que le site scurit, rsultant de l'emplacement et/ou de
l'agencement d'un site doivent prendre en compte les risques lis aux
soit identifi par des personnes non autorises l'agencement du site
sinistres d'origine naturelle ou humaine, ainsi que les lois et
rglements concernant par exemple la mdecine du travail et les susceptibles de provoquer une telle attaque
rglementations sur la scurit. Rduction des frais d'assurance grce la
dmonstration d'une gestion optimale de la
scurit physique
Vrifier et confirmer :
que les sites physiques o se trouve l'quipement informatique ont t choisis en fonction d'une stratgie technologique conforme aux exigences mtiers et d'une politique de scurit,
en tenant compte notamment de la situation gographique, du voisinage, de l'infrastructure et des risques (ex : vol, temprature, incendie, fume, eau, vibrations, terrorisme,
vandalisme, produits chimiques, explosifs)
qu'une procdure a t dfinie et mise en place pour identifier les risques et menaces potentiels vis--vis des sites informatiques de l'entreprise et pour valuer rgulirement l'impact
mtiers, en tenant compte des risques lis aux sinistres d'origine naturelle ou humaine
que le choix et l'agencement du site tiennent compte des lois et rglementations applicables (normes de construction, rglementations en matire d'environnement, d'incendie, de gnie
lectrique, de sant, hygine et scurit, etc.).
2008 AFAI. Tous droits rservs. www.afai.fr
DS12 Grer l'environnement physique (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
DS12.2 Mesures de scurit physique Protection des systmes informatiques critiques Non-identification des menaces envers la
Dfinir et mettre en place des mesures de scurit physique contre les menaces physiques scurit physique
conformes aux exigences des mtiers pour scuriser le site et les Dploiement efficace de mesures de scurit Matriel vol par des personnes non autorises
actifs physiques. Les mesures de scurit physique doivent permettre physique pntrer sur le site
de prvenir, dtecter et rduire de manire efficace les risques lis au
Sensibilisation du personnel et du management Attaque physique du site informatique
vol, la temprature, l'incendie, la fume, l'eau, aux vibrations,
au terrorisme, au vandalisme, aux pannes d'lectricit, aux produits sur les exigences de l'entreprise en matire de Systmes reconfigurs sans autorisation
chimiques et aux explosifs. scurit physique Les priphriques configurs pour lire les
rayonnements mis par les ordinateurs peuvent
accder aux informations confidentielles
Vrifier et confirmer :
qu'une politique a t dfinie et mise en place pour contraindre les sites informatiques de respecter les mesures de scurit physique et de contrle d'accs. Cette politique est
rgulirement tudie pour s'assurer qu'elle demeure pertinente et jour
que l'accs aux informations sur les sites informatiques sensibles et leurs plans de conception est limit
que les signes extrieurs et autres formes d'identification des sites informatiques sensibles sont discrets et n'identifient pas le site de faon vidente depuis l'extrieur
que les annuaires de l'entreprise et plans de site n'identifient pas l'emplacement du site informatique
que l'laboration des mesures de scurit physique tient compte des risques lis aux mtiers et aux oprations. Le cas chant, les mesures de scurit physique incluent des systmes
d'alarme, la consolidation des btiments, une protection par cbles blinds, un partitionnement scuris, etc.
que les mesures de prvention, de dtection et de correction de la scurit physique sont rgulirement testes pour vrifier leur conception, leur application et leur efficacit
que la conception du site tient compte du cblage physique des tlcommunications et des conduites d'eau, branchements lectriques et conduites d'gout
qu'un processus dment autorise a t dfini et mis en place pour le retrait scuris de l'quipement informatique
que les zones de rception et d'expdition des quipements informatiques sont protges de la mme manire et dans la mme proportion que les activits et sites informatiques
standard
qu'une politique et un processus ont t dfinis pour transporter et stocker l'quipement en toute scurit
qu'un processus existe pour s'assurer que les priphriques de stockage contenant des informations confidentielles sont physiquement dtruits ou nettoys
qu'un processus existe pour enregistrer, surveiller, grer, signaler et rsoudre les incidents de scurit matrielle, conformment la procdure gnrale de gestion des incidents
informatiques
que les sites particulirement sensibles sont frquemment contrls (y compris le week-end et pendant les congs) par le personnel de scurit.
ANNEXE IV
215
DS12 Grer l'environnement physique (suite)
216
DS12.3 Accs physique Accs appropri pour garantir la rsolution d'un Visiteurs non autoriss parvenant accder
Dfinir et mettre en place les procdures d'autorisation, de limitation incident critique en temps opportun des donnes ou des quipements informatiques
et de suppression d'accs aux sites, btiments et zones selon les Possibilit d'identifier et de suivre tous les Pntration non autorise dans des zones
besoins des mtiers, sans oublier les cas d'urgence. Les accs aux visiteurs scurises
sites, btiments et zones doivent tre justifis, autoriss, enregistrs
Personnel conscient de ses responsabilits vis--
et faire l'objet d'une surveillance. Cela doit s'appliquer toutes les
personnes qui entrent sur le site, y compris le personnel permanent vis des visiteurs
ou temporaire, les clients, les fournisseurs, les visiteurs et tout autre
tiers.
Vrifier et confirmer :
- qu'un processus a t mis en place pour grer les demandes et l'octroi d'accs aux infrastructures informatiques
- que les demandes d'accs officielles sont traites et acceptes par le management du site informatique, que les enregistrements sont conservs et que les formulaires identifient
spcifiquement les zones pour lesquelles l'individu bnficie d'un accs. Ces lments sont vrifis par l'observation ou l'examen des autorisations
- que des procdures ont t mises en place pour garantir la tenue jour des profils d'accs. S'assurer que l'accs aux sites informatiques (salles des serveurs, btiments ou zones) dpend
des responsabilits ou de la fonction professionnelle
- qu'un processus permet de journaliser et de surveiller tous les points d'accs aux sites informatiques, et d'enregistrer tous les visiteurs, y compris les sous-traitants et les fournisseurs
- qu'un rglement impose au personnel de porter en permanence un signe d'identification visible et vite l'mission de cartes d'identification ou de badges sans autorisation approprie.
Observer si les badges sont rellement ports
- qu'un rglement impose aux visiteurs d'tre accompagns en permanence par un membre du service des oprations informatiques lorsqu'ils sont sur site et que les individus qui ne
portent pas de signe d'identification appropri sont signals au personnel de scurit
- que l'accs aux sites informatiques sensibles est limit par le biais d'une protection primtrique (ex : cltures/murs et dispositifs de scurit sur les portes intrieures et extrieures)
S'assurer que ces dispositifs enregistrent les entres et mettent une alarme en cas d'accs non autoris. Ces dispositifs peuvent inclure, par exemple, des badges ou cartes d'accs, des
claviers numriques, un systme de vidosurveillance et des lecteurs biomtriques
- que des formations sur la scurit physique sont rgulirement dispenses. Vrifier cet lment en analysant les programmes de formation.
2008 AFAI. Tous droits rservs. www.afai.fr
DS12 Grer l'environnement physique (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
DS12.4 Protection contre les risques lis l'environnement Identification de toutes les menaces Infrastructures exposes aux impacts
laborer et mettre en place des mesures de protection contre les environnementales potentielles pesant sur les environnementaux
facteurs environnementaux. Installer des quipements et des infrastructures informatiques Dtection inapproprie des menaces
dispositifs spcialiss pour surveiller et contrler l'environnement. Prvention ou dtection en temps opportun des environnementales
menaces environnementales Mesures inappropries pour la protection contre
Rduction de la probabilit que les demandes les menaces environnementales
d'indemnisation effectues auprs des compagnies
d'assurance soient rejetes pour non-conformit
aux exigences des polices d'assurance et rduction
des primes d'assurance
Protection approprie contre les risques
environnementaux
Vrifier et confirmer :
- qu'un processus permet d'identifier les sinistres d'origine naturelle ou humaine qui pourraient se produire dans la zone o sont situes les infrastructures informatiques sensibles.
tudier les rapports pour s'assurer que l'impact potentiel est valu conformment aux procdures de planification de la continuit des activits
- qu'une politique dcrit comment l'quipement informatique, y compris l'quipement mobile et hors site, est protg contre le vol et les menaces environnementales. tudier la
documentation pour s'assurer que cette politique, par exemple, interdit de se restaurer, de boire et de fumer dans les zones sensibles et qu'elle interdit le stockage d'articles de papeterie
et autres fournitures qui prsentent un risque d'incendie dans les salles informatiques
- que les installations informatiques sont places et fabriques de faon minimiser et limiter le risque de menaces environnementales
- que des dispositifs adapts ont t mis en place pour dtecter les menaces environnementales. Examiner les actions de surveillance continue vis--vis de ces dispositifs
- que des alarmes ou autres avertissements sont dclenchs en cas de vulnrabilit environnementale, que les procdures permettant de ragir cette situation sont documentes et
testes, et que le personnel bnficie d'une formation adapte
- qu'un processus permet de comparer les mesures et les plans d'urgence avec les exigences des polices d'assurance. tudier les rapports et la police d'assurance pour vrifier la
conformit
- que le management prend des mesures pour s'assurer que tous les points de non-conformit sont traits en temps opportun
- que les sites informatiques sont situs dans des btiments qui minimisent l'impact du risque environnemental (vol, air, feu, fume, eau, vibrations, terrorisme, vandalisme, etc.).
Inspecter physiquement les locaux accueillant les sites informatiques pour s'assurer que l'agencement est appropri. tudier le rapport d'valuation des risques rdig avant la
conception et la construction du site
- qu'une politique a t mise en place pour garantir un nettoyage rgulier proximit des activits informatiques. Contrler les sites informatiques et les salles de serveurs pour s'assurer
qu'ils sont toujours propres, en ordre et scuriss (ex : pas de dsordre ni de dchets, papiers ou cartons, de poubelles pleines, ni de produits chimiques ou matires inflammables).
Demander si les sites restent propres en permanence.
ANNEXE IV
217
DS12 Grer l'environnement physique (suite)
218
DS12.5 Gestion des installations matrielles Protection des systmes informatiques critiques Non-respect des rglementations en matire
Grer les installations, y compris les quipements lectriques et de contre les effets des pannes d'lectricit et d'autres d'hygine et de scurit
communication, conformment aux lois et rglements, aux exigences risques lis aux installations Dysfonctionnements des systmes informatiques
techniques et mtiers, aux spcifications des fournisseurs, et aux Utilisation efficace et efficiente des installations en raison d'une protection inadquate contre les
rgles concernant la sant et la scurit.
pannes d'lectricit ou autres risques lis aux
installations
Accidents du travail
Vrifier et confirmer :
- qu'il existe une procdure tudiant la ncessit de protger les installations informatiques contre les conditions extrieures et les pannes de courant et incidents lectriques,
conjointement avec les autres procdures de planification de la continuit des activits
- que l'entreprise se procure des onduleurs et qu'ils rpondent aux exigences de disponibilit et de continuit des activits
- qu'une procdure a t mise en place pour tester rgulirement le fonctionnement des onduleurs et pour s'assurer que le courant peut tre bascul sur l'alimentation lectrique sans effet
significatif sur les oprations mtiers
- que des tests ont t effectus et que des mesures correctives sont prises si ncessaire
- que, dans les installations accueillant des systmes informatiques sensibles, plusieurs entres d'alimentation lectrique sont disponibles
- que l'entre physique du courant est spare
- que les cbles extrieurs au site informatique sont enterrs ou disposent d'une protection adapte
- qu'il existe des schmas et des plans ;- que les cbles situs dans le site informatique sont contenus dans des conduites scurises ;- que les cbles sont renforcs et protgs contre les
risques environnementaux
- que les armoires lectriques sont fermes cl et que leur accs est limit certaines personnes
- que le cblage et la connexion physique (donnes et tlphone) sont correctement structurs et organiss
- que la documentation sur le cblage et les conduites est disponible pour information
- que, pour les installations accueillant des systmes haute disponibilit, une analyse est effectue vis--vis de la redondance et de l'obligation d'installer des cbles de secours (externes
et internes)
- qu'un processus a t mis en place pour s'assurer que les infrastructures et les sites informatiques restent toujours en conformit avec les lois, rglementations et recommandations en
matire de sant et scurit ou avec les spcifications du fournisseur
- qu'un processus a t mis en place pour informer le personnel sur les lois, rglementations et recommandations en matire de sant et scurit. Il convient galement d'informer le
2008 AFAI. Tous droits rservs. www.afai.fr
personnel sur les exercices d'vacuation en cas d'incendie et les exercices de secours, pour que tous les employs sachent quoi faire en cas d'incendie ou d'incident similaire
- que le programme de formation value les connaissances sur les directives et qu'il est document
- qu'un processus a t mis en place pour enregistrer, surveiller, grer et rsoudre les incidents d'installation conformment la procdure de gestion des incidents informatiques
- que les rapports sur les incidents sont mis disposition lorsque leur divulgation est rendue obligatoire par les lois et rglementations
- qu'un processus a t mi en place pour s'assurer que la maintenance du matriel et des sites informatiques est effectue selon les spcifications et la priodicit recommandes par le
fournisseur
- que la maintenance est uniquement effectue par le personnel autoris. tudier la documentation et interroger le personnel pour s'en assurer
- que les modifications physiques des locaux ou sites informatiques sont analyses afin de rvaluer les risques environnementaux (ex : incendie, dgts des eaux)
- que les rsultats de cette analyse sont communiqus aux responsables des installations et de la continuit des activits.
Inspecter les installations et comparer les observations avec les recommandations en matire de sant et scurit.
Interroger le personnel sur d'ventuels manquements aux normes.
Inspecter les sites rcemment modifis pour s'assurer qu'ils respectent toujours les normes en matire de risque.
ANNEXE IV
Evaluer le rsultat des objectifs de contrle :
tudier le rapport d'analyse des risques pour s'assurer qu'il a t mis jour au cours de l'anne coule.
tudier les politiques pour s'assurer qu'elles tiennent compte des lois et rglementations nouvelles ou actualises.
Inspecter les locaux et ses environs pour s'assurer qu'ils sont scuriss conformment aux procdures.
tudier les journaux de scurit pour vrifier si les contrles de scurit minimum ont t effectus.
Inspecter les journaux pour s'assurer qu'ils incluent, au minimum, le nom et l'entreprise du visiteur, l'objet de la visite, le nom de l'employ
du service informatique qui a autoris cette visite, la date de la visite et les heures d'entre et de sortie.
Slectionner un chantillon d'employs portant un badge et vrifier les autorisations.
S'assurer que les armoires lectriques sont fermes cl et que leur accs est limit certaines personnes.
S'assurer que la documentation sur le cblage et les conduites est disponible pour information.
Inspecter les installations et comparer les observations avec les recommandations en matire de sant et scurit.
Interroger le personnel pour valuer leurs connaissances vis--vis des directives.
DS13.1 Procdures et instructions d'exploitation Preuve que l'exploitation informatique respecte Erreurs et tches refaire en raison d'une
Dfinir, mettre en place et tenir jour des procdures standard pour les contrats de services mauvaise comprhension des procdures
l'exploitation informatique, en s'assurant que le personnel connat Continuit du soutien oprationnel favoris par la Inefficacit due des procdures mal dfinies
bien toutes les tches d'exploitation qui dpendent de lui. Les documentation de l'exprience du personnel et sa et/ou pas standardises
procdures d'exploitation doivent tenir compte des changements
conservation dans une base de connaissances Incapacit prendre rapidement en charge les
d'quipes (passation des consignes formalise, tats d'avancement,
problmes d'exploitation, procdures d'escalade et rapports sur les Instructions du personnel d'assistance et problmes d'exploitation, les nouveaux
responsabilits en cours) pour rpondre aux contrats de services procdures d'exploitation informatique employs et les changements oprationnels
convenus et garantir la continuit de l'exploitation. structures, standardises et clairement
documentes
Rduction du dlai de transfert des connaissances
entre le personnel de soutien oprationnel qualifi
et les nouvelles recrues
DS13.2 Planification des travaux Utilisation optimise des ressources systme Pics d'utilisation des ressources
Organiser la planification des travaux, processus et tches selon la grce l'quilibrage des charges et la Problmes de planification des travaux
squence la plus efficace, en optimisant le dbit et l'utilisation des minimisation de l'impact sur les utilisateurs en ponctuels
ressources pour rpondre aux exigences des mtiers.
2008 AFAI. Tous droits rservs. www.afai.fr
Vrifier et confirmer :
- que les procdures d'excution des travaux excuts en traitement par lot sont compltes
- que les procdures incluent le calendrier quotidien des travaux prvus, les personnes contacter en cas d'chec des travaux et une liste actualise des codes d'chec des travaux
- que les tches et responsabilits de traitement par lots sont dfinies pour chaque technicien dexploitation
- que les horaires de poste sont dfinis pour chaque technicien dexploitation
- que les plannings prcisent les heures de dbut et de fin de poste, ainsi que le nom des techniciens
- qu'au moins un technicien est prsent lors de l'excution des travaux par lots.
DS13 Grer l'exploitation (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
DS13.3 Surveillance de l'infrastructure informatique Dtection proactive des problmes d'infrastructure Problmes d'infrastructure non dtects et
Dfinir et mettre en place des procdures pour surveiller risquant de provoquer un incident survenance d'incidents
l'infrastructure informatique et les vnements qui s'y rapportent. Capacit surveiller les tendances et traiter les Problmes d'infrastructure gnrant un impact
S'assurer qu'un historique suffisant des oprations est stock dans les problmes d'infrastructure potentiels avant qu'ils mtiers et oprationnel plus important que s'ils
journaux d'exploitation pour permettre la reconstruction, la revue et
ne se produisent avaient t vits ou dtects plus tt
l'analyse des squences chronologiques des traitements et des autres
activits lies ces traitements ou leur apportant un soutien. Capacit optimiser le dploiement et l'utilisation Ressources d'infrastructure mal utilises et
des ressources dployes
Vrifier et confirmer :
- qu'un processus planifi de journalisation des vnements identifie le niveau d'information enregistrer en tenant compte des risques et des performances
- que les actifs d'infrastructure qui doivent tre surveills sont identifis en fonction de la criticit des services et des relations entre les lments de configuration et les services qui en
dpendent
- qu'il existe une documentation sur la planification du processus de journalisation. Examiner physiquement les documents
- que la liste des actifs identifie correctement les actifs. Demander au personnel quels sont les actifs les plus importants et les reprer dans la liste.
DS13.4 Documents sensibles et dispositifs de sortie Protection supplmentaire pour les formulaires Utilisation abusive des actifs informatiques
Mettre en place des dispositifs de scurit physique appropris, des spciaux et les donnes de sortie sensibles, gnrant des pertes financires et
pratiques de comptabilit et une gestion d'inventaires pour les actifs commercialement sensibles via la gestion autres impacts mtiers
informatiques sensibles, comme les formulaires spciaux, les effets d'inventaires Incapacit tenir compte de tous les actifs
de commerce, les imprimantes spcialises et les jetons de scurit.
Protection contre le vol, la fraude, la falsification, informatiques sensibles
la destruction ou autres manipulations abusives
des actifs informatiques sensibles
Vrification des autorisations d'accs avant
d'accorder un accs physique aux formulaires
spciaux et dispositifs de sortie, et conservation
des lments d'information concernant l'intgrit
des dispositifs de sortie spciaux
ANNEXE IV
Vrifier et confirmer :
- que des procdures permettent d'organiser la rception, la suppression et l'limination des formulaires spciaux et dispositifs de sortie l'intrieur et l'extrieur de l'entreprise
- que l'accs aux actifs sensibles est contrl au moins tous les semestres
- qu'une procdure permet d'obtenir, de modifier et de supprimer l'accs aux actifs sensibles
- qu'il existe une documentation sur les procdures de suppression et d'limination.
221
DS13 Grer l'exploitation (suite)
222
DS13.5 Maintenance prventive du matriel Optimisation des performances et de la Problmes d'infrastructure qui auraient pu tre
Dfinir et mettre en place des procdures pour garantir la disponibilit des systmes vits ou empchs
maintenance de l'infrastructure en temps opportun afin de rduire la Gestion prventive des problmes et incidents Garanties non respectes en raison de la non-
frquence et les consquences de dfaillances ou de dgradation des Protection des garanties conformit aux exigences de maintenance
performances.
Vrifier et confirmer :
- qu'un plan de maintenance prventive pour tous les matriels critiques a t mis en place et qu'il tient compte de l'analyse cots/bnfices, des recommandations des fournisseurs, du
risque de panne, du personnel qualifi et d'autres facteurs pertinents
- que les journaux d'activit sont analyss pour identifier les besoins de maintenance prventive et que l'impact prvu (ex : restrictions de performance, contrats de services) des activits
de maintenance est communiqu aux clients et utilisateurs concerns.
2008 AFAI. Tous droits rservs. www.afai.fr
ANNEXE IV
Evaluer le rsultat des objectifs de contrle :
Vrifier et confirmer que des procdures standard d'exploitation informatique ont t mises en place et qu'elles soutiennent les niveaux de
services adopts. Ces procdures doivent inclure un systme d'escalade des problmes permettant de suivre et de surveiller les priodes
d'indisponibilit.
Vrifier et confirmer que les rles et les responsabilits ont t dfinis, y compris ceux des prestataires de services externes. Examiner la
documentation existante en la matire.
Vrifier et confirmer que les employs du service d'assistance connaissent et comprennent les procdures d'exploitation et les tches
associes dont ils sont chargs. Inspecter la zone de travail des employs d'assistance pour s'assurer que les procdures d'exploitation sont
correctement appliques.
Analyser les fichiers journaux pour vrifier et confirmer que les procdures sont rgulirement tenues jour et qu'elles sont correctement
appliques.
Vrifier et confirmer que le transfert des communications et les responsabilits qui en dcoulent sont dfinis.
Vrifier et confirmer que des procdures de traitement des anomalies existent et qu'elles sont intgres dans la gestion des incidents.
Confirmer les descriptions des rles et des postes pour la sparation des tches. Par exemple, les techniciens dexploitation ne doivent pas
pouvoir accder aux programmes et les programmeurs ne doivent pas avoir accs aux donnes de production ni crire directement sur les
supports (traitement sans contrle de l'tiquette).
Vrifier l'existence d'une documentation relative aux procdures. Observer et interroger le personnel pour vrifier le respect des procdures.
Examiner les droits d'accs pour vrifier si la sparation des tches est approprie.
Examiner la documentation et interroger le personnel d'exploitation pour vrifier le respect des procdures.
Observer le personnel d'exploitation pour vrifier l'utilisation des procdures et documenter les performances.
Vrifier et confirmer que la planification des travaux en traitement par lots est contrle grce un logiciel de planification des tches.
S'assurer que des contrles de scurit appropris sont mis en place pour viter l'excution de travaux non autoriss.
Vrifier et confirmer que les travaux excuts en traitement par lots sont programms. valuer le processus de planification pour s'assurer
que la planification des travaux excuts en traitement par lots tient compte des lments suivants :
les exigences mtiers
la priorit des travaux
les conflits entre les travaux
l'quilibrage des charges de travail (gestion des performances et des capacits).
Vrifier et confirmer que les rsultats des travaux excuts en traitement par lots sont surveills et valids.
Vrifier et confirmer que des procdures automatises sont mises en place pour avertir immdiatement en cas d'chec de travaux excuts
en traitement par lots. Vrifier l'existence du matriel informatique et des logiciels associs aux procdures automatises.
S'assurer que le contrle de travaux excuts en traitement par lots ne se limite pas aux informations techniques (ex : temps requis pour
achever le travail) et que les exigences des processus mtiers pour les donnes sont contrles (ex : donnes traites compltes et exactes).
Vrifier l'existence de la documentation approprie et s'assurer que les procdures officielles tiennent compte de la planification des travaux
excuts en traitement par lots.
Examiner la documentation relative aux changements pour vrifier si elle est prcise.
Vrifier l'existence d'chanciers.
Examiner la documentation et les lments indiquant que les incidents de travaux en traitement par lots ont t voqus et rsolus en temps
opportun.
Vrifier et confirmer que des rgles portent sur les seuils et les circonstances lies des vnements et qu'elles sont appliques au sein du
systme pour s'assurer que les vnements rels sont dclenchs le cas chant.
Vrifier et confirmer que des journaux d'vnements sont crs et conservs pendant un laps de temps appropri pour faciliter les enqutes
futures et la surveillance des contrles d'accs.
Vrifier et confirmer que des procdures sont mises en place pour surveiller les journaux d'vnements, que les rsultats de cette
surveillance sont rgulirement analyss et, le cas chant, que les incidents sont signals au service d'assistance.
Vrifier et confirmer que des incidents sont crs pour toutes les anomalies constates.
Examiner les journaux d'vnements pour s'assurer qu'ils ne sont pas surchargs d'vnements mineurs et que tous les vnements
importants sont enregistrs.
Inspecter les journaux d'vnements pour vrifier s'ils sont appropris.
Se procurer un chantillon de requtes des entres de journaux d'vnements qui peuvent gnrer un ticket d'assistance. Suivre l'entre du
journal d'vnements jusqu'aux journaux des tickets d'assistance.
Vrifier et confirmer que l'accs aux documents confidentiels et aux dispositifs de sortie est octroy de faon approprie.
Vrifier et confirmer que les dispositifs et documents confidentiels sont rgulirement harmoniss. Effectuer l'harmonisation d'un
chantillon de dispositifs et de documents confidentiels, en comparant les chiffres rels et les chiffres enregistrs.
Vrifier et confirmer la mise en place de dispositifs de scurit physique appropris.
Examiner et tester les dispositifs de scurit physique des actifs sensibles.
Dterminer si l'quipement critique appropri est disponible.
Vrifier et confirmer que tous les journaux d'activit sont rgulirement analyss, afin d'identifier les composants matriels critiques qui
ncessitent une maintenance prventive.
Vrifier et confirmer que les moyens de communication sont efficaces pour informer immdiatement les utilisateurs de l'impact des pannes
(ex : courrier lectronique, "arbre tlphonique").
S'assurer auprs des mtiers et de l'informatique que la planification a t effectue conformment aux exigences mtiers. tudier le
planning de production et s'assurer que tout le matriel concern est pris en compte et que la planification tient compte des exigences de
services.
SE1.1 Approche de la surveillance Vision transparente de la performance des SI, Rapports de performance bass sur des donnes
Constituer un rfrentiel et une approche gnrale de la surveillance fonde sur des informations fiables obsoltes, imprcises ou peu fiables
qui dfinissent l'tendue, la mthodologie et le processus suivre Identification des possibilits d'amlioration Mesures de performance non alignes sur les
pour mesurer la dlivrance de solutions et de services informatiques Facilitation de la satisfaction des exigences des exigences des mtiers et de gouvernance
et surveiller la contribution des SI aux mtiers. Intgrer ce rfrentiel
mtiers et de gouvernance Absence d'identification opportune des
dans le systme de gestion des performances de l'entreprise.
Services informatiques rentables problmes lis l'alignement entre
Dcisions d'investissement informatique mieux l'informatique et les mtiers
documentes, amliorant l'apport de valeur Identification inadquate des attentes des clients
Utilisation cohrente et intgrit des indicateurs et des besoins mtiers
de performance Donnes surveilles ne favorisant pas l'analyse
des performances globales des processus
Se procurer et analyser la dfinition, par le management, des processus mtiers critiques, des initiatives stratgiques et des processus informatiques cls, pour s'assurer qu'ils contribuent
au systme de gestion des performances de l'entreprise.
Comprendre la mthode utilise par le management pour communiquer ses processus mtiers critiques, ses initiatives stratgiques et ses processus informatiques cls.
S'assurer de l'existence d'une approche de la surveillance base sur les mtriques pour les inducteurs de performance informatique (ex : examiner les politiques d'entreprise et la
documentation approprie).
Dterminer si l'approche de la surveillance fournit un objectif et des indicateurs de performance appropris en s'efforant d'introduire des ratios qui font apparatre les problmes mtiers
importants.
Dterminer si les systmes appropris sont utiliss pour surveiller les performances des SI.
Interroger les membres du management pour dterminer s'ils sont attentifs aux relations et aux dpendances entre les processus informatiques lors de la surveillance des activits de ces
processus (ex : carts par rapport aux attentes, interfaces non dfinies, lments ngligs, duplication des efforts, inefficacits).
Comprendre l'approche du management concernant l'analyse de la pertinence des interdpendances des processus informatiques cls pour l'aligner sur les buts et objectifs mtiers.
ANNEXE V
225
SE1 Surveiller et valuer (suite)
226
SE1.2 Dfinition et collationnement des donnes de surveillance Identification et valuation des mtriques les plus Mtriques bases sur des objectifs qui ne sont
En associant les mtiers, dfinir un ensemble quilibr d'objectifs de significatives et dcisives pas conformes aux objectifs mtiers
performance et les faire approuver par les mtiers et par les autres Place importante accorde au client dans la Mtriques bases sur des donnes incorrectes ou
parties prenantes concernes. Mettre en place des analyses culture du service informatique pour tous les incompltes
comparatives pour dfinir les objectifs et recenser les donnes
processus informatiques Inefficacit du reporting sur les indicateurs de
ncessaires collecter pour mesurer ces objectifs. Mettre en place
des processus pour collecter des donnes exactes au bon moment et Amlioration de la satisfaction et de l'orientation performance des processus informatiques
rendre compte de la progression vers les objectifs viss. client l'chelle de l'entreprise
Capacit des systmes fournir efficacement les Attentes des clients et besoins mtiers non
donnes requises pour surveiller les processus identifis
Historique des performances de l'entreprise pour Donnes surveilles ne favorisant pas l'analyse
surveiller l'volution et les variations de des performances globales des processus
performance
Vrifier et confirmer :
que des objectifs ont t dfinis pour les mtriques des SI, conformment au primtre et aux caractristiques des mtriques dfinies dans le rfrentiel de surveillance. Se procurer la
validation des objectifs par le management des mtiers et de linformatique.
que, si possible, les donnes de performance ncessaires l'approche de la surveillance sont collectes de faon satisfaisante et automatise. S'assurer que les performances mesures
sont compares aux objectifs selon la frquence convenue.
qu'il existe des procdures garantissant la cohrence, l'exhaustivit et l'intgrit des donnes source de surveillance des performances ;
qu'il existe un processus permettant de contrler toutes les modifications des sources de donnes de surveillance des performances ;
que les objectifs de performance ont t dfinis et se focaliser sur ceux qui prsentent le ratio perspicacit/effort le plus lev ;
que l'intgrit des donnes collectes est value en effectuant des vrifications de contrle et d'harmonisation selon une frquence tablie.
2008 AFAI. Tous droits rservs. www.afai.fr
SE1 Surveiller et valuer (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
SE1.3 Mthode de surveillance Approche et mthode de surveillance rpondant Inefficacit des rapports sur les indicateurs de
Mettre en place une mthode de surveillance (ex : tableau de bord aux attentes du management performance des processus informatiques
quilibr) qui prend en compte les objectifs, enregistre les mesures, Aide la dcision optimise pour les SI l'chelle de l'entreprise
offre une vision condense gnrale de la performance des SI et est Alignement sur le processus dcisionnel de Attentes et besoins mtiers non satisfaits
compatible avec le systme de surveillance de l'entreprise.
l'entreprise Mauvaises dcisions bases sur des informations
Transparence et fiabilit des informations sur les de performance peu fiables
performances
S'assurer que les rapports de performance des processus informatiques sont intgrs dans le systme de surveillance des SI.
S'assurer que les donnes contenues dans ces rapports sont concises et faciles comprendre, et qu'elles rpondent aux exigences du management et des utilisateurs finaux pour favoriser
une prise de dcision efficace et opportune.
Examiner les rapports de performance pour s'assurer qu'ils tiennent bien compte des objectifs informatiques et des mesures de performances et de rsultats, et qu'ils prcisent les liens de
cause effet.
SE1.4 valuation de la performance Optimisation de la rentabilit de la qualit de Faiblesse persistante et rpte des
Comparer priodiquement les performances aux objectifs, analyser service et capacit d'adaptation aux changements performances des processus
les causes des anomalies et initier des actions correctives pour traiter futurs Occasions d'amlioration manques
les causes sous-jacentes. De temps en temps, raliser des analyses Amlioration continue des processus Bonnes performances non reconnues, entranant
causales de ces carts.
Niveau plus lev de proprit et de responsabilit une dmotivation du personnel
des performances au sein de l'entreprise
Interroger les propritaires des processus pour s'assurer que des niveaux de performance cibles sont tablis pour les processus cls et valids par rapport au march et la concurrence.
Examiner les rapports de performance pour vrifier si les mesures sont effectues en temps opportun et si la comparaison par rapport aux objectifs est efficace.
Vrifier si des ractions informelles sont obtenues et utilises pour amliorer la prestation de services et/ou le reporting.
Analyser les rapports de performance pour s'assurer que les rsultats sont valus de faon cohrente par rapport aux objectifs, selon une frquence tablie, et que les donnes des
rapports sont transmises aux parties prenantes concernes.
Examiner les donnes de l'valuation des performances et dterminer si l'valuation et l'analyse sont compltes et efficaces.
tudier un chantillon appropri pour s'assurer que les causes sont identifies et traduites en actions correctives attribues une personne disposant de l'autorit et des ressources
adaptes et faisant l'objet d'un suivi appropri.
ANNEXE V
Vrifier et confirmer que les causes premires des anomalies sont rgulirement identifies et qu'elles sont corriges de faon approprie.
227
SE1 Surveiller et valuer (suite)
228
SE1.5 Comptes-rendus destins au conseil d'administration et Rapports de qualit rpondant aux exigences de Dcisions ne rpondant pas aux proccupations
la direction gnrale gouvernance du conseil d'administration et aux besoins mtiers
Produire la direction gnrale des rapports sur la contribution des Donnes de performance pouvant tre utilises de Direction gnrale non satisfaite des
SI aux mtiers, particulirement en ce qui concerne la performance faon efficace et efficiente pour les oprations performances des SI
du portefeuille de l'entreprise, les programmes d'investissements
quotidiennes, stratgiques et de management Liens insuffisants entre le management et
informatiques et la performance des solutions et services dlivrs par
chacun des programmes. Les rapports indiquent dans quelle mesure Processus dcisionnels optimiss en rponse aux l'informatique
les objectifs prvus ont t atteints, les ressources budgtises proccupations et aux besoins mtiers, et Incapacit du conseil d'administration et de la
utilises, les objectifs de performance prvus atteints et les risques concentration sur les possibilits d'amlioration direction gnrale diriger et contrler les
rduits. Anticiper sur la revue qui en sera faite par la direction des processus activits informatiques cls
gnrale en proposant des actions correctives pour remdier aux Satisfaction accrue du management et du conseil
anomalies les plus importantes. Fournir les rapports la direction d'administration vis--vis des rapports de
gnrale et lui demander un retour aprs revue. performance
Vrifier et confirmer qu'un processus de gnration de rapports destins au conseil d'administration et la direction gnrale a t mis en place.
S'assurer que ces rapports rendent compte de la contribution des SI aux mtiers en valuant la ralisation des objectifs informatiques, l'attnuation des risques informatiques et
l'utilisation des ressources, et qu'ils sont bass sur le rfrentiel de surveillance des performances (ex : tableaux de bord quilibrs, analyse des tendances, tableaux de bord de gestion).
S'assurer que les rapports destins au conseil d'administration et la direction gnrale sont bass sur les donnes consolides des mesures de performances informatiques.
S'assurer qu'une procdure a t mise en place pour grer les versions et les nouvelles versions des rapports.
2008 AFAI. Tous droits rservs. www.afai.fr
SE1 Surveiller et valuer (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
SE1.6 Actions correctives Engagement proactif du management en faveur Incidents dus des problmes non rsolus
Dfinir et entreprendre les actions correctives qui s'appuient sur la d'actions correctives Faibles performances laisses sans rponse,
surveillance, l'valuation et le compte-rendu de la performance. Cela Problmes de performance sous-jacents rsolus de entranant une dgradation encore plus marque
implique un suivi de toutes les actions de surveillance, de compte- faon efficace et en temps opportun Mesures de performance pas prises au srieux
rendu et d'valuation par :
Performances des processus prises au srieux et
l'examen, la discussion et l'laboration de propositions d'actions
correctives par le management encouragement d'une culture de l'amlioration
l'attribution de la responsabilit de l'action corrective continue
le suivi des rsultats de cette action.
Vrifier s'il existe des processus, politiques et procdures pour initier, hirarchiser et attribuer les responsabilits et le suivi pour toutes les actions correctives. S'en assurer en examinant
la documentation de l'approche et en observant le processus, dans la mesure du possible.
Pour un chantillon, vrifier si les tches associes l'action corrective rpondent avec prcision au problme de performance dtect et si des revues d'avancement sont effectues
priodiquement.
Analyser les rapports de performance prcdents et s'assurer que les tendances de performance infrieures aux normes sont rgulirement identifies et signales de faon cohrente
lencadrement suprieur, y compris les carts par rapport la mise en uvre des actions correctives prvues.
tudier les rapports et journaux d'activit pour s'assurer que les tches associes aux actions correctives ont t correctement excutes par rapport aux rsultats pralablement spcifis
et s'assurer que ces tches ont t valides comme s'attaquant la cause de faon approprie.
Vrifier et confirmer qu'une formation sur la mesure des performances est dispense.
ANNEXE V
229
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
Evaluer le rsultat des objectifs de contrle :
Interroger les parties prenantes et valuer leurs connaissances et leur sensibilisation vis--vis des processus informatiques cls et de la faon
dont ils sont valus et surveills pour s'assurer que le systme de surveillance appuie le systme de gestion des performances de
l'entreprise.
Examiner les plans, politiques et procdures de surveillance des performances des processus informatiques cls pour s'assurer qu'ils
soutiennent les processus mtiers cls.
Dterminer si le systme de surveillance des SI appuie la stratgie mtiers actuelle et favorise une surveillance efficace.
Confirmer auprs de sources indpendantes (parties prenantes et source lie aux systmes) que le management mesure les indicateurs de
performance appropris.
Examiner les plans, politiques et procdures de surveillance des performances des processus informatiques cls pour s'assurer qu'ils sont
intgrs dans le systme de gestion des performances de l'entreprise.
Examiner la documentation et la communication des relations et interdpendances entre les processus informatiques cls, notamment les
organigrammes, les diagrammes de prsentation des systmes et les diagrammes de flux de donnes.
Analyser les mesures de performance documentes avec le management pour s'assurer qu'elles tiennent compte des lments suivants :
- la contribution des mtiers avec, entre autres, ses donnes financires
- les performances mises en regard des plans mtiers et informatique stratgiques
- les risques et la conformit aux rglements et la lgislation en vigueur
- la satisfaction des utilisateurs internes et externes vis--vis des niveaux de services
- les processus informatiques cls, dont la fourniture de services et solutions
- les activits orientes vers l'avenir, par exemple la prvision des incidences relatives aux technologies mergentes, l'infrastructure
rutilisable et l'ensemble des comptences du personnel mtiers et du personnel informatique
tudier les mesures de performance documentes pour s'assurer quelles :
- correspondent aux buts et objectifs mtiers et informatiques ;
- sont bases sur des bonnes pratiques acceptes ;
- sont axes sur les plus importantes d'entre elles ;
- sont utiles pour la comparaison interne et externe ;
- refltent les attentes des mtiers ;
- sont utiles pour les commanditaires et les clients des SI.
S'assurer que les exigences des performances des SI sont tablies en coopration avec la direction des mtiers et alignes sur les mesures de
performance cls du management.
tudier la validation approprie, par la direction gnrale et la direction des mtiers, des mesures de performance des SI et des plans de
communication vers toutes les parties prenantes du processus.
tudier les comptes-rendus, listes d'actions, politiques, plans et procdures relatifs la mesure des performances pour vrifier l'existence
d'un contrle et d'une mise jour rguliers de la mthode de mesure des performances.
Dterminer si la collecte des donnes de performance est voque de faon approprie dans la documentation sur les exigences mtiers.
tudier le processus de collecte des donnes et s'assurer qu'il tient compte de l'automatisation.
valuer la cohrence, l'exhaustivit et l'intgrit des donnes source.
S'assurer que des objectifs ont t dfinis et dment valids par la direction gnrale, la direction informatique et la direction des mtiers.
Examiner les plans, politiques et procdures relatifs la formation organisationnelle pour garantir les comptences en matire de mesure,
de collecte des donnes et d'analyse, et pour s'assurer que le personnel adopte et dfend la culture de mesure des performances.
Dterminer si les donnes collectes sont rapproches des donnes source, selon une frquence convenue.
Examiner les rapports d'valuation (ex : tableaux de bord quilibrs, graphiques circulaires, tableaux d'indicateurs cls de performance) de
l'entreprise et les systmes d'valuation des SI, et dterminer si la mthode est intgre dans le systme de surveillance de l'entreprise.
Interroger les principaux employs concerns pour dterminer si la mthode ou le systme de surveillance et de reporting est adapt aux
objectifs d'valuation des performances.
Vrifier et confirmer que la qualit et l'exhaustivit des rsultats sont contrles (ex : comparer les rsultats rels avec les conclusions
attendues et confirmer les rsultats auprs du management).
tudier le systme d'valuation des performances pour dterminer si les objectifs et les donnes d'valuation sont corrects et complets.
Vrifier et confirmer que le management tudie rgulirement l'intgrit des mesures de qualit des donnes.
Examiner les rapports de performance pour vrifier si les mesures sont effectues en temps opportun et si la comparaison par rapport aux
objectifs est efficace.
Examiner les rapports de performance pour s'assurer que les rsultats de performance sont valus de faon cohrente et complte par
rapport aux objectifs, selon une frquence tablie, et que les donnes des rapports sont transmises aux parties prenantes concernes.
S'assurer que les causes sont identifies et traduites en actions correctives attribues une personne disposant de l'autorit et des ressources
adaptes et faisant l'objet d'un suivi appropri.
Vrifier et confirmer que les causes premires des anomalies sont rgulirement identifies et qu'elles sont corriges de faon approprie.
Par l'intermdiaire de sources indpendantes, s'assurer que l'analyse de la cause premire est effectue et qu'elle entrane une raction.
S'assurer que la documentation existe et vrifier si les personnes responsables des causes sous-jacentes sont conscientes des problmes.
S'assurer que les rapports de la direction gnrale font apparatre les principales questions (positives et ngatives) gnralement lies la
contribution des SI aux mtiers et, plus prcisment, aux performances et aux capacits de prestation de services et de fourniture de
solutions informatiques.
Vrifier et confirmer que les mesures de performance des SI sont clairement associes aux rsultats mtiers et s'assurer que les SI
soutiennent la stratgie mtiers.
S'assurer que les mesures de performance des SI sont traduites en impacts sur les performances mtiers et intgres dans des rapports
standard rguliers transmis au conseil d'administration.
SE2.1 Surveillance du rfrentiel de contrle interne SI remplissant leurs objectifs pour les mtiers Augmentation des rpercussions ngatives sur le
Surveiller, comparer l'aide d'analyses et amliorer de faon Impact rduit de l'chec ou de la dfaillance des fonctionnement ou la rputation de l'entreprise
continue l'environnement de contrle de l'informatique et le contrles sur les processus mtiers Faiblesses de contrle contrariant l'excution
rfrentiel de contrle pour atteindre les objectifs de l'entreprise. Amlioration continue des contrles de processus efficace des processus mtiers
par rapport aux pratiques sectorielles Non-dtection du dysfonctionnement d'lments
Dtection et rsolution proactives des anomalies du contrle interne
de contrle
Conformit aux lois et rglementations
Dterminer si la direction fournit une assistance concernant les normes de gouvernance d'entreprise pour le contrle interne et la gestion des risques (ex : comptes-rendus, politiques
d'entreprise, entretien avec le PDG). S'assurer que les politiques et procdures incluent la gouvernance pour les normes internes et la gestion des risques (ex : adoption de COSO
Internal Control Integrated Framework, COSO ERM, COBIT).
Dterminer s'il existe une dmarche d'amlioration continue de la surveillance du contrle interne (ex : tableaux de bord quilibrs, autovaluation).
SE2.2 Revue gnrale Confirmation que les processus informatiques Dfaillances des contrles gnant l'excution des
Surveiller et valuer l'efficacit et l'efficience des revues de contrle favorisant la ralisation des objectifs mtiers sont processus mtiers
interne effectues par le management de l'informatique. soumis des contrles efficients et efficaces Donnes de dfaillance des contrles imprcises
Contribution des rsultats analyss au processus ou incompltes, se traduisant par des dcisions
dcisionnel global errones du management
S'assurer que les contrles internes qui ncessitent une surveillance et une revue gnrales sont identifis et qu'ils tiennent compte de la criticit et des risques des activits des processus
informatiques connexes (ex : existence d'un classement des contrles/processus cls en fonction des risques).
S'assurer qu'une procdure d'escalade a t dfinie pour les problmes identifis par les revues gnrales.
Comprendre le principe d'automatisation du reporting et de la surveillance des contrles.
SE2 Surveiller et valuer le contrle interne (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
SE2.3 Anomalies de contrle Capacit mettre en place des mesures Dfaillances de contrle non identifies en
Identifier les anomalies de contrle, les analyser et en identifier les prventives pour les anomalies rcurrentes temps opportun
causes sous-jacentes. Faire remonter les anomalies et en produire un Capacit appliquer les mesures correctives en Management non inform des dfaillances de
rapport pertinent aux parties prenantes. Mettre en place les actions temps opportun contrle
correctives ncessaires.
Optimisation des rapports fournis toutes les Prolongement du dlai requis pour rsoudre les
parties concernes, pour respecter les niveaux de problmes identifis, entranant une baisse des
services dfinis performances des processus
Minimisation du risque de non-conformit
S'assurer que les politiques prvoient l'tablissement de seuils concernant les niveaux acceptables d'anomalies de contrle et d'chec des contrles.
S'assurer que les procdures d'escalade des anomalies de contrle ont t communiques et signales aux parties prenantes mtiers et informatiques (ex : via l'intranet, procdures sur
papier). Les procdures d'escalade doivent inclure des critres ou des seuils pour les remontes d'informations (ex : les anomalies de contrle dont l'impact est infrieur une valeur
spcifique ne doivent pas tre signales, les anomalies de contrle dont l'impact est suprieur une valeur spcifique doivent tre immdiatement signales la DSI, les anomalies de
contrle dont l'impact est suprieur une valeur spcifique doivent tre immdiatement signales au conseil d'administration). Interroger le management pour valuer les connaissances
et la sensibilisation vis--vis des procdures d'escalade, de l'analyse des causes premires et du reporting.
S'assurer que des personnes se sont vues attribuer la responsabilit de l'analyse des causes premires, du reporting, mais aussi de la rsolution des anomalies.
ANNEXE V
233
SE2 Surveiller et valuer le contrle interne (suite)
234
SE2.4 Autovaluation du contrle Capacit mettre en place des mesures Dfaillances de contrle non identifies en
Vrifier que les contrles du management sur les processus prventives pour les anomalies rcurrentes temps opportun
informatiques, les politiques et les contrats sont complets et efficaces Capacit appliquer les mesures correctives en Management non inform des dfaillances de
et raliss au moyen d'un programme permanent d'autovaluation. temps opportun contrle
Optimisation des rapports fournis toutes les Prolongement du dlai requis pour rsoudre les
parties concernes, pour respecter les niveaux de problmes identifis, entranant une baisse des
services dfinis performances des processus
Dfaillances de contrle identifies avant la
survenance des rpercussions ngatives
Dmarche proactive d'amlioration de la qualit
de service
Minimisation du risque de non-conformit
tudier les procdures d'autovaluation des contrles pour s'assurer qu'elles contiennent des informations pertinentes, telles que le champ d'application, la mthode d'autovaluation, les
critres d'valuation, la frquence d'autovaluation, les rles et responsabilits et la communication des rsultats aux parties prenantes des directions mtiers et informatique (ex : normes
de rfrence en audit interne ou pratiques acceptes en matire de conception des autovaluations).
Interroger le management pour dterminer si des revues indpendantes de l'autovaluation des contrles sont effectues, par rapport aux normes du secteur et aux meilleures pratiques,
pour en garantir l'objectivit et pour permettre le partage des bonnes pratiques de contrle interne (ex : comparaisons avec les niveaux de modle de maturit travers des entreprises
similaires et le secteur concern).
2008 AFAI. Tous droits rservs. www.afai.fr
SE2 Surveiller et valuer le contrle interne (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
SE2.5 Assurance de contrle interne Identification des possibilits d'amlioration du Contrle inefficace des processus et exigences
Obtenir, en fonction des besoins, l'assurance supplmentaire de contrle des processus, entranant une mtiers non satisfaites
l'exhaustivit et de l'efficacit des contrles internes par des revues amlioration des services pour les mtiers Non-obtention de recommandations objectives,
effectues par des tiers. Mise en place et maintenance d'un cadre de se traduisant par l'absence d'optimisation des
rfrence efficace du contrle interne dispositifs de contrle informatique
Comptences et connaissances en matire de Dficiences de contrle non identifies
contrle communiques au sein de l'entreprise Non-conformit vis--vis des obligations
pour accrotre la sensibilisation vis--vis des lgales, rglementaires et contractuelles
pratiques et principes de contrle interne
S'assurer que des homologations, des certifications et des revues de contrle indpendantes sont effectues priodiquement, en fonction des risques et objectifs mtiers, et des
comptences externes requises (ex : effectuer une valuation annuelle des risques et dfinir les secteurs risque tudier).
S'assurer que les rsultats de la revue ont t communiqus au niveau de management appropri (ex : au comit d'audit) et que des mesures correctives ont t prises.
ANNEXE V
235
SE2 Surveiller et valuer le contrle interne (suite)
236
SE2.6 Contrle interne des tiers Identification des possibilits d'amlioration de Garanties insuffisantes vis--vis des
valuer la situation des contrles internes des fournisseurs de services pour les tiers performances de contrle et du rfrentiel de
services externes. Confirmer que les fournisseurs de services externes Confirmation de l'existence d'un cadre de contrle contrle des fournisseurs de services
se conforment aux obligations lgales et rglementaires, ainsi qu' interne efficace vis--vis des fournisseurs de Dysfonctionnement des systmes stratgiques en
leurs obligations contractuelles.
services tiers cours d'opration
Validit garantie des performances et de la Services informatiques ne respectant pas les
conformit des fournisseurs de services vis--vis spcifications du service
des contrles internes Dysfonctionnements et dgradations du service
par le fournisseur non identifis en temps
opportun
Dgts en termes d'image causs par la
dgradation des performances de service du
fournisseur
S'assurer que les obligations de contrle interne sont prises en compte dans les politiques et procdures relatives aux contrats et accords avec les tiers et que les clauses appropries du
droit l'audit sont incluses.
Vrifier qu'une procdure a t mise en place pour s'assurer que des revues sont priodiquement effectues pour accder aux contrles internes de tous les tiers et que les problmes de
non-conformit sont communiqus.
S'assurer que des politiques et procdures sont mises en place pour confirmer la rception de toutes les dclarations de contrle interne obligatoires (lgales et rglementaires) envoyes
par les fournisseurs de services tiers concerns.
S'assurer que des politiques et procdures sont mises en place pour enquter sur les anomalies et obtenir la garantie que des actions correctives appropries ont t mises en uvre.
2008 AFAI. Tous droits rservs. www.afai.fr
SE2 Surveiller et valuer le contrle interne (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
SE2.7 Actions correctives Garantie que les dficiences de contrle Dficiences de contrle prcdemment
Dfinir, initier, mettre en place et suivre les actions correctives identifies sont corriges au besoin identifies continuant causer des problmes
rsultant des valuations et des rapports de contrle. Garantie du fonctionnement continu des Mauvais fonctionnement des applications
applications critiques pour les mtiers critiques pour les mtiers
Soutien du processus global de gestion des risques Dgts en termes d'image causs par l'incapacit
de l'entreprise corriger les dficiences de contrle des
Maintien des niveaux de services adopts fournisseurs de services
S'assurer que des procdures sont tablies pour initier, hirarchiser et attribuer la responsabilit de toutes les actions correctives, avec un suivi appropri de ces actions.
S'assurer de l'existence d'un mcanisme pour dtecter les mesures correctives inefficaces et s'assurer que les actions correctives sont identifies et contrles par le management (ex :
tapes cls d'un projet). S'assurer qu'en cas de mesures correctives continuellement inefficaces, la direction gnrale est avertie pour prendre des mesures supplmentaires (ex : rapport
d'avancement d'un projet, comptes-rendus du comit de pilotage des SI).
S'assurer que les procdures tablies exigent que les tches associes aux actions correctives aient t correctement excutes par rapport aux rsultats pralablement spcifis.
ANNEXE V
237
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
Evaluer le rsultat des objectifs de contrle :
tudier les politiques et procdures de surveillance du contrle interne pour s'assurer qu'elles sont conformes aux normes de gouvernance
de l'entreprise, aux rfrentiels en vigueur dans le secteur et aux meilleures pratiques du secteur.
Dterminer si des valuations indpendantes des contrles informatiques sont requises et si des rapports sur les systmes de contrle interne
des SI sont gnrs pour les revues de direction.
tudier les rapports d'valuation indpendants (ex : activits de production ou de dveloppement externalises) du systme de contrle
interne des SI pour dterminer si les dlimitations appropries sont prises en compte et valides par la direction gnrale.
tudier et confirmer l'tablissement de processus et procdures garantissant que les anomalies de contrle sont signales rapidement,
suivies et analyses.
S'assurer que des actions correctives sont choisies et mises en uvre pour faire face aux anomalies de contrle.
tudier les journaux d'activit ou la documentation approprie pour identifier les anomalies de contrle et s'assurer que ces dernires sont
signales rapidement, suivies et corriges.
Vrifier si des revues priodiques sont effectues pour s'assurer que le systme de contrle interne des SI tient compte des changements
mtiers rcents et des risques mtiers et informatiques connexes.
S'assurer que les disparits entre le cadre de rfrence et les processus mtiers ont t identifis et valus, ainsi que les recommandations
appropries. Par exemple, s'assurer que les systmes mtiers pour l'exploitation ne sont pas grs par les SI, ce qui impliquerait que les
politiques et procdures de contrle tablies utilises par les SI ne soient pas appliques.
S'assurer que les performances du cadre de rfrence de contrle des SI sont rgulirement tudies, values et compares aux normes et
aux meilleures pratiques du secteur.
tudier le dernier rapport d'tat d'avancement de la rsolution des anomalies de contrle pour s'assurer que la surveillance des anomalies de
contrle est efficace et effectue en temps opportun.
tudier les plannings d'autovaluation des contrles et slectionner un chantillon de plans et rapports d'autovaluation des contrles pour
dterminer si les procdures en la matire sont suivies afin de garantir une surveillance permanente efficace.
tudier un chantillon des rapports d'autovaluation des contrles pour vrifier l'existence d'une revue indpendante, d'analyses
comparatives et d'actions correctives pour les anomalies de contrle dtectes (envisager de classer les anomalies de contrle par ordre
d'importance et hirarchiser les actions correctives en consquence).
S'assurer que les rsultats d'autovaluation des contrles et les anomalies sont communiqus et qu'une procdure permet d'effectuer le suivi
des anomalies de contrle et des actions correctives.
valuer la comptence des spcialistes externes ou membres du personnel qui effectuent les revues indpendantes (exprience pertinente en
audit des SI, connaissance du secteur et formation/certifications appropries).
S'assurer que les membres du personnel effectuant les revues sont indpendants (ex : contrler l'accord de confidentialit sign).
tudier les contrats existants pour les services tiers relatifs au contrle des SI et s'assurer que les modalits prvoient un primtre
clairement dfini, l'attribution des responsabilits et la confidentialit.
S'assurer que toutes les dficiences de contrle interne significatives identifies sont immdiatement signales au management.
Interroger les membres du management pour dterminer s'ils contrlent les rsultats de la revue de conformit des tiers pour s'assurer que
les tiers respectent les obligations lgales, rglementaires et contractuelles.
Slectionner un chantillon des contrats tiers et dterminer s'ils spcifient les obligations de contrle interne et s'ils tablissent des clauses
de droit l'audit, s'il y a lieu.
Effectuer des vrifications pour dterminer si les tches suivantes sont effectues : contrle des certifications/homologations, contrat d'audit
appropri (ex : contrat SAS 70 Type II) ou audit direct du fournisseur de services par la DSI.
Pour un chantillon de tiers, se procurer et tudier les rapports de test de conformit du contrle interne, pour s'assurer que les fournisseurs
de services tiers respectent les lois et rglementations applicables et leurs engagements contractuels.
Examiner les lments d'information pour s'assurer que les problmes de non-conformit sont communiqus et que des plans d'action
correctifs (prcisant les dlais) sont mis en place pour faire face ces problmes.
Examiner la mthode utilise pour hirarchiser les actions correctives relatives aux dficiences de contrle, afin de s'assurer de son bien-
fond.
Examiner la liste des problmes relatifs aux actions correctives et dterminer si ces problmes sont correctement hirarchiss (ex : critique,
lev, moyen et faible).
Examiner les outils de planification de projet et les comparer aux actions correctives pour s'assurer que les points identifis comme
prsentant un risque lev sont correctement hirarchiss.
Inspecter les validations et dterminer si elles se produisent en temps opportun.
Un processus de revue est ncessaire pour garantir efficacement la conformit aux lois, aux rglements et aux obligations contractuelles. Ce processus implique d'identifier les obligations de
conformit, d'valuer et d'optimiser la rponse donner, d'avoir l'assurance d'tre conforme aux obligations et, au final, d'intgrer les rapports sur la conformit des SI ceux du reste de
l'entreprise.
SE3.1 S'assurer de la conformit aux obligations externes Identification des bonnes pratiques relatives aux Non-respect des lois et rglementations
Un processus de revue est ncessaire pour garantir efficacement la lois et rglementations applicables, entranant une situation de non-
conformit aux lois, aux rglements et aux obligations contractuelles. Amlioration des connaissances du personnel vis- conformit
Ce processus implique d'identifier les obligations de conformit, -vis des obligations rglementaires Domaines potentiels de pertes financires et de
d'valuer et d'optimiser la rponse donner, d'avoir l'assurance d'tre
Amlioration des performances des processus et sanctions non identifis
conforme aux obligations et, au final, d'intgrer les rapports sur la
conformit des SI ceux du reste de l'entreprise. de la conformit aux lois et rglements Dclin de la satisfaction des clients et des
Amlioration des performances de l'entreprise partenaires commerciaux
Probabilit accrue de conflits avec les clients et
les organismes de contrle
Risque accru d'atteinte la continuit mtiers en
raison de sanctions imposes par les organismes
de contrle
Faibles performances financires et
oprationnelles de l'entreprise
Vrifier que des procdures sont en place pour s'assurer que les obligations lgales, rglementaires et contractuelles ayant une incidence sur les SI sont contrles. Ces procdures de
conformit rglementaire doivent :
- identifier et valuer l'impact des obligations lgales ou rglementaires applicables relatives l'organisation des SI
- mettre jour les procdures et politiques informatiques associes, concernes par les obligations lgales et rglementaires
- inclure des sujets tels que les lois et rglementations sur le commerce lectronique, les flux de donnes, les contrles internes, le reporting financier, les rglementations propres
chaque secteur, les droits de proprit intellectuelle, ainsi que la sant et la scurit
- inclure la frquence de revue des obligations lgales ou rglementaires (ex : annuellement ou en cas d'obligation lgale, rglementaire ou contractuelle nouvelle ou mise jour).
S'assurer qu'il existe un fichier journal de toutes les obligations lgales, rglementaires et contractuelles applicables, de leur impact et des actions requises, et qu'il est tenu jour.
ANNEXE V
239
SE3 S'assurer de la conformit aux obligations externes (suite)
240
SE3.2 Optimisation de la rponse aux obligations externes Soutien de la conformit de l'entreprise vis--vis Domaines de non-conformit non identifis
Rviser et optimiser les politiques, normes, procdures et des lois et rglementations applicables, grce Exigences de conformit obsoltes restant en
mthodologies informatiques pour s'assurer que les obligations l'utilisation de standards et mthodologies vigueur
lgales, rglementaires et contractuelles sont prises en compte et font Politiques rgulirement rvises et conformes Politiques incapables de rpondre aux besoins de
l'objet d'une communication.
aux objectifs de l'entreprise conformit de l'entreprise
Meilleure connaissance, par le personnel, des Personnel ignorant les procdures et pratiques de
exigences de conformit lgale et rglementaire mise en conformit avec les obligations lgales
Accroissement des performances des processus et rglementaires
concernant la conformit aux lois et
rglementations
S'assurer qu'il existe des procdures et pratiques garantissant la conformit aux obligations lgales, rglementaires et contractuelles.
S'assurer que les fonctions appropries sont incluses dans ces pratiques et procdures (ex : service juridique, production, comptabilit, RH).
SE3.3 valuation de la conformit aux obligations externes Intgration des bonnes pratiques relatives aux lois Sanctions et pertes financires
Valider la conformit des politiques, normes, procdures et et rglementations dans les procdures de Dclin de la satisfaction des clients et des
mthodologies informatiques aux obligations externes. l'entreprise partenaires commerciaux
Amlioration des performances des processus et Incidents de non-conformit non identifis,
de la conformit aux lois et rglements entranant des effets ngatifs sur la rputation et
Changements d'orientation identifis pour les performances de l'entreprise
favoriser l'application opportune d'actions Probabilit accrue de conflits
correctives
Examiner les politiques, standards et procdures du service informatique et s'assurer qu'ils sont mis jour rgulirement et en temps opportun pour rsoudre les ventuels problmes de
non-conformit (lgale et rglementaire) identifis.
SE3 S'assurer de la conformit aux obligations externes (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
SE3.4 Assurance positive de la conformit Confirmation de la conformit de l'entreprise vis- Incapacit signaler les incidents de non-
Obtenir l'assurance du respect de la conformit par toutes les -vis des lois et rglementations applicables, conformit, entranant des effets ngatifs sur la
politiques internes issues de directives internes ou d'obligations grce l'utilisation de standards et mthodologies rputation et les performances de l'entreprise
externes lgales, rglementaires et contractuelles et en rendre Identification des bonnes pratiques relatives aux Probabilit accrue de conflits
compte. S'assurer que toutes les actions correctives ont t
lois et rglementations, intgres efficacement Domaines de non-conformit non identifis et
entreprises en temps opportun par le propritaire du processus
responsable pour traiter tous les manquements la conformit. dans les procdures de l'entreprise non signals
Accroissement des performances des processus Actions correctives non mises en place en temps
concernant la conformit aux lois et opportun, entranant des effets ngatifs sur les
rglementations applicables performances gnrales de l'entreprise
Confirmation que les carts par rapports aux
exigences de conformit sont identifis et corrigs
en temps opportun
Examiner, auprs des propritaires de processus, les signes d'une confirmation rgulire de la conformit aux lois, rglementations et obligations contractuelles applicables (rapport final
et courrier des organismes de contrle confirmant l'excution de leur contrle).
S'assurer que des procdures ont t mises en place pour suivre et excuter les contrles internes et externes, pour s'assurer que la planification et l'affectation des ressources appropries
permettent ou favorisent les contrles (ex : inventaire des obligations rglementaires, planification des revues de conformit interne, planification des ressources requises pour favoriser
les contrles).
Demander si des procdures sont en place pour valuer rgulirement les niveaux de conformit vis--vis des obligations lgales et rglementaires par des entits indpendantes.
Examiner les politiques et procdures pour s'assurer que les contrats avec des fournisseurs de services tiers ncessitent la confirmation rgulire de la conformit (ex : rception de
dclarations) vis--vis des lois, rglementations et obligations contractuelles applicables.
S'assurer qu'une procdure a t mise en place pour surveiller et signaler les incidents de non-conformit et qu'elle inclut, si ncessaire, une enqute plus approfondie sur la cause
premire de ces incidents.
ANNEXE V
241
SE3 S'assurer de la conformit aux obligations externes (suite)
242
SE3.5 Intgration des rapports Facilitation de la communication des problmes Accroissement du risque de non-conformit de
Intgrer les rapports de l'informatique sur les obligations lgales, de conformit par l'entreprise l'entreprise
rglementaires et contractuelles aux rsultats similaires d'autres Facilitation de la dtection opportune des Autres fonctions mtiers ignorant les exigences
fonctions mtiers. dficiences de contrle lorsqu'elles portent de conformit et la situation relatives aux
atteinte d'autres fonctions mtiers processus informatiques
Soutien des mthodologies et standards de Incapacit intgrer les questions de conformit
l'entreprise pour tablir des dispositifs efficaces des SI dans le reporting global, entranant une
de mise en conformit prise de dcision stratgique errone par le
Rduction du risque de conformit global auquel management de l'entreprise
l'entreprise est confronte
Vrifier et confirmer :
- que les obligations sont coordonnes pour le reporting d'entreprise sur la conformit lgale et rglementaire, y compris l'obligation de conserver les donnes historiques ;
- que les rapports de conformit informatique sont conformes aux exigences de reporting de l'entreprise (distribution, frquence, champ d'application, contenu et prsentation) pour
garantir la cohrence et l'exhaustivit des rapports.
2008 AFAI. Tous droits rservs. www.afai.fr
ANNEXE V
Evaluer le rsultat des objectifs de contrle :
Effectuer le suivi des exigences de conformit spcifiques, depuis l'identification et la documentation jusqu'aux procdures, pour viter et
dtecter la non-conformit. Interroger et valuer les membres du personnel concerns pour s'assurer qu'ils connaissent les obligations
lgales, rglementaires et contractuelles qui ont t identifies.
Examiner les lments d'information disponibles ou un registre des lois, rglementations et standards et l'tat de conformit de l'entreprise
partir des donnes internes et des donnes d'un conseil indpendant. Concernant les problmes de non-conformit, identifier les actions
correctives mises en place par le management pour y remdier.
S'assurer que la faon d'aborder la conformit, les procdures et les pratiques en la matire font l'objet de contrles rguliers par des experts
internes et externes (ex : audits de scurit, SAS 70).
S'assurer que des conseils sont obtenus, selon les besoins, de la part d'entits tierces appropries.
Examiner la documentation relative aux processus informatiques pour vrifier l'existence d'un contrle rgulier de conformit lgale et
rglementaire et s'assurer que ces documents sont mis jour si besoin.
Vrifier si l'existence de phnomnes rcurrents de non-conformit est recherche et si leur cause est rgulirement value (ex : dterminer
si les modifications apportes aux politiques, standards, procdures, processus et activits sont appliques en consquence des valuations).
Examiner les rapports d'valuation de la conformit sur les obligations lgales et rglementaires produits par des entits indpendantes
internes ou externes pour s'assurer que des contrles rguliers ont lieu.
Examiner un chantillon de contrats tiers pour dterminer si des clauses prvoient de demander rgulirement la confirmation de la
conformit aux lois, rglementations et obligations contractuelles applicables.
Slectionner un chantillon de fournisseurs de services tiers et se procurer la preuve de leurs dclarations de conformit pour dterminer
s'ils respectent leur engagement contractuel consistant confirmer rgulirement leur conformit.
tudier les conclusions des rapports de conformit des tiers ainsi que celles des enqutes de non-conformit et leur rsolution pour
dterminer si les insuffisances d'efficacit fonctionnelle sont prises en main.
S'assurer que les standards relatifs aux rapports de conformit des SI respectent la prsentation adopte, y compris le champ d'application,
le contenu et le format requis pour garantir la cohrence et l'exhaustivit (ex : examiner les procdures d'accord).
tudier les rapports de conformit pour s'assurer que les rsultats de l'valuation de conformit des SI ont t intgrs et prsents
systmatiquement avec les rapports similaires des autres fonctions mtiers.
SE4.1 Mise en place d'un cadre de gouvernance des SI Dcisions informatiques conformes aux stratgies Inefficacit des responsabilits oprationnelles
Dfinir, mettre en place et aligner le cadre de gouvernance des SI sur et aux objectifs de l'entreprise et finales tablies pour les processus
celui de l'entreprise et sur son environnement de contrle. Baser le Une dmarche cohrente pour un cadre de informatiques
rfrentiel de gouvernance sur un processus et un modle de contrle gouvernance obtenu et align sur l'approche de Portefeuille des SI ne favorisant pas la
de l'informatique adquats. viter toute ambigut au niveau des
l'entreprise ralisation des stratgies et objectifs de
responsabilits et des pratiques qui dgraderait le contrle interne et
la surveillance. Veiller la conformit aux lois et rglements du Processus superviss de faon efficace et l'entreprise
cadre de gouvernance, son alignement sur les objectifs et la transparente Actions correctives pour maintenir et amliorer
stratgie de l'entreprise ainsi qu' sa contribution en la matire. Confirmation de la conformit aux obligations l'efficience et l'efficacit des processus
Rendre compte sur toutes les composantes de la gouvernance des SI. lgales et rglementaires informatiques non identifies ou non mises en
Exigences du conseil d'administration en termes uvre
de gouvernance susceptibles d'tre satisfaites Contrles ne fonctionnant pas comme prvu
Vrifier et confirmer :
- qu'un processus tabli existe pour aligner le cadre de gouvernance des SI sur l'environnement de contrle et de gouvernance global de l'entreprise
- que ce cadre est bas sur un modle de contrle et de processus informatiques complet, et qu'il dfinit le leadership, des responsabilits et rles clairs, des exigences d'information, des
structures organisationnelles et des pratiques pour viter les dysfonctionnements de supervision et de contrle interne
- qu'il existe des structures de gouvernance/management appropries, telles que le comit stratgique informatique, le comit de pilotage des SI, le conseil technologique, le comit
architecture des SI et le comit audit des SI. S'assurer que des attributions existent pour chacune d'entre elles
- que le cadre de gouvernance des SI est ax sur l'alignement stratgique, l'apport de valeur, la gestion des ressources, la gestion des risques et l'valuation des performances
- qu'il existe un processus pour mesurer et valuer la ralisation des objectifs et stratgies informatiques, et pour runir toutes les questions de gouvernance informatique et les actions
correctives dans un rfrentiel de gestion consolid ou un mcanisme de suivi
- que les responsabilits de la gestion des risques informatiques ont t clairement tablies
- que l'tat et les problmes de gouvernance des SI sont communiqus l'organisme de supervision de la gouvernance de l'entreprise.
2008 AFAI. Tous droits rservs. www.afai.fr
SE4 Mettre en place une gouvernance des SI (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
SE4.2 Alignement stratgique SI davantage sensibles aux objectifs de Inefficacit de l'affectation et de la gestion des
Faciliter la comprhension par les instances dirigeantes et le l'entreprise investissements informatiques
management des questions stratgiques concernant les SI comme le Ressources informatiques facilitant la ralisation SI incapables de favoriser la ralisation des
rle des SI, les perspectives offertes par les technologies et leurs des objectifs mtiers, de faon efficace et objectifs de l'entreprise
capacits. S'assurer qu'on comprend aussi bien du ct des mtiers
efficiente Planification informatique stratgique non
que des SI la contribution potentielle des SI la stratgie des mtiers.
Travailler avec le conseil dadministration (CA) et les instances en Capacits informatiques offrant des opportunits conforme la stratgie globale de l'entreprise
charge de la gouvernance comme le comit stratgique informatique pour la stratgie mtiers Orientations informatiques non dfinies et ne
pour proposer au management des orientations pour les SI, en Efficacit de l'affectation et de la gestion des favorisant pas les objectifs mtiers
s'assurant que la stratgie et les objectifs sont rpercuts aux units investissements informatiques
mtiers et aux fonctions informatiques, et que la confiance se
dveloppe entre les mtiers et l'informatique. Faciliter l'alignement
des SI sur les mtiers pour la stratgie et le fonctionnement
oprationnel, en encourageant la co-responsabilit entre les mtiers et
l'informatique dans la prise de dcisions et l'obtention de bnfices
des investissements informatiques.
Examiner la documentation sur la stratgie informatique et dterminer si elle soutient l'orientation fournie par le CA et la direction gnrale. Elle doit reflter les stratgies mtiers et
l'alignement appropri des SI sur les oprations mtiers.
Dterminer si la procdure de planification stratgique des SI inclut la participation des oprations mtiers et dmontre l'alignement sur les stratgies et objectifs mtiers.
Examiner les documents sur la stratgie informatique et dterminer s'ils incluent le rle des SI, les principes d'orientation des SI partir de maximes professionnelles, la faon dont
l'informatique surveille l'impact mtiers de l'infrastructure informatique et du portefeuille d'applications, et l'apport potentiel des SI la stratgie mtiers globale (ex : valuation, post-
implmentation, avantages fournis par les projets informatiques).
ANNEXE V
245
SE4 Mettre en place une gouvernance des SI (suite)
246
SE4.3 Apport de valeur Fourniture rentable des solutions et services Mauvaise orientation des investissements
S'assurer que les programmes d'investissements informatiques et les Utilisation optimise des ressources informatiques informatiques
autres actifs et services informatiques apportent le plus de valeur Besoins mtiers pris en charge de faon efficace Valeur non obtenue des actifs et services
possible au service de la stratgie et des objectifs de l'entreprise. Soutien accr de l'utilisation des SI par les parties informatiques
S'assurer que les rsultats des mtiers attendus des investissements
prenantes de l'entreprise Baisse de la satisfaction clientle
informatiques et que la totalit des efforts ncessaires pour obtenir
ces rsultats sont compris, que des tudes de faisabilit compltes et Accroissement de l'apport de valeur des SI aux Augmentation des cots lis aux activits et
cohrentes sont effectues et approuves par les parties prenantes, objectifs mtiers investissements informatiques
que les actifs et les investissements sont grs tout au long de leur Reprsentation fiable et prcise des cots et des Manque d'harmonisation entre les objectifs
cycle de vie, et qu'il existe une gestion active des bnfices raliser, bnfices probables mtiers et l'architecture informatique
comme la contribution de nouveaux services, des gains d'efficience Bnfices attendus non raliss
et une ractivit accrue aux demandes des clients. Imposer une
approche discipline de la gestion des portefeuilles, des programmes
et des projets, en insistant pour que les mtiers assument la proprit
de tous les investissements informatiques et que l'informatique assure
l'optimisation des cots de fourniture de capacits et de services
informatiques.
Confirmer l'existence d'une co-responsabilit entre les mtiers et l'informatique pour tous les investissements informatiques.
Inspecter la documentation dterminant dans quelle mesure les livrables des SI sont conformes la stratgie. Elle doit inclure l'indication d'une livraison dans les dlais, dans les limites
budgtaires, avec les fonctionnalits adquates et les bnfices attendus.
Dterminer s'il existe une procdure permettant d'identifier et d'valuer rgulirement les moyens d'accrotre l'apport de la valeur des SI tout en grant les attentes des mtiers et de la
direction concernant les technologies mergeantes (ex : runions du comit de pilotage).
Dterminer s'il existe un partenariat entre les fournisseurs mtiers et informatiques, ainsi qu'une responsabilit partage concernant les dcisions d'achat.
Dterminer si l'informatique connat les attentes des mtiers concernant la valeur des SI ou si elles sont documentes (dlai de mise sur le march, gestion du temps et des cots,
partenariat russi) et si l'informatique peroit la valeur des SI de faon systmatique.
Dterminer s'il existe une procdure efficace pour s'assurer que les architectures informatique et mtiers sont conues pour gnrer une valeur maximale.
Dterminer si une procdure efficace a t mise en place pour affiner les investissements informatiques en fonction d'un quilibre des risques, cots et bnfices par rapport aux budgets
acceptables et tenir compte du rendement et des aspects concurrentiels des investissements informatiques.
Examiner la documentation informatique pour dterminer si les mtiers ont dfini des attentes concernant le contenu des livrables informatiques : satisfaction des exigences mtiers ;
2008 AFAI. Tous droits rservs. www.afai.fr
possibilit d'adopter des exigences futures ; dbits et temps de rponse futurs ; facilit d'utilisation ; scurit ; intgrit, prcision et actualit des informations.
Dterminer s'il existe un processus efficace de gestion du portefeuille des SI, qui est rgulirement valu pour optimiser la valeur relativement aux cots et qui se traduit (pour les
mtiers) en avantage concurrentiel, dlai entre commande et fourniture du service, satisfaction client, productivit et rentabilit du personnel.
tudier les rsultats de la surveillance, par le management, de la planification des investissements et du budget informatique, pour s'assurer qu'elle reste raliste et qu'elle s'intgre dans
le plan financier global (cela peut inclure la conformit aux obligations rglementaires).
Dterminer si le processus de gestion du portefeuille d'actifs informatiques gre efficacement les cots rels et le rendement des investissements, et s'il communique de faon approprie
sur ces donnes.
SE4 Mettre en place une gouvernance des SI (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
SE4.4 Gestion des ressources Hirarchisation et utilisation efficaces et Infrastructures fragmentes et inefficaces
Surveiller l'investissement, l'utilisation et l'affectation des actifs efficientes des ressources informatiques Capacits, comptences et ressources
informatiques au moyen d'valuations rgulires des actions et de Optimisation des cots informatiques insuffisantes pour atteindre les objectifs viss
l'exploitation informatique pour s'assurer d'une gestion adquate des Probabilit accrue de la ralisation des bnfices Objectifs stratgiques non raliss
ressources et de leur alignement sur les objectifs stratgiques actuels
Planification informatique soutenue et optimise Priorits inappropries utilises pour
ainsi que sur les besoins des mtiers.
Capacit s'adapter aux changements futurs l'affectation des ressources
Interroger le management pour s'assurer de la mise en place d'une orientation de haut niveau pour l'acquisition et l'utilisation des ressources informatiques.
Examiner les comptes-rendus de runions avec des cadres de haut niveau pour dterminer l'efficacit de ces activits d'orientation.
Vrifier et confirmer que les infrastructures, comptences et ressources informatiques adaptes sont disponibles pour atteindre les objectifs stratgiques et que des politiques sont en
place pour permettre une disponibilit constante.
Vrifier et confirmer que les infrastructures informatiques fournies facilitent la cration et le partage des informations mtiers un cot optimal.
S'assurer que des politiques, procdures et processus ont t mis en place pour la gestion des ressources et vrifier si leur fonctionnement efficace permet :
- d'optimiser et d'quilibrer les investissements informatiques globaux et l'utilisation des ressources entre le maintien et le dveloppement de l'entreprise
- de tirer parti des informations et des connaissances
- d'tablir des priorits mtiers de faon affecter les ressources pour obtenir des performances informatiques efficaces.
Mettre en place, de faon indpendante, un quilibre estim optimal entre les investissements informatiques globaux et l'utilisation des ressources, et effectuer une comparaison avec les
constatations relles.
Effectuer le suivi des lments travers les infrastructures informatiques et dterminer si la cration et le partage des informations sont efficacement facilits.
Vrifier et confirmer que les rles critiques sont attribus et dfinis de faon tirer le meilleur parti des SI, avec le personnel et les ressources appropris.
Examiner les rles dfinis et s'assurer qu'ils sont attribus et excuts de faon efficace.
Vrifier et confirmer que les procdures pour les valuations des capacits sont en place et rgulirement excutes pour garantir la possibilit de soutenir la stratgie mtiers.
valuer de nouveau les capacits et effectuer une comparaison avec les stratgies mtiers dfinies.
ANNEXE V
247
SE4 Mettre en place une gouvernance des SI (suite)
248
SE4.5 Gestion des risques Risques identifis avant de se traduire dans les Risques identifis ou grs de faon inefficace
Travailler avec le CA pour dfinir l'apptence de l'entreprise pour le faits Augmentation des cots et dpenses lis la
risque informatique et obtenir l'assurance raisonnable que les Plus grande sensibilisation l'exposition aux gestion des risques imprvus
pratiques de gestion des risques sont adquates pour s'assurer que le risques chec des services et applications informatiques
niveau de risque informatique actuel n'excde pas le niveau
Responsabilits finales et oprationnelles critiques
d'apptence du CA pour le risque. Intgrer les responsabilits de
gestion du risque dans l'entreprise, en s'assurant que les mtiers et clairement dfinies pour la gestion des risques Absence de responsable des risques
l'informatique valuent rgulirement les risques informatiques, leurs critiques informatiques
consquences et en rendent compte, et que la position de l'entreprise Mthode efficace de gestion des risques
vis--vis du risque informatique est transparente pour les parties informatiques
prenantes. Profil de risque informatique align sur les
attentes du management
Limitation des possibilits de non-conformit
Vrifier et confirmer :
- que, partir d'informations fournies par le management, telles que l'exposition aux risques informatiques, les mesures de gestion des risques et les cots associs, le CA dfinit,
rvalue rgulirement et communique l'apptence de l'entreprise pour le risque
- que le management analyse le rsultat de l'valuation des risques des activits informatiques, pour s'assurer que le risque couru global n'est pas suprieur l'apptence pour le risque
dfinie, en tenant compte des contrles compensatoires mis en place, et qu'il supervise la mise en uvre de contrles compensatoires supplmentaires pour rduire le risque couru
global si ncessaire
- qu'il existe une procdure pour inclure les questions de gestion des risques informatiques dans les rapports sur les questions et la situation de gouvernance des SI et pour assurer la
transparence des risques informatiques vis--vis de toutes les parties prenantes.
2008 AFAI. Tous droits rservs. www.afai.fr
SE4 Mettre en place une gouvernance des SI (suite)
2008 AFAI. Tous droits rservs. www.afai.fr
SE4.6 Mesure de la performance Amlioration de la performance des processus carts de performance non identifis en temps
Valider que les objectifs informatiques convenus ont t atteints ou Identification des points d'amlioration opportun
dpasss, ou que la progression vers ces objectifs est conforme aux Stratgies et objectifs informatiques qui sont et Baisse de confiance des parties prenantes
attentes. Rviser les actions correctives prises par le management restent conformes la stratgie de l'entreprise Anomalies et dysfonctionnements des services
pour les cas o les objectifs convenus n'ont pas t atteints ou la
Supervision efficace et transparente des processus non dtects et pris en main, entranant une
progression non conforme aux attentes. Rendre compte au CA de la
performance des portefeuilles, des programmes et des SI en l'tayant Gnration efficace et opportune de rapports de incapacit satisfaire les exigences mtiers
par des rapports pour permettre la direction gnrale de passer en gestion Dfauts de performance des services, entranant
revue la progression de l'entreprise vers les objectifs fixs. des risques de non-conformit lgale et
rglementaire
Vrifier et confirmer :
- que les mesures de performance du tableau de bord informatique sont correctement alignes sur les mesures du tableau de bord mtiers et acceptes par les mtiers
- que le management value et approuve l'efficacit des processus et la prcision et l'exhaustivit des livrables pour valuer et rendre compte des performances informatiques par rapport
la ralisation des objectifs informatiques stratgiques. S'assurer que les rapports de situation indiquent dans quelle mesure les objectifs prvus ont t atteints, les livrables livrs et
les objectifs de performance atteints
- que le CA value le bien-fond des actions correctives du management pour les problmes de performance significatifs et qu'il donne des recommandations pour corriger les causes
organisationnelles ou systmiques si ncessaire.
ANNEXE V
249
SE4 Mettre en place une gouvernance des SI (suite)
250
SE4.7 Assurance indpendante Identification des possibilits d'amlioration des Dgts en termes d'image cause de l'incapacit
Obtenir une assurance indpendante (interne ou externe) sur la services dtecter ou viter la dgradation des
conformit des SI aux lois et rglements dont ils relvent, aux carts dtects en temps opportun performances des services
politiques, normes et procdures de l'entreprise, aux pratiques Assurance fiable de l'existence de procdures et Mcanismes inefficaces de gouvernance des SI,
gnralement acceptes, et la performance de l'informatique en
mcanismes efficaces de gouvernance, de gestion de gestion des risques et de contrle interne
termes d'efficacit et d'efficience.
des risques et de contrle interne Comportements contraires l'thique adopts et
Certification, auprs du CA et de la direction accepts
gnrale, que la gouvernance fonctionne
efficacement
Vrifier et confirmer qu'un comit d'audit a t tabli et qu'il a pour mission de prendre en compte les risques significatifs ; dterminer la faon de les identifier, les valuer et les grer ;
missionner les audits informatiques et de scurit ; suivre rigoureusement la mise en place de leurs recommandations.
Interroger le comit d'audit et valuer ses connaissances et sa sensibilisation vis--vis de ses responsabilits. Dterminer si le comit d'audit tabli fonctionne efficacement.
Vrifier et confirmer que des homologations, des certifications et des revues indpendantes de conformit aux procdures, standards et politiques informatiques ont t obtenues.
Examiner physiquement l'adquation des documents produits par les revues indpendantes.
2008 AFAI. Tous droits rservs. www.afai.fr
ANNEXE V
Evaluer le rsultat des objectifs de contrle :
Examiner les comptes-rendus des runions du CA et de la direction gnrale pour dterminer si l'orientation mtiers est fournie concernant
l'utilisation des capacits et des ressources informatiques.
Examiner le leadership d'entreprise et les structures organisationnelles relatifs l'utilisation des ressources informatiques pour dterminer
leur bien-fond par rapport l'ensemble de l'entreprise et l'exhaustivit de leur prise en compte de la supervision et de la gestion des
ressources informatiques.
Identifier le modle de processus utilis pour tablir et soutenir la gouvernance des SI et valuer son adquation et l'efficacit de son
application.
Examiner les comptes-rendus de la planification stratgique des SI pour s'assurer que les buts et objectifs informatiques et mtiers sont
aligns.
S'assurer que des commanditaires mtiers ont t dsigns pour participer directement et activement tous les investissements
informatiques importants et pour en assumer la responsabilit.
Examiner les plans des services informatiques et les comparer avec la stratgie mtiers pour dterminer si l'orientation permet
l'informatique d'offrir une assistance optimale.
Interroger les responsables de la stratgie informatique pour s'assurer qu'elle s'intgre correctement dans les objectifs mtiers globaux.
Dterminer si les buts et objectifs des mtiers et de l'informatique sont clairement communiqus aux parties concernes et si une mdiation
approprie existe et fonctionne efficacement (ex : plans technologiques).
Dterminer si un comit de pilotage des SI dtermine l'alignement mtiers en s'assurant que la stratgie informatique est conforme la
stratgie mtiers et que les stratgies et plans connexes sont cohrents et intgrs.
Dterminer s'il existe une procdure permettant la direction gnrale d'tudier rgulirement les rapports de gouvernance des SI pour
dterminer s'ils rendent compte des problmes informatiques stratgiques et des actions permettant de les rsoudre. Ces rapports doivent
inclure l'tat d'avancement vis--vis des plans stratgiques, les mesures cls de performance des services et les aspects d'attnuation et
d'valuation des risques significatifs.
Identifier et valuer l'ampleur de l'assurance indpendante fournie l'entreprise concernant l'tablissement et l'efficacit des mcanismes de
gouvernance des SI.
PAGE BLANCHE
S'assurer que les documents source sont prpars par le personnel Intgrit des donnes Intgrit compromise des donnes critiques
qualifi et autoris, en respectant les procdures tablies, en tenant Documents de transaction standardiss et Transactions non autorises et/ou errones
compte de la sparation adquate des tches entre la autoriss Inefficacit du traitement et tches rexcuter
gnration/cration et la validation de ces documents. La bonne Amlioration des performances applicatives
conception des masques de saisie permet de rduire les erreurs et
Prcision des donnes de transaction
omissions. Dtecter les erreurs et les anomalies de faon pouvoir
les signaler et les corriger.
S'assurer que la conception du systme prvoit l'identification et la gestion des niveaux d'autorisation.
Vrifier et confirmer que la conception du systme prvoit l'utilisation de listes d'autorisation pr-approuves et des signatures associes pour dterminer si les documents ont fait l'objet
d'une autorisation approprie.
Dterminer si les documents source et/ou les crans de saisie sont conus en dterminant les choix, le codage, etc. au pralable, afin de favoriser l'excution en temps opportun et de
minimiser le risque d'erreur.
Vrifier et confirmer que la conception du systme encourage le contrle des formulaires pour s'assurer qu'ils sont complets et valids et qu'elle identifie les situations dans lesquelles se
produisent des tentatives de traitement de documents incomplets et/ou non autoriss.
Vrifier et confirmer que, une fois identifi, le systme est conu pour suivre et signaler les documents incomplets et/ou non autoriss qui sont refuss et renvoys au propritaire pour
tre corrigs.
Inspecter les listes d'autorisation pour s'assurer que les niveaux d'autorisation sont correctement dfinis pour chaque groupe de transactions. S'assurer que les niveaux d'autorisation sont
correctement appliqus.
Examiner et observer la cration et la documentation des procdures de prparation des donnes et vrifier et confirmer que ces procdures sont comprises et que les supports source
appropris sont utiliss.
Lorsque les procdures l'exigent, vrifier et s'assurer qu'il existe une sparation approprie des tches entre l'initiateur et l'approbateur.
Inspecter les documents, suivre les transactions tout au long du processus et, si possible, utiliser la collecte automatise des donnes disponibles, y compris les chantillons de donnes,
les modules d'audit intgrs ou les techniques d'audit assist par ordinateur, pour suivre les transactions afin de s'assurer que les contrles d'accs/autorisation sont efficaces.
Vrifier et confirmer qu'une liste des employs autoriss et de leurs signatures est tenue jour par les services concerns. Si possible, utiliser la collecte automatise des donnes
disponibles, y compris les chantillons de donnes, les modules d'audit intgrs ou les techniques d'audit assist par ordinateur, pour suivre les transactions afin de s'assurer que la liste
ANNEXE VI
des employs autoriss est effectivement conue pour autoriser le personnel ou certains employs saisir des donnes.
253
CA1 Autorisation et prparation des donnes source (suite)
254
Examiner la liste des employs autoriss et les autres documents, et observer les processus et procdures pour s'assurer que ceux qui permettent de tenir la liste jour sont efficaces et
excuts en temps opportun. Slectionner un chantillon d'employs et dterminer si leurs niveaux d'autorisation correspondent leurs rles et responsabilits.
Vrifier et confirmer que tous les documents source incluent des composants standard, tels que les codes d'entre prdtermins et les valeurs par dfaut pour rduire les erreurs,
enregistrent la date et l'heure des transactions pour permettre la surveillance et obtiennent les informations d'autorisation pour garantir la validit.
Si possible, utiliser la collecte automatise des donnes disponibles, y compris les chantillons de donnes, les modules d'audit intgrs ou les techniques d'audit assist par ordinateur,
pour slectionner des transactions afin de vrifier ultrieurement les composants standard qui amliorent la prcision et apportent la preuve de l'autorisation.
Vrifier et confirmer que, lors de la saisie des donnes, les documents source sont passs en revue ; que les documents non signs ou incorrectement autoriss sont renvoys leurs
auteurs pour correction et sont journaliss ; que les fichiers journaux sont rgulirement examins pour s'assurer que les documents corrigs sont renvoys par les auteurs en temps
opportun. Examiner les documents source et passer en revue les fichiers journaux et autres documents pour s'assurer que les documents incomplets sont dtects efficacement et
complts en temps opportun par leurs auteurs.
Examiner les formulaires des documents source pour s'assurer qu'ils sont utilisables, qu'ils facilitent la prvention des erreurs et permettent une prparation rapide et efficace.
2008 AFAI. Tous droits rservs. www.afai.fr
CA2 Collecte et saisie des donnes source
2008 AFAI. Tous droits rservs. www.afai.fr
Prvoir que la saisie des donnes sera effectue en temps utile, par le Saisie de donnes prcises et traitement efficace Saisie de donnes incompltes se traduisant par
personnel autoris et qualifi. La correction et la ressaisie des Erreurs dtectes en temps opportun l'inefficacit du traitement
donnes errones doivent tre effectues sans compromettre le Scurisation des donnes de transaction sensibles Intgrit compromise des donnes critiques
niveau d'origine d'autorisation des transactions. Si la reconstruction Violations du contrle d'accs
des donnes le requiert, conserver les documents source d'origine
Non-dtection d'erreurs de saisie de donnes
pendant un laps de temps adquat.
Vrifier et confirmer que les critres de disponibilit, d'exhaustivit et de prcision des documents source sont dfinis et communiqus.
Vrifier et confirmer l'existence de procdures documentes pour la correction des erreurs, des tats de dsquilibre et la saisie de donnes de remplacement. S'assurer que ces
procdures incluent des mcanismes de suivi, de correction, de validation et de ressaisie en temps opportun. valuer les procdures par rapport des facteurs tels que la description des
messages d'erreur et les mcanismes de remplacement.
Vrifier et confirmer que des politiques et procdures sont tablies pour dterminer les critres d'identification des catgories de transactions critiques qui requirent des documents
source prnumrots ou d'autres mthodes uniques d'identification des donnes source.
Vrifier et confirmer que des politiques et procdures ont t mises en place pour dfinir les politiques de conservation des documents. Les facteurs prendre en compte pour valuer la
politique de conservation des documents sont les suivants : criticit de la transaction, format des donnes source, mthode de conservation, emplacement du stockage, priode de
conservation, exigences rglementaires et de conformit.
Pour chaque grand groupe de transactions, vrifier et confirmer l'existence de documents sur les critres permettant de dfinir l'autorisation de saisie, de modification, d'acceptation, de
refus et de remplacement.
Inspecter la documentation sur les politiques et procdures pour s'assurer que les critres de disponibilit, d'exhaustivit et de prcision sont correctement reprsents.
Vrifier et confirmer que les documents source critiques sont prnumrots et que les numros qui ne sont pas dans l'ordre sont identifis et pris en compte.
Vrifier et confirmer que les messages d'erreur sont gnrs en temps opportun, que les transactions ne sont pas traites sauf si les erreurs sont corriges ou correctement annules, que
les erreurs qui ne peuvent pas tre immdiatement corriges sont journalises et que le traitement des transactions correctes continue, que les journaux d'erreurs sont examins et que les
actions correctives en dcoulant sont excutes dans des dlais raisonnables et spcifis.
Vrifier et confirmer que les rapports sur les erreurs et les tats de dsquilibre sont examins par le personnel comptent, que toutes les erreurs sont identifies, corriges et contrles
dans un laps de temps raisonnable, et que les erreurs sont consignes dans des rapports jusqu' ce qu'elles soient corriges.
Pour un chantillon de flux de transactions, vrifier et confirmer que la conservation des documents source est dfinie et applique conformment aux critres tablis en la matire.
Slectionner un ensemble de transactions critiques et :
- comparer l'tat rel des contrles d'accs en matire de saisie des transactions, de modification, de validation, etc. par rapport aux critres, politiques ou procdures tablis ;
- dterminer si les documents source critiques sont prnumrots ou si d'autres mthodes uniques d'identification des donnes source sont utilises ;
- examiner la documentation ou inspecter les transactions pour identifier les employs qui peuvent saisir, modifier, autoriser, valider et refuser des transactions, et annuler les erreurs ;
- se procurer un chantillon de transactions appartenant cet ensemble et correspondant une priode spcifique, et inspecter les documents source relatifs ces transactions. Vrifier si
ANNEXE VI
tous les documents source appropris sont disponibles.
Identifier et tudier les numros qui ne sont pas dans l'ordre, les anomalies et les doublons l'aide d'outils automatiss (techniques d'audit assist par ordinateur).
Inspecter les documents, suivre les transactions tout au long du processus et, si possible, utiliser la collecte automatise des donnes disponibles, les modules d'audit intgrs ou les
techniques d'audit assist par ordinateur, pour suivre les transactions afin de s'assurer que les contrles d'autorisation sont efficaces et qu'un nombre suffisant d'lments d'information
sont enregistrs et contrls de faon fiable.
255
CA2 Collecte et saisie des donnes source (suite)
256
Inspecter les documents, suivre les transactions tout au long du processus et, si possible, utiliser la collecte automatise des donnes disponibles, les modules d'audit intgrs ou les
techniques d'audit assist par ordinateur, pour suivre les transactions afin de s'assurer que les messages d'erreur opportuns, les restrictions de traitement des transactions et les journaux
d'erreurs sont efficacement gnrs, appliqus et contrls.
Examiner les rapports d'erreur et d'tat de dsquilibre, les corrections d'erreurs et les autres documents pour s'assurer que les erreurs et les situations de dsquilibre sont efficacement
contrles, corriges, vrifies et signales jusqu' ce qu'elles soient corriges.
2008 AFAI. Tous droits rservs. www.afai.fr
CA3 Vrifications d'exactitude, d'exhaustivit et d'authenticit
2008 AFAI. Tous droits rservs. www.afai.fr
S'assurer que les transactions sont exactes, compltes et valides. Correction efficace des erreurs de traitement de Saisie de donnes incompltes, incorrectes ou
Valider les donnes saisies et modifier ou renvoyer pour correction donnes imprcises se traduisant par l'inefficacit du
aussi prs que possible du point de cration. Maintien de l'exactitude, de l'exhaustivit et de la traitement et par la ncessit de rexcuter des
validit des donnes au cours du traitement tches
Traitement ininterrompu des transactions Intgrit compromise des donnes critiques
Sparation des tches pour le traitement et la Non-dtection d'erreurs de saisie de donnes
saisie des donnes Saisie de donnes non autorises
Vrifier et confirmer l'existence de politiques et procdures pour le traitement des transactions pour lesquelles les contrles de prparation et de validation n'ont pas t concluants.
Vrifier et confirmer que des processus et procdures sont tablis pour la sparation des tches concernant la saisie, la modification et la validation des donnes de transactions, ainsi que
les rgles de validation. Les facteurs prendre en compte pour l'valuation des politiques de sparation des tches incluent la criticit du systme de transaction et les mthodes
d'application de la sparation des tches.
Vrifier et confirmer que les critres de validation et les paramtres des donnes saisies sont rgulirement contrls, confirms et mis jour, de faon approprie, par des moyens
autoriss et en temps opportun.
Pour les systmes critiques ou importants, inspecter le processus de saisie des donnes pour s'assurer que les contrles d'autorisation permettent uniquement aux personnes autorises de
saisir ou de modifier des donnes.
Se procurer une description fonctionnelle et des renseignements descriptifs sur les contrles relatifs la saisie des donnes. Examiner la fonctionnalit et la conception des contrles
appropris. Voici quelques exemples de contrles : contrle de squence, de valeur limite, des limites, de validit, de vraisemblance, consultation de table, contrle d'existence,
vrification des cls, chiffre de contrle, contrle d'intgralit (ex : montant total, nombre total d'lments, nombre total de documents, sommes de contrle), double contrle, contrles
d'accs logique et modifications d'heures.
Se procurer une description fonctionnelle et des renseignements descriptifs sur les contrles d'autorisation de saisie des donnes. Examiner la fonctionnalit et la conception concernant
la prsence de contrles d'autorisation.
Se procurer une description fonctionnelle et des renseignements descriptifs sur la saisie des donnes de transaction. Examiner la fonctionnalit et la conception concernant la prsence de
contrles complets et opportuns et de messages d'erreurs. Si possible, observer la saisie des donnes de transaction.
Se procurer une description fonctionnelle et des renseignements descriptifs sur la validation des donnes de transaction.
Examiner les rapports d'erreur et d'tat de dsquilibre, les corrections d'erreurs et les autres documents pour s'assurer que les erreurs et les situations de dsquilibre sont efficacement
contrles, corriges, vrifies et signales jusqu' ce qu'elles soient corriges.
Examiner les corrections d'erreurs, les situations de dsquilibre, les annulations de saisie et autres documents pour vrifier si les procdures sont respectes.
Slectionner un chantillon de donnes source saisies dans les documents source. Procder une inspection ou utiliser des techniques d'audit assist par ordinateur ou d'autres outils
d'valuation et de collecte automatise des donnes disponibles pour s'assurer que les donnes saisies reprsentent de faon prcise et exhaustive les documents source sous-jacents.
Slectionner un chantillon des processus de saisie des donnes source. Vrifier et confirmer que des mcanismes ont t mis en place pour s'assurer que les processus de saisie des
ANNEXE VI
donnes source ont t excuts conformment aux critres de disponibilit, d'exhaustivit et de prcision tablis.
Vrifier et confirmer que les transactions qui ne suivent pas les procdures standard de prparation et de validation font l'objet d'un suivi appropri jusqu' ce qu'elles soient corriges.
257
CA4 Intgrit et validit du traitement
258
Maintenir l'intgrit et la validit des donnes tout au long du cycle Erreurs de traitement dtectes en temps opportun Manifestation insuffisante des erreurs ou des
de traitement. S'assurer que la dtection des transactions errones Capacit enquter sur les problmes utilisations abusives
n'interrompt pas le traitement des transactions valides. Non-dtection des erreurs de saisie de donnes
Traitement de donnes non autorises
Vrifier et confirmer que le traitement des transactions a lieu uniquement aprs avoir t dment autoris.
tudier la documentation relative aux outils et aux applications pour s'assurer qu'ils sont applicables et adapts la tche. Dans le cas de transactions critiques, vrifier le code pour
s'assurer que les contrles fonctionnent comme prvu dans les outils et applications. Traiter de nouveau un chantillon reprsentatif pour s'assurer que les outils automatiss fonctionnent
comme prvu.
Se procurer une description fonctionnelle et des renseignements descriptifs sur les contrles relatifs la saisie des donnes. Examiner la fonctionnalit et la conception concernant la
prsence d'erreurs de squence et de duplication, les contrles d'intgrit rfrentielle, les sommes de contrle et les totaux factices. Utiliser des outils de recherche pour identifier les cas
dans lesquels des erreurs ont t identifies tort et les cas dans lesquels des erreurs n'ont pas t dtectes.
Examiner la description fonctionnelle et les renseignements descriptifs sur la saisie des donnes de transaction pour dterminer si les transactions qui ne suivent pas les procdures
standard de prparation et de validation sont transmises aux fichiers d'attente. Vrifier si les fichiers d'attente sont produits de faon approprie et cohrente et si les utilisateurs sont
informs des transactions enregistres dans les comptes d'attente. S'assurer que le traitement des transactions n'est pas retard par des erreurs de saisie de donnes ou d'autorisation de
transaction. Utiliser la collecte automatise des donnes disponibles, y compris les chantillons de donnes, les scnarios de rfrence (transactions prpares avec un rsultat attendu),
les modules d'audit intgrs ou les techniques d'audit assist par ordinateur, pour suivre les transactions afin de s'assurer qu'elles sont traites efficacement, que les transactions correctes
sont traites sans interruptions causes par les transactions incorrectes et que les transactions errones sont signales.
Analyser un chantillon reprsentatif des transactions errones dans les comptes et fichiers d'attente et s'assurer que les transactions qui ne suivent pas les procdures standard de
validation sont contrles jusqu' ce qu'elles soient corriges. Vrifier si les comptes et fichiers d'attente relatifs aux transactions qui ne suivent pas les procdures standard de validation
contiennent uniquement des erreurs rcentes, confirmant que les plus anciennes ont t corriges de faon approprie.
Vrifier et confirmer que l'ordre des tches est indiqu l'exploitation informatique. Vrifier et confirmer que les travaux fournissent des instructions adquates au systme
d'ordonnancement des travaux, afin d'viter l'ajout, la modification ou la perte inapproprie de donnes lors du traitement. Inspecter les documents source, suivre les transactions tout au
long du processus et, si possible, utiliser la collecte automatise des donnes disponibles, les modules d'audit intgrs ou les techniques d'audit assist par ordinateur, pour suivre les
transactions afin de s'assurer que le logiciel d'ordonnancement des travaux de production est utilis efficacement, pour excuter les travaux dans l'ordre correct et fournir des instructions
adquates au systme.
Vrifier et confirmer qu'un identifiant ou un nombre ordinal unique (ex : indice, date, heure) est affect chaque transaction. Inspecter les documents source, suivre les transactions tout
au long du processus et, si possible, utiliser la collecte automatise des donnes disponibles, les modules d'audit intgrs ou les techniques d'audit assist par ordinateur, pour suivre les
2008 AFAI. Tous droits rservs. www.afai.fr
transactions afin de vrifier l'absence de doublons pour les transactions qui ncessitent des identifiants uniques et l'absence d'anomalies ncessitant une numrotation squentielle.
Vrifier et confirmer que la piste d'audit des transactions traites est tenue jour. Examiner la piste d'audit et les autres documents pour s'assurer que la conception de la piste d'audit est
efficace. Utiliser la collecte automatise des donnes disponibles, y compris les chantillons de donnes, les modules d'audit intgrs ou les techniques d'audit assist par ordinateur pour
suivre les transactions, afin de vrifier que la piste d'audit est tenue jour de faon efficace. S'assurer que les images avant/aprs sont conserves et rgulirement examines par le
personnel comptent.
Vrifier et confirmer que la piste d'audit des transactions est tenue jour et rgulirement tudie pour dtecter les ventuelles activits inhabituelles. S'assurer que l'examen est effectu
par un superviseur qui ne procde pas la saisie des donnes. Examiner la piste d'audit, les transactions (ou lots), les revues et autres documents ; suivre les transactions tout au long du
processus ; si possible, utiliser la collecte automatise des donnes disponibles, y compris les chantillons de donnes, les modules d'audit intgrs ou les techniques d'audit assist par
ordinateur, vrifier que l'examen priodique et la gestion de la piste d'audit permettent de dtecter efficacement les activits inhabituelles et que les revues des superviseurs permettent
de vrifier efficacement la validit des ajustements, remplacements et transactions importantes, en temps opportun.
Vrifier et confirmer que les outils appropris sont utiliss et que la gestion des seuils est conforme aux exigences de scurit. Vrifier et confirmer qu'un superviseur examine
rgulirement les seuils et les sorties systme. Utiliser la collecte automatise des donnes disponibles, y compris les chantillons de donnes, les modules d'audit intgrs ou les
techniques d'audit assist par ordinateur pour suivre les transactions, afin de vrifier que les outils fonctionnent comme prvu.
2008 AFAI. Tous droits rservs. www.afai.fr
Vrifier et confirmer que des outils sont utiliss, lorsque cela est possible, pour prserver automatiquement l'intgrit des donnes en cas d'interruption imprvue du traitement des
donnes. Examiner la piste d'audit et autres documents, plans, politiques et procdures, pour s'assurer que les fonctionnalits du systme sont effectivement conues pour prserver
automatiquement l'intgrit des donnes. Examiner les enregistrements des interruptions relles ayant caus des problmes d'intgrit des donnes et s'assurer que les outils appropris
ont t utiliss efficacement.
Vrifier et confirmer que l'adquation des ajustements, des remplacements et des transactions importantes est examine rapidement et en dtail, par un superviseur qui n'effectue pas de
saisie de donnes. Examiner la piste d'audit et autres documents, plans, politiques et procdures, pour s'assurer que la conception des ajustements, des remplacements et des transactions
importantes permet de contrler ces derniers rapidement et en dtail. Examiner la piste d'audit, les transactions (ou lots), les revues et autres documents ; suivre les transactions tout au
long du processus ; si possible, utiliser la collecte automatise des donnes disponibles, y compris les chantillons de donnes, les modules d'audit intgrs ou les techniques d'audit
assist par ordinateur, pour vrifier que les revues des superviseurs permettent de s'assurer efficacement de la validit des ajustements, remplacements et transactions importantes, en
temps opportun.
Vrifier et confirmer que le rapprochement des fichiers totaux est effectu rgulirement et que les situations de dsquilibre sont signales. Examiner les rapprochements et autres
documents et suivre les transactions tout au long du processus pour s'assurer que les rapprochements dterminent efficacement si les fichiers totaux correspondent ou si la situation de
dsquilibre est signale au personnel concern.
Pour un chantillon d'applications, vrifier et confirmer que la sparation des tches a t mise en place. Vrifier si la sparation des tches est mise en uvre pour la saisie, la
modification et la validation des donnes de transaction, ainsi que pour les rgles de validation.
Pour un chantillon de processus de transactions critiques, dterminer si les contrles d'accs permettent d'viter la saisie de donnes non autorises. l'aide d'outils de recherche,
identifier les situations dans lesquelles les employs non autoriss ont la possibilit de saisir ou de modifier des donnes.
Pour un chantillon de systmes de transaction, vrifier si les comptes et les fichiers d'attente (pour les transactions qui ne suivent pas les procdures standard de prparation et de
validation) contiennent uniquement des erreurs rcentes. S'assurer que des actions correctives appropries ont t appliques aux transactions de ce type les plus anciennes.
Pour un chantillon de transactions, s'assurer que la saisie de donnes n'est pas retarde par des transactions incorrectes.
Pour les transactions d'importance capitale, mettre en place un systme de test fonctionnant de la mme faon que le systme rel. Entrer diffrents types d'erreurs.
Vrifier si la dtection et le signalement des erreurs sont complets et effectus en temps opportun, et s'ils fournissent suffisamment d'informations pour corriger la transaction.
Pour les transactions d'importance capitale, mettre en place un systme de test fonctionnant de la mme faon que le systme rel. Traiter les transactions dans le systme de test pour
s'assurer que les transactions valides sont traites de faon approprie et en temps opportun.
S'assurer que les erreurs sont signales de faon approprie et en temps opportun.
Inspecter les messages d'erreur lors de la saisie des donnes ou du traitement en ligne.
S'assurer que les messages d'erreur correspondent au flux de transaction. Exemples illustrant le caractre appropri des messages : comprhensibilit, instantanit et visibilit.
Dterminer si les transactions qui ne suivent pas les procdures standard de prparation et de validation sont transmises aux fichiers d'attente.
Vrifier si les fichiers d'attente sont gnrs correctement et de faon cohrente.
Vrifier si l'utilisateur est inform des transactions transmises aux comptes d'attente.
Se procurer un chantillon d'oprations de saisie de donnes. Utiliser des outils appropris de recherche et d'analyse automatique pour identifier les cas dans lesquels des erreurs ont t
ANNEXE VI
identifies tort et les cas dans lesquels des erreurs n'ont pas t dtectes.
Utiliser la collecte automatise des donnes disponibles, y compris les chantillons de donnes, les modules d'audit intgrs ou les techniques d'audit assist par ordinateur pour suivre
les transactions, afin de vrifier que le traitement des transactions valides est effectu sans interruption. Vrifier et confirmer que les transactions incorrectes sont signales en temps
opportun.
259
CA5 Vrification des sorties, rapprochement et traitement des erreurs
260
tablir des procdures et les responsabilits connexes pour s'assurer Protection des donnes confidentielles en sortie Donnes de transaction confidentielles
que le traitement des donnes en sortie est dment effectu, que ces Rsultats du traitement complets et sans erreur, transmises un mauvais destinataire
donnes sont transmises au destinataire appropri et protges lors de transmis au destinataire concern Confidentialit des donnes compromise
leur transmission ; que la vrification, la dtection et la correction de Erreurs dtectes en temps opportun Traitement inefficace des transactions
l'exactitude des donnes en sortie a lieu et que les informations
Non-dtection des erreurs de donnes de
fournies dans ces donnes sont utilises.
transaction en sortie
Examiner les critres de conception et s'assurer qu'ils ncessitent l'utilisation de processus de contrle axs sur l'intgrit, tels que l'utilisation de sommes de contrle dans les
enregistrements de dbut (header) et/ou de fin (trailer) et l'quilibrage des sorties par rapport aux sommes de contrle produites par le systme.
Vrifier et confirmer que les situations de dsquilibre dtectes font l'objet de rapports, que ces rapports ont t labors dans le systme et que des procdures ont t tablies pour
s'assurer que les rapports sont transmis au niveau de management appropri.
Vrifier et confirmer que les procdures exigent que les situations de dsquilibre et autres anomalies fassent l'objet d'enqutes et de rapports dans des dlais brefs.
tudier la documentation et s'assurer que les procdures prcisent que des inventaires priodiques sont raliss vis--vis des documents confidentiels cls et que des enqutes sont
menes sur les ventuelles anomalies.
Vrifier et confirmer que des procdures ont t tablies pour s'assurer que l'exhaustivit et la prcision de la sortie d'application sont valides avant que la sortie soit utilise pour le
traitement ultrieur, y compris pour l'utilisation dans le cadre du traitement d'utilisateur final.
Vrifier et confirmer que des procdures ont t labores pour s'assurer qu'un contrle du caractre raisonnable et de la prcision de la sortie est effectu, ou par rapport d'autres
critres tablis par le propritaire du processus, avant utilisation.
Dterminer si des procdures ont t dfinies, ncessitant la journalisation des erreurs potentielles et leur rsolution avant la distribution des rapports.
Vrifier et confirmer que les sommes de contrle sont correctement mises en uvre dans les enregistrements de dbut (header) et/ou de fin (trailer) des sorties pour effectuer un
quilibrage par rapport aux sommes de contrle produites par le systme.
Vrifier et confirmer que les situations de dsquilibre dtectes font l'objet de rapports transmis au niveau de management appropri. Examiner les rapports de dsquilibre. Si possible,
utiliser la collecte automatise des donnes disponibles pour rechercher les erreurs de sommes de contrle et s'assurer que des mesures correctives appropries ont t prises temps.
Vrifier et confirmer que des inventaires physiques des donnes de sortie confidentielles sont effectus selon une frquence approprie. S'assurer qu'ils sont compars aux registres
d'inventaire et que des mesures correctives sont appliques aux anomalies potentielles. S'assurer que des pistes d'audit sont cres pour tenir compte de toutes les anomalies et des refus
2008 AFAI. Tous droits rservs. www.afai.fr
de documents de sortie confidentiels. Examiner un chantillon reprsentatif des pistes d'audit utilisant la collecte automatise des donnes disponibles, si possible, pour identifier les
anomalies et vrifier si elles ont t dtectes et si des mesures correctives ont t prises. Se procurer un exemple d'inventaire physique et le comparer aux pistes d'audit associes pour
s'assurer que la dtection est efficace.
Se procurer une liste des sorties lectroniques qui sont rutilises dans les applications des utilisateurs finaux. S'assurer que le caractre complet et prcis de la sortie lectronique est
vrifi avant sa rutilisation et son retraitement. Slectionner un chantillon reprsentatif de sorties lectroniques et suivre les documents slectionns tout au long du processus pour
s'assurer que la prcision et l'exhaustivit sont vrifis avant l'excution d'autres oprations. Rexcuter les tests d'exhaustivit et de prcision pour s'assurer qu'ils sont efficaces.
Vrifier et confirmer que le bien-fond et la prcision de la sortie sont contrls. Slectionner un chantillon reprsentatif de rapports de sortie et vrifier le bien-fond et la prcision des
sorties. S'assurer que les erreurs potentielles sont signales et consignes dans un fichier journal centralis. Slectionner un chantillon reprsentatif de transactions et s'assurer que les
erreurs sont identifies et corriges en temps opportun. Examiner les journaux d'erreurs pour vrifier si les erreurs sont corriges en temps opportun.
Vrifier et confirmer que les informations confidentielles sont dfinies, valides par le propritaire du processus et traites de faon approprie. Il peut s'agir, notamment, d'tiqueter les
sorties d'application sensibles et, si ncessaire, d'envoyer les sorties sensibles des priphriques de sortie spciaux dont l'accs est contrl. Pour un chantillon de donnes
confidentielles, rechercher les fichiers en sortie et s'assurer qu'ils sont correctement tiquets. Examiner les mthodes de diffusion des informations confidentielles et les mcanismes de
contrle d'accs des priphriques de sortie sensibles. S'assurer que les mcanismes assurent l'application correcte des droits d'accs prtablis.
CA6 Authentification et intgrit des transactions
2008 AFAI. Tous droits rservs. www.afai.fr
Avant d'changer des donnes de transaction entre les applications Traitement direct Transactions errones et/ou non autorises
internes et les fonctions mtiers/fonctions oprationnelles (dans Confiance dans la validit et l'authenticit des Erreurs de transaction non dtectes
l'entreprise ou en dehors), vrifier l'exactitude des destinataires, transactions Inefficacits et tches supplmentaires
l'authenticit de l'original et l'intgrit du contenu. Maintenir Erreurs et utilisations abusives vites effectuer
l'authenticit et l'intgrit lors de la transmission ou du transport.
Vrifier et confirmer qu'une procdure a t mise au point pour s'assurer que, en matire de transactions critiques, des accords adquats ont t conclus avec les contreparties, incluant
des normes de communication et de prsentation des transactions, les responsabilits, et les exigences d'authentification et de scurit.
Vrifier et confirmer que les systmes sont conus pour contenir des mcanismes appropris en matire d'intgrit, d'authenticit et de non-rpudiation, tels que l'adoption d'une norme
scurise et d'une norme faisant l'objet d'une vrification indpendante.
Vrifier et confirmer que les systmes sont conus pour intgrer un marquage de sortie conforme aux normes du secteur, afin d'identifier les informations authentifies.
Examiner les manuels et la documentation relatifs aux applications critiques pour s'assurer que les spcifications de conception exigent la vrification approprie de l'authenticit des
entres.
Vrifier et confirmer que les systmes sont conus pour identifier les transactions reues d'autres applications de traitement et analyser ces informations pour dterminer l'authenticit de
l'origine des informations et dterminer si l'intgrit du contenu a t maintenue pendant la transmission.
Se procurer et examiner les accords conclus avec les contreparties concernant les transactions critiques et s'assurer qu'ils prcisent les exigences relatives aux normes de communication
et de prsentation des transactions, les responsabilits, et les exigences d'authentification et de scurit
Slectionner un chantillon d'accords conclus avec les contreparties concernant les transactions critiques et s'assurer qu'ils sont complets.
Slectionner un chantillon d'checs d'authentification pour s'assurer que les accords conclus avec les contreparties sont efficaces.
Examiner la documentation et procder une inspection pour identifier les applications qui jouent un rle dterminant en matire d'intgrit, d'authenticit et de non-rpudiation des
transactions. Pour ces applications, vrifier et confirmer qu'un mcanisme appropri d'intgrit, d'authenticit et de non-rpudiation a t adopt (norme scurise ou norme faisant
l'objet d'une vrification indpendante).
Examiner les manuels et la documentation relatifs aux applications critiques pour s'assurer que les spcifications et la conception garantissent que les sorties sont correctement tiquetes
avec les donnes d'authentification.
Inspecter le code d'un chantillon d'applications pour s'assurer que ces spcifications et cette conception s'appliquent. Vrifier si ces spcifications ont t testes et ont produit de bons
rsultats.
Slectionner un chantillon reprsentatif de transactions et s'assurer que les informations d'authenticit et d'intgrit sont correctement transmises tout au long du cycle de traitement.
Examiner les journaux d'erreurs relatifs aux transactions qui n'ont pas t correctement authentifies et en vrifier la cause.
Inspecter le code d'un chantillon d'applications pour s'assurer que les spcifications d'authenticit ont t appliques. Vrifier si ces spcifications ont t testes et ont produit de bons
rsultats.
Examiner les journaux d'erreurs relatifs aux transactions qui n'ont pas t correctement authentifies et en vrifier la cause.
ANNEXE VI
261
GUIDE DAUDIT DES SI : UTILISATION DE COBIT
PAGE BLANCHE
2. Planifier le projet.
Dfinir les livrables de faon dtaille. Ensuite, identifier les ressources, le soutien et les responsabilits requis pour produire ces livrables.
Obtenir l'autorisation, dfinir les priorits au sein du projet, activer les ressources et laborer un plan de communication afin de dfinir les
tapes cls du projet.
PAGE BLANCHE
COBIT
COBIT
ANNEXE IX
ANNEXE IX- COBIT ET PRODUITS DE LA FAMILLE COBIT
Le rfrentiel COBIT dans la version 4 et suivantes comprend :
Le cadre de rfrence : explique comment COBIT structure les objectifs de la gouvernance des SI, les objectifs de contrle et les bonnes
pratiques, par domaine informatique et par processus, et les relie aux exigences mtiers
La description des processus : comprend 34 processus informatiques couvrant tous les domaines de responsabilit de l'informatique
de A Z
Les objectifs de contrle : dcrivent sous forme de bonnes pratiques gnriques les objectifs de gestion des processus informatiques
Le guide de management : propose des outils pour aider rpartir les responsabilits et mesurer la performance
Les modles de maturit : apportent diffrents profils de processus informatiques par la description de diffrents tats possibles actuels et
futurs
Depuis sa cration, le contenu de base de COBIT n'a cess d'voluer au fil des ans et le nombre de produits drivs de COBIT n'a cess
d'augmenter. Les publications drives de COBIT sont aujourd'hui les suivantes :
Conseils aux dirigeants d'entreprises pour la gouvernance des SI, 2e dition : ce document aide les dirigeants comprendre l'importance de
la gouvernance des SI, quels sont ses enjeux et quel est leur rle dans sa mise en uvre.
COBIT Online : permet de personnaliser COBIT afin de l'adapter son entreprise, d'enregistrer et de modifier les versions volont. Les
services en ligne comprennent la ralisation d'tudes en temps rel, une foire aux questions, des tests comparatifs et un forum permettant de
poser des questions et de partager des expriences.
Pratiques de contrle COBIT: Recommandations pour atteindre les objectifs de contrle et russir la gouvernance des SI, 2me dition :
recommandations pour limiter les risques et accrotre la valeur grce la mise en uvre d'objectifs de contrle et indications pour les
mettre en place. Il est vivement recommand d'utiliser les Pratiques de contrle COBIT avec le Guide de mise en place de la gouvernance
informatique : Utilisation de COBIT et Val IT 2me dition.
Guide d'Audit informatique : Utilisation de COBIT : fournit des conseils sur la faon d'utiliser COBIT pour favoriser diffrentes activits
d'audit ainsi que des propositions de procdures d'valuation pour tous les processus informatiques COBIT et les objectifs de contrle. Il
remplace le Guide d'Audit pour l'audit ou l'autovaluation des objectifs de contrle de COBIT 4.1.
Objectifs de contrle informatique pour Sarbanes-Oxley : rle de l'informatique dans la conception et la mise en place du contrle interne
des rapports financiers, 2me dition : fournit un guide pour assurer la conformit la loi de l'environnement informatique en s'appuyant
sur les objectifs de contrle COBIT.
Guide de mise en place de la gouvernance informatique : Utilisation de COBIT et Val IT, 2me dition : fournit une feuille de route
gnrique pour mettre en place la gouvernance des SI en utilisant les ressources de COBIT et Val IT ainsi qu'un ensemble d'outils associs.
COBIT Quickstart : fournit une base de contrle pour les PMI-PME et peut servir d'tape prliminaire pour une grande entreprise. La
deuxime dition est actuellement en cours d'laboration.
COBIT Base pour la scurit, 2me dition : se focalise sur les tapes fondamentales de mise en oeuvre de la scurit des SI de l'entreprise.
La deuxime dition est actuellement en cours de finalisation.
COBIT Mappings actuellement disponibles l'adresse suivante : www.isaca.org/downloads :
Aligning COBIT, ITIL and ISO 17799 for Business Benefit
COBIT Mapping: Overview of International IT Guidance, 2nd Edition
COBIT Mapping: Mapping de CMMI for Development V1.2 avec COBIT 4.0
COBIT Mapping: Mapping de ISO/IEC 17799:2000 avec COBIT, 2nd Edition
COBIT Mapping: Mapping de ISO/IEC 17799:2005 avec COBIT 4.0
COBIT Mapping: Mapping de ITIL avec COBIT 4.0
COBIT Mapping: Mapping de PMBOK avec COBIT 4.0
COBIT Mapping: Mapping de PRINCE2 avec COBIT 4.0
COBIT Mapping: Mapping de CMM for Software (SEI) avec COBIT 4.0
Gouvernance de la scurit des SI : recommandations aux dirigeants d'entreprise, 2me dition : prsente la scurit des SI en termes
mtiers et renferme des outils et des techniques pour aider dtecter les problmes de scurit
Val IT est le terme gnral retenu pour prsenter les publications ainsi que les produits et activits venir se rfrant au rfrentiel Val IT.
Visitez les sites www.isaca.org/cobit ou www.isaca.org/valit pour avoir connaissance des informations les plus jour et les plus compltes sur
COBIT et Val IT, les produits drivs, les tudes de cas, les programmes de formation, les lettres d'information et toute autre information
particulire sur ces rfrentiels. En France, consultez le site de l'AFAI : www.afai.fr.