Documente Academic
Documente Profesional
Documente Cultură
PRA - PCA
NB. : Laudit de la gestion de crise na pas t trait dans cette fiche pratique.
Mai
2014 1
Introduction
Laudit aide lorganisme atteindre ses objectifs en valuant, par Trois formes daudit existent :
une approche systmatique et mthodique, ses processus de
. laudit interne,
management des risques, de contrle et de gouvernance, et en
faisant des propositions pour renforcer leur efficacit (source : . laudit externe,
dfinition adopte le 21/03/2000 par le Conseil dAdministration
de lIFACI, Institut Franais de lAudit et du Contrle Internes). . laudit de certification.
Oui Non
1. Expression de besoin des processus mtier et support (aux mtiers)
a. Les processus mtier et support ont-ils exprim leurs besoins de continuit dactivit ?
b. Les besoins et les dispositifs de continuit ont-ils t valids par la Direction de lorganisme ?
c. Les plans de retour une situation normale ont-ils t prvus ?
d. Les besoins exprims dans le BIA (Bilan dImpacts sur lActivit) font-ils partie du contrat de service ?
e. Le niveau de dgradation dactivit suite au sinistre a-t-il t dfini et valid ?
3. Moyens de continuit
a. Les responsabilits dexcution du PCA ont-elles t dfinies pour tous les acteurs aux diffrentes
tapes (construction et excution) ?
b. Les salles de crise, en particulier leurs moyens de communication, sont-elles secourues ?
c. Les moyens de communication entre tous les acteurs sont-ils suffisants ?
d. Les moyens de secours et de repli sont-ils non impacts par les scnarios prvus dindisponibilit des
ressources ?
e. Les moyens de continuit ont-ils t identifis et justifis pour tre mis en uvre en conformit avec les
besoins exprims et valids ?
2
Oui Non
b. Les moyens de secours et de repli sont-ils suffisamment dimensionns pour assurer les besoins de
continuit valids ?
c. La cellule de crise dcisionnelle est-elle unique ?
3
Oui Non
1. Plan (planifier)
a. Y a-t-il un primtre dfini pour le SMCA ?
b. Y a-t-il un engagement de la Direction (sponsoring) ?
c. Le SMCA fait-il lobjet dune politique de lorganisme ?
d. Les exigences lgales et rglementaires sont-elles prises en compte ?
e. Les ressources projet (Responsable PCA, Correspondant PCA, contributeurs) sont-elles dfinies ?
2. Do (mettre en uvre)
a. Avez-vous mis en uvre un plan de communication interne et externe ?
b. Le BIA et la stratgie de continuit sont-ils raliss ?
c. Lanalyse et le traitement des risques en termes dimpacts ont-ils t raliss ?
d. Le Groupe de pilotage de la continuit est-il constitu ?
e. Le PCA est-il construit ?
3. Check (vrifier)
a. A-t-il t mis en uvre un processus de contrle du PCA ?
b. Les exercices sont-ils raliss conformment la politique de continuit ?
c. Les comptences des personnes en charge du PCA sont-elles values priodiquement ?
d. Y a-t-il un plan de suivi des indicateurs de performance du PCA ?
e. Un processus daudit interne existe-t-il ?
4. Act (agir/ajuster)
a. La rvision du SMCA prend-t-elle en compte les carts constats entre le Do et le Check ?
b. Un plan damlioration continue existe-t-il ?
Les critres daudit des services rendus aux clients, selon la norme ISAE 3402,
au regard du PCA
La norme ISAE 3402 (International Standard on Assurance En pratique, il existe deux types de rapports :
Engagements) offre aux entreprises de services qui sont
Un rapport de type I, dans lequel lauditeur vrifie la bonne
soumises la loi Sarbanes-Oxley (ou dautres lois de description des contrles et leur adquation par rapport aux
scurit financire), la possibilit de certifier la conformit de objectifs fixs. Ce rapport est effectu une fois par an, un
leur organisation aux exigences rglementaires. Cette norme moment donn ;
est porte par lIAASB (International Auditing and Assurance
Un rapport de type II, dont lobjectif est de vrifier lefficacit
Standards Board), organisme qui fait lui-mme partie de lIFAC
oprationnelle des contrles dcrits dans le rapport de type I,
(International Federation of Accountants).
sur une priode de six mois (en gnral).
Le recours la norme ISAE 3402 sinscrit dans un processus Ce dernier rapport comprend quatre sections :
comprenant plusieurs tapes. Lentreprise doit dabord
formaliser prcisment son dispositif de contrle interne, ses 1. Le rapport de lauditeur proprement dit,
objectifs de contrle et les contrles associs, puis tablir un 2. La description des contrles,
document dcrivant lensemble de ce dispositif. Cest sur la
base de ce document que lauditeur rdigera son rapport. 3. La description des tests effectus par lauditeur ainsi que
leurs rsultats,
4. Autres informations fournies par lentreprise prestataire de
services (facultatif).
4
La certification ISAE 3402 de type II est donc la certification la Extrait des recommandations de lAICPA (American Institute of
plus complte. Elle intgre non seulement un audit au moment Certified Public Accountants) :
de la certification, mais ensuite des contrles rguliers pour
Si une entreprise prestataire de services souhaite dcrire son
sassurer que les procdures mises en place restent bien
PCA, elle doit le faire dans la section 4 (Autres informations
appliques. Pour chaque service audit, une grille de contrle
fournies par lentreprise prestataire de services), car un plan
a t mise en place avec une liste des objectifs de contrle,
nest pas un contrle.
des activits contrles, des plans de tests, des observations
et recommandations.
PCA
PGC
IT Mtier
Un plan de continuit dactivit (PCA) est constitu de 6 sous-ensembles : PGC, PCS et PSI, PCO.
5
3. Conclusion
Laudit de la continuit dactivit couvre, outre les ripostes La nouvelle norme ISO 22301 prsente bien des avantages
prvues par les scnarios de risques (PCA), le management pour lorganisme certifi :
et lorganisation de la continuit dactivit. Il offre une
Elle sintgre aisment aux autres systmes de
vision globale de la prparation et du fonctionnement de
management prsents dans lorganisme,
lorganisme en cas de sinistre, car il interroge sur :
Elle linscrit dans un processus damlioration continue
la criticit des processus mtier,
en questionnant sur ladaptabilit du systme face aux
la couverture des procdures de continuit dactivit, nouveaux enjeux,
la mise jour de ces procdures face aux nouveaux
Elle cre un rapport de confiance entre les parties
contextes et rfrentiels. prenantes et ledit organisme,
Laudit interne, qui sert rassurer la Direction sur la bonne
Elle permet dtayer les rponses aux appels doffre
matrise de ses risques et la rsilience de lorganisme, doit lorsque la problmatique de la continuit dactivit est
tre associ un audit externe qui lui est complmentaire. A aborde.
Rdaction : Groupe de Travail PRA-PCA - Pilotes Franois Tte - CCA, Pascal Antier - ADP GSI - Cration Fred.lameche - www.anousdejouer.fr
ce titre, il a le regard tourn vers les interactions extrieures,
Il est nanmoins important de signaler que les auditeurs
car il atteste de la scurisation des activits auprs les parties
nmettent quune recommandation de certification, laquelle
prenantes et permet, en cas de conformit du Systme de
nest prononce que par un organisme certificateur habilit.
Management, dobtenir une certification ISO 22301 (scurit
socitale et management de la continuit dactivit).
En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le
prsent ouvrage que ce soit mcanique ou lectronique, intgralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP.
6