Charte de l'audit informatique du Groupe

Transcription

1 Direction de la Sécurité Globale du Groupe Destinataires Tous services Contact Hervé Molina Tél : Fax : herve.molina@laposte.fr Date de validité A partir du 23/07/2012 Annulation de décision n du 23 avril 2007 (2007 CAB/CJF 8) Charte de l'audit informatique du Groupe OBJET : «L audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d entreprise, et en faisant des propositions pour renforcer leur efficacité.» (définition internationale de l audit interne) Conformément aux décisions prises par le Comex du 10 février 2010, la responsabilité de la mise en œuvre de l activité d audit interne est confiée à chaque service interne des métiers et domaines du Groupe, qui doivent veiller à l application des normes professionnelles de l audit interne et à la pertinence de leur action. La présente charte décline ces normes professionnelles à l audit informatique du Groupe. Elle définit sa mission, son organisation et ses moyens, ses principes d action et ses modalités d intervention. Georges LEFEBVRE Références : CORP-DSGG du 30 juillet / 8

2 Sommaire 1. MISSION OBJECTIF CHAMP D INTERVENTION NATURE DES INTERVENTIONS 3 2. ORGANISATION ET MOYENS POSITIONNEMENT RECRUTEMENT ET FORMATION RECOURS A DE L'EXPERTISE EXTERNE 5 3. PRINCIPES D ACTION CADRE DE REFERENCE PROFESSIONNELLE DROITS ET OBLIGATIONS 5 4. MODALITES D INTERVENTION PROGRAMMATION DES MISSIONS CONDUITE DES MISSIONS COMMUNICATION DES RESULTATS SUIVI DES RECOMMANDATIONS ASSURANCE QUALITE ET MESURE DE LA PERFORMANCE 8 2 / 8

3 1. MISSION OBJECTIF L audit informatique du Groupe a pour mission principale d évaluer, de manière indépendante et objective, les systèmes d information du Groupe au regard des politiques de gestion et de sécurité informatiques ainsi que des normes et bonnes pratiques professionnelles applicables, afin d en tirer des conclusions sur la maîtrise des risques induits et de proposer les actions correctrices nécessaires à l obtention des niveaux de qualité, d efficacité, de sécurité et de conformité requis pour les systèmes d information du Groupe. En complément de ces missions d audit, l audit informatique a pour objet d apporter aux maîtrises d ouvrage et aux directions du système d information du Groupe des conseils et de l expertise, particulièrement dans le domaine de la lutte contre la cybercriminalité CHAMP D INTERVENTION L audit informatique du Groupe a compétence sur l ensemble des processus de gouvernance, de management des risques et de gestion des systèmes d information du Groupe. Cette compétence s étend aux partenaires et aux prestataires informatiques, chez qui l'audit informatique du Groupe peut intervenir en tant que de besoin, dans le cadre de clauses contractuelles d'auditabilité ou de toute autre nature l'y autorisant NATURE DES INTERVENTIONS L audit informatique du Groupe effectue, selon des modalités analogues, des missions d'assurance et de conseil ayant trait notamment à : la gouvernance des systèmes d information, la gestion des portefeuilles de projet et la conduite des projets SI, le management des risques et de la sécurité informatiques, la fourniture des services informatiques, l'optimisation des processus informatisés, la conformité des SI et de leur utilisation aux lois et à la réglementation. Il peut, à la demande du délégué général, du directeur de la sécurité globale du Groupe et des directeurs sécurité des métiers, mener des investigations ou participer à des enquêtes à la suite d atteintes ou d'incidents importants liés aux systèmes d information. 3 / 8

4 2. ORGANISATION ET MOYENS POSITIONNEMENT L audit informatique du Groupe est placé sous l autorité du directeur de la sécurité globale du Groupe qui est rattaché directement au délégué général. L'audit informatique du Groupe participe à la fonction d'audit interne du groupe La Poste, dont la responsabilité de mise en œuvre appartient in fine à chaque service d audit interne des métiers et domaines, y compris en ce qui concerne les systèmes d'information, ainsi qu'à l'audit de Groupe, qui «est chargé d'évaluer, pour l'ensemble du Groupe, les systèmes de management des risques, de contrôle et de gouvernement d'entreprise et de contribuer à leur amélioration» (Charte de l audit de Groupe - CORP-DARG du 11 février 2010). Il participe également au dispositif global de management des risques du Groupe en proposant, à la validation du comité exécutif du Groupe, un programme d audit sur les risques significatifs liés aux SI déjà identifiés et en émergence, qu il participe à qualifier. Dans ce cadre, l audit informatique est associé aux travaux de revue des risques du Groupe menés par la direction des risques du Groupe. En complément, l audit de Groupe peut demander à l audit informatique du Groupe de contribuer, dans son domaine d expertise, à la réalisation des audits inscrits au plan d audit du Groupe. Ce rattachement permet à l audit informatique du Groupe d exercer ses activités en toute indépendance, lui garantit un champ d intervention couvrant l ensemble des métiers et domaines du Groupe ainsi qu une totale accessibilité aux personnes, informations et locaux nécessaires pour exercer ses missions. L'audit informatique du Groupe n'a pas de lien direct avec le comité d'audit auprès du conseil d administration, le directeur de l'audit de Groupe représentant l'ensemble de la fonction d'audit interne du Groupe auprès de cette instance RECRUTEMENT ET FORMATION Les auditeurs sont recrutés parmi des cadres et cadres supérieurs ayant une expérience significative dans le domaine de l informatique et des systèmes d information, au sein du Groupe ou par voie externe. Ils sont également recrutés en sortie de grandes écoles ou d universités. Outre la maîtrise des normes, procédures et techniques d audit informatique indispensables à la conduite de leurs travaux, les auditeurs sont tenus de maintenir à jour leurs connaissances professionnelles et techniques grâce à une formation professionnelle continue appropriée et à l'obtention de certifications 4 / 8

5 internationales dans les domaines, notamment, de l'audit, des systèmes d'information et de la sécurité informatique RECOURS A DE L'EXPERTISE EXTERNE Le directeur de l'audit informatique du Groupe doit identifier les connaissances et savoir-faire nécessaires à la réalisation du programme d'audit et pouvoir obtenir l'avis et l'assistance de personnes qualifiées si les auditeurs informatiques ne les possèdent pas pour s'acquitter de tout ou partie des missions. Dans ce cadre, la coopération de l observatoire de la sécurité des systèmes d informations peut être requise après autorisation du comité de gouvernance de cet observatoire. 3. PRINCIPES D ACTION CADRE DE REFERENCE PROFESSIONNELLE L audit informatique du Groupe remplit sa mission dans le cadre des références de la profession, constitué en particulier des normes, standards et méthodes de l IFACI (Institut Français de l Audit et du Contrôle Internes), de l IIA (The Institute of Internal Auditors) et de I ISACA (The Information Systems Audit and Control Association) DROITS ET OBLIGATIONS Les auditeurs informatiques sont tenus de respecter les règles de déontologie de la profession en matière d objectivité, d indépendance, de confidentialité, d intégrité et de rigueur. En application de ces principes éthiques, les auditeurs informatiques doivent tout particulièrement : s abstenir de prendre part à des activités ou d établir des relations qui pourraient compromettre l impartialité de leur jugement, révéler à leur hiérarchie toute anomalie, irrégularité ou fraude dont ils auraient pu avoir connaissance au cours de leurs investigations, et plus généralement, tout risque induit par, ou affectant, un SI du Groupe qu ils pourraient identifier, même en dehors d une mission d audit, faire preuve d un devoir de réserve absolue à l égard des informations recueillies dans le cadre de leur activité et ne pas utiliser celles-ci pour en retirer un quelconque bénéfice personnel. Les auditeurs informatiques ne peuvent pas prendre part à une mission d assurance pour une activité dont ils ont eu la responsabilité au cours de l'année précédente. 5 / 8

6 Les services audités sont tenus de donner accès à toutes les personnes et locaux, et fournir tous les éléments matériels, documents et données informatisées nécessaires à la planification de l audit, à la réalisation des missions et au suivi des recommandations ; toute restriction imposée aux auditeurs les empêchant de réaliser les objectifs ou le planning de la mission tels que validés par le commanditaire fait l objet d une signalisation au directeur de l audit informatique du Groupe. 4. MODALITES D INTERVENTION PROGRAMMATION DES MISSIONS L audit informatique du Groupe agit dans le cadre d un programme d'audit comportant : des missions d'assurance, commanditées par les directeurs d'audit et/ou des risques des métiers, des directions transverses et du corporate. Ces missions s'insèrent dans leurs programmes d'audit respectifs, auxquels l'audit informatique du Groupe contribue, des missions de conseil, réalisées à la demande de dirigeants, des missions de suivi, destinées à s'assurer que les plans d'action définis à la suite d'audits précédemment réalisés sont effectivement mis en œuvre et suppriment les problèmes décelés. Après consultation du directeur de l'audit et des risques du Groupe, le projet de programme annuel d'audit est proposé au délégué général, qui le soumet au comité exécutif du Groupe pour approbation. Le programme d audit informatique peut être révisé en cours d année par le délégué général sur proposition du directeur de la sécurité globale du groupe, notamment pour assurer la prise en charge de demandes d enquêtes ou d investigations CONDUITE DES MISSIONS L audit informatique du Groupe conduit ses missions dans le respect des normes de la profession, en particulier en matière de : planification des missions : les objectifs et le champ de la mission, les ressources affectées et le calendrier prévisionnel des travaux sont formalisés dans une lettre de mission adressée au commanditaire ainsi qu à l ensemble des parties concernées par l audit, identification, analyse et documentation des informations : les informations pertinentes pour étayer les conclusions d audit sont identifiées et documentées, 6 / 8

7 supervision de la mission : les missions font l objet d une supervision appropriée afin de garantir que les objectifs sont atteints, la qualité assurée et le développement professionnel des auditeurs effectué COMMUNICATION DES RESULTATS Les résultats d audit sont communiqués sous forme d un rapport écrit contenant les objectifs et le champ de la mission, ainsi que les conclusions (forces et faiblesses) et les éventuelles recommandations, après avoir été présentés aux services audités. Les rapports d audit sont diffusés aux commanditaires du métier, du domaine ou du corporate, ainsi qu aux personnes ayant à donner suite aux recommandations ou à même d assurer que les résultats recevront l attention nécessaire. Les modalités de communication des résultats sont adaptées aux pratiques des métiers et domaines. Des situations d urgence peuvent conduire à déroger aux modalités établies, comme la découverte d un risque revêtant une importance ou une imminence particulière nécessitant une communication sans délai. Le directeur de l audit informatique du Groupe établit un rapport annuel d activité rendant compte notamment de la couverture de son plan d audit et des résultats obtenus, qu il présente pour validation au directeur de la sécurité globale du groupe puis au délégué général. Ce rapport fait l objet d une communication en comité exécutif du Groupe par le délégué général SUIVI DES RECOMMANDATIONS L audit informatique du Groupe réalise un suivi systématique des recommandations, dont l objectif est de surveiller les suites données aux résultats d audit. Quand ses recommandations sont prises en compte dans les dispositifs de suivi spécifiques des métiers et domaines, ceux-ci tiennent informé l audit informatique du Groupe de l avancement des plans d actions afférents. Ce suivi fait l objet d une communication au directeur du métier ou domaine concerné par la mise en œuvre des actions de progrès, ainsi qu au délégué général. Le suivi des recommandations est consigné dans un chapitre spécifique du rapport d activité annuel de l audit informatique du Groupe. 7 / 8

8 4.5 - ASSURANCE QUALITE ET MESURE DE LA PERFORMANCE Le directeur de l audit informatique du Groupe participe au comité de liaison de l audit interne qui réunit les responsables des services d audit interne des métiers et domaines. Ce comité assure notamment une bonne articulation entre les différents audits des métiers et domaines en termes de programmation, de méthodes de travail, de reporting au comité exécutif et au comité d audit du Groupe, et de démarche d assurance qualité. La performance et la valeur ajoutée de l audit informatique du Groupe sont mesurées au moyen d indicateurs habituellement utilisés dans la profession (taux de mise en œuvre des recommandations, coût et qualité de la production d audit, niveau de satisfaction des commanditaires et des services audités notamment). L audit informatique du Groupe est lui-même évalué périodiquement dans le cadre de revues internes et/ou externes. Périodiquement, le directeur de l audit informatique du Groupe s assure que la présente charte est toujours adaptée aux besoins du Groupe, et propose, si nécessaire, sa mise à jour. 8 / 8