Charte de l'audit informatique du Groupe



Documents pareils
Charte d audit du groupe Dexia

MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION

INTRODUCTION DES NORMES

Banque européenne d investissement. Charte de l Audit interne

Normes pour la pratique professionnelle de l'audit interne

CONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER

plate-forme mondiale de promotion

ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES

L Audit Interne vs. La Gestion des Risques. Roland De Meulder, IEMSR-2011

Audit interne. Audit interne

CODE DE CONDUITE DES AGENTS IMMOBILIERS CHARTE DE DÉONTOLOGIE

Annexe sur la maîtrise de la qualité

CIRCULAIRE AUX ETABLISSEMENTS DE CREDIT N Objet : Renforcement des règles de bonne gouvernance dans les établissements de crédit.

EXPERT FINANCIER POSITIONNEMENT DU POSTE DANS LA STRUCTURE. Poste de rattachement hiérarchique : Chef de service Conseil et Expertise Financière

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES

Rapport. Préfiguration de la mission d'audit interne compétente pour les ministères chargés des affaires sociales. 13 juillet 2009

Les clauses «sécurité» d'un contrat SaaS

TABLE DES MATIERES SECTION 1 CONTROLE INTERNE ET AUDIT INTERNE, POLITIQUE DE PREVENTION ET COMPLIANCE

Principales dispositions du projet de règlement

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE

Présenté par : Imed ENNOURI

Rapport du Président du Conseil d'administration

Plan de maîtrise des risques de la branche Retraite Présentation générale

LA MISSION D AUDIT LEGAL

i) Types de questions Voici les lignes directrices pour chaque type de question ainsi que la pondération approximative pour chaque type :

Guide de travail pour l auto-évaluation:

REFERENTIEL Chef(fe) de Projets Marketing et Commercial Titre Bac+4 certifié Niveau II J.O du 09 Août code NSF 312

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

RAPPORT ANNUEL DU COMITÉ D AUDIT 2009

Fiche conseil n 16 Audit

SOCIETE FRANCAISE EXXONMOBIL CHEMICAL S.C.A. Rapport du Président du Conseil de Surveillance

A1 GESTION DE LA RELATION AVEC LA CLIENTELE

Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique

asah alpha consulting Prog o ram a m m e e de d e fo f r o mat a i t on o n

«Audit Informatique»

Norme ISA 200, Objectifs généraux de l auditeur indépendant et réalisation d un audit conforme aux Normes internationales d audit

Atelier A N 13. Titre : Gestion des risques, audit interne et contrôle interne

Excellence. Technicité. Sagesse

«Audit Informatique»

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Profil de la profession Courtier. en assurance suisse. Code de conduite. du 29 octobre 2008

Appendice A I. Mission II. Domaine d'activité A. VÉRIFICATION

RECOMMANDATIONS COMMISSION

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

CHARTE ETHIQUE GROUPE HEURTEY PETROCHEM

Norme ISA 260, Communication avec les responsables de la gouvernance

2012 / Excellence. Technicité. Sagesse

LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE

POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013)

Charte de Qualité sur l assurance vie

FINANCES VOS CONTACTS : Sylviane BOUGEROLLE Assistante de formation sylviane.bougerolle@cnfpt.fr

Rapport d'audit étape 2

Décision du Haut Conseil du Commissariat aux Comptes

Type de document : Politique Révision prévue : 2008 Objet : Politique sur la sécurité des actifs informationnels du CSSSNL

Management de la sécurité des technologies de l information

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

Rapport d audit interne

CHAPITRE 1 : LA PROFESSION COMPTABLE

Projet d'engagements de Henkel dans le cadre d'une procédure de non-contestation de griefs dans les affaires n 06/OOOlF et 06/0042F

RAPPORT DE TRANSPARENCE

TERMES DE REFERENCE POUR LE COORDONNATEUR DE LA PLATEFORME DE DIALOGUE DU SECTEUR DES TRANSPORTS

Contrôle interne et organisation comptable de l'entreprise

Manuel Management Qualité ISO 9001 V2000. Réf Indice 13 Pages : 13

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

RAPPORT D AUDIT INTERNE

Solution logicielle IDEA

CONDITIONS GENERALES DE VENTES -REFERENCEMENT NATUREL

~AISSE D'EPARGNE D'ALSACE

PROPOSITION D INTERVENTION

Olivier Terrettaz, Expert diplômé en finance et controlling 1

ASSOCIATION CANADIENNE DES COURTIERS DE FONDS MUTUELS

MANUEL DES NORMES Audit légal et contractuel

PRESTATIONS DE NETTOYAGE DES LOCAUX, NETTOYAGE DES VITRES, FOURNITURES de PRODUITS CONSOMMABLES et ADAPTES

L audit Informatique et la Qualité

RÈGLEMENT* CONCERNANT L'AUDIT DE QUALITÉ DANS LE DOMAINE DES SERVICES COMPTABLES

Plan de travail du Bureau de l audit et de la surveillance du FIDA pour 2011

NORME INTERNATIONALE D AUDIT 330 PROCÉDURES A METTRE EN ŒUVRE PAR L'AUDITEUR EN FONCTION DE SON ÉVALUATION DES RISQUES

1. COMPOSITION ET CONDITIONS DE PREPARATION ET D ORGANISATION DES TRAVAUX DU CONSEIL D ADMINISTRATION

THEORIE ET CAS PRATIQUES

Vers l amélioration continue

«OUTIL DE GESTION DE LA RELATION CLIENT - CRM» CONVENTION DE PRESTATIONS

GUIDE SUR L ASSISTANCE A LA MAÎTRISE D'OUVRAGE EN INFORMATIQUE

Guide pour l utilisation des Normes Internationales d Audit dans l Audit des Petites et Moyennes Entreprises

Conditions générales d intervention du CSTB pour la délivrance des certificats de marquage CE

Politique en matière de traitement des demandes d'information et des réclamations

LES NOUVELLES CONTRAINTES EN MATIERE DE MARCHES PUBLICS

RÈGLES DE CERTIFICATION D ENTREPRISE

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

EXIGENCES MINIMALES RELATIVES À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS LORS DE SONDAGES RÉALISÉS PAR UN ORGANISME PUBLIC OU SON MANDATAIRE

Charte du Comité Audit et Risque (CAR) du Conseil d administration de la Banque Cantonale Vaudoise (BCV)

Politique de sécurité de l information

CONFÉRENCE INTERAFRICAINE DES MARCHÉS D'ASSURANCES. C () N SEI L n E S M l!\ 1 S T l{ l': S J) E S A S S II [{ A NeE S

BRANCHE DU NÉGOCE ET PRESTATIONS DE SERVICES

CHAPITRE V SELECTION DES CONSULTANTS ET D AUTRES PRESTATAIRES DE SERVICES

Politique et Standards Santé, Sécurité et Environnement

LE référentiel des métiers

CHARTE DU COMITÉ DES RESSOURCES HUMAINES ET DE RÉMUNÉRATION DU CONSEIL D ADMINISTRATION DE TIM HORTONS INC.

Norme ISA 510, Audit initial Soldes d ouverture

Transcription:

Direction de la Sécurité Globale du Groupe Destinataires Tous services Contact Hervé Molina Tél : 01.55.44.15.11 Fax : E-mail : herve.molina@laposte.fr Date de validité A partir du 23/07/2012 Annulation de décision n 113-23 du 23 avril 2007 (2007 CAB/CJF 8) Charte de l'audit informatique du Groupe OBJET : «L audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d entreprise, et en faisant des propositions pour renforcer leur efficacité.» (définition internationale de l audit interne) Conformément aux décisions prises par le Comex du 10 février 2010, la responsabilité de la mise en œuvre de l activité d audit interne est confiée à chaque service interne des métiers et domaines du Groupe, qui doivent veiller à l application des normes professionnelles de l audit interne et à la pertinence de leur action. La présente charte décline ces normes professionnelles à l audit informatique du Groupe. Elle définit sa mission, son organisation et ses moyens, ses principes d action et ses modalités d intervention. Georges LEFEBVRE Références : CORP-DSGG-2012-0275 du 30 juillet 2012 1 / 8

Sommaire 1. MISSION 3 1.1 - OBJECTIF 3 1.2 - CHAMP D INTERVENTION 3 1.3 - NATURE DES INTERVENTIONS 3 2. ORGANISATION ET MOYENS 4 2.1 - POSITIONNEMENT 4 2.2 - RECRUTEMENT ET FORMATION 4 2.3 - RECOURS A DE L'EXPERTISE EXTERNE 5 3. PRINCIPES D ACTION 5 3.1 - CADRE DE REFERENCE PROFESSIONNELLE 5 3.2 - DROITS ET OBLIGATIONS 5 4. MODALITES D INTERVENTION 6 4.1 - PROGRAMMATION DES MISSIONS 6 4.2 - CONDUITE DES MISSIONS 6 4.3 - COMMUNICATION DES RESULTATS 7 4.4 - SUIVI DES RECOMMANDATIONS 7 4.5 - ASSURANCE QUALITE ET MESURE DE LA PERFORMANCE 8 2 / 8

1. MISSION 1.1 - OBJECTIF L audit informatique du Groupe a pour mission principale d évaluer, de manière indépendante et objective, les systèmes d information du Groupe au regard des politiques de gestion et de sécurité informatiques ainsi que des normes et bonnes pratiques professionnelles applicables, afin d en tirer des conclusions sur la maîtrise des risques induits et de proposer les actions correctrices nécessaires à l obtention des niveaux de qualité, d efficacité, de sécurité et de conformité requis pour les systèmes d information du Groupe. En complément de ces missions d audit, l audit informatique a pour objet d apporter aux maîtrises d ouvrage et aux directions du système d information du Groupe des conseils et de l expertise, particulièrement dans le domaine de la lutte contre la cybercriminalité. 1.2 - CHAMP D INTERVENTION L audit informatique du Groupe a compétence sur l ensemble des processus de gouvernance, de management des risques et de gestion des systèmes d information du Groupe. Cette compétence s étend aux partenaires et aux prestataires informatiques, chez qui l'audit informatique du Groupe peut intervenir en tant que de besoin, dans le cadre de clauses contractuelles d'auditabilité ou de toute autre nature l'y autorisant. 1.3 - NATURE DES INTERVENTIONS L audit informatique du Groupe effectue, selon des modalités analogues, des missions d'assurance et de conseil ayant trait notamment à : la gouvernance des systèmes d information, la gestion des portefeuilles de projet et la conduite des projets SI, le management des risques et de la sécurité informatiques, la fourniture des services informatiques, l'optimisation des processus informatisés, la conformité des SI et de leur utilisation aux lois et à la réglementation. Il peut, à la demande du délégué général, du directeur de la sécurité globale du Groupe et des directeurs sécurité des métiers, mener des investigations ou participer à des enquêtes à la suite d atteintes ou d'incidents importants liés aux systèmes d information. 3 / 8

2. ORGANISATION ET MOYENS 2.1 - POSITIONNEMENT L audit informatique du Groupe est placé sous l autorité du directeur de la sécurité globale du Groupe qui est rattaché directement au délégué général. L'audit informatique du Groupe participe à la fonction d'audit interne du groupe La Poste, dont la responsabilité de mise en œuvre appartient in fine à chaque service d audit interne des métiers et domaines, y compris en ce qui concerne les systèmes d'information, ainsi qu'à l'audit de Groupe, qui «est chargé d'évaluer, pour l'ensemble du Groupe, les systèmes de management des risques, de contrôle et de gouvernement d'entreprise et de contribuer à leur amélioration» (Charte de l audit de Groupe - CORP-DARG-2010-0041 du 11 février 2010). Il participe également au dispositif global de management des risques du Groupe en proposant, à la validation du comité exécutif du Groupe, un programme d audit sur les risques significatifs liés aux SI déjà identifiés et en émergence, qu il participe à qualifier. Dans ce cadre, l audit informatique est associé aux travaux de revue des risques du Groupe menés par la direction des risques du Groupe. En complément, l audit de Groupe peut demander à l audit informatique du Groupe de contribuer, dans son domaine d expertise, à la réalisation des audits inscrits au plan d audit du Groupe. Ce rattachement permet à l audit informatique du Groupe d exercer ses activités en toute indépendance, lui garantit un champ d intervention couvrant l ensemble des métiers et domaines du Groupe ainsi qu une totale accessibilité aux personnes, informations et locaux nécessaires pour exercer ses missions. L'audit informatique du Groupe n'a pas de lien direct avec le comité d'audit auprès du conseil d administration, le directeur de l'audit de Groupe représentant l'ensemble de la fonction d'audit interne du Groupe auprès de cette instance. 2.2 - RECRUTEMENT ET FORMATION Les auditeurs sont recrutés parmi des cadres et cadres supérieurs ayant une expérience significative dans le domaine de l informatique et des systèmes d information, au sein du Groupe ou par voie externe. Ils sont également recrutés en sortie de grandes écoles ou d universités. Outre la maîtrise des normes, procédures et techniques d audit informatique indispensables à la conduite de leurs travaux, les auditeurs sont tenus de maintenir à jour leurs connaissances professionnelles et techniques grâce à une formation professionnelle continue appropriée et à l'obtention de certifications 4 / 8

internationales dans les domaines, notamment, de l'audit, des systèmes d'information et de la sécurité informatique. 2.3 - RECOURS A DE L'EXPERTISE EXTERNE Le directeur de l'audit informatique du Groupe doit identifier les connaissances et savoir-faire nécessaires à la réalisation du programme d'audit et pouvoir obtenir l'avis et l'assistance de personnes qualifiées si les auditeurs informatiques ne les possèdent pas pour s'acquitter de tout ou partie des missions. Dans ce cadre, la coopération de l observatoire de la sécurité des systèmes d informations peut être requise après autorisation du comité de gouvernance de cet observatoire. 3. PRINCIPES D ACTION 3.1 - CADRE DE REFERENCE PROFESSIONNELLE L audit informatique du Groupe remplit sa mission dans le cadre des références de la profession, constitué en particulier des normes, standards et méthodes de l IFACI (Institut Français de l Audit et du Contrôle Internes), de l IIA (The Institute of Internal Auditors) et de I ISACA (The Information Systems Audit and Control Association). 3.2 - DROITS ET OBLIGATIONS Les auditeurs informatiques sont tenus de respecter les règles de déontologie de la profession en matière d objectivité, d indépendance, de confidentialité, d intégrité et de rigueur. En application de ces principes éthiques, les auditeurs informatiques doivent tout particulièrement : s abstenir de prendre part à des activités ou d établir des relations qui pourraient compromettre l impartialité de leur jugement, révéler à leur hiérarchie toute anomalie, irrégularité ou fraude dont ils auraient pu avoir connaissance au cours de leurs investigations, et plus généralement, tout risque induit par, ou affectant, un SI du Groupe qu ils pourraient identifier, même en dehors d une mission d audit, faire preuve d un devoir de réserve absolue à l égard des informations recueillies dans le cadre de leur activité et ne pas utiliser celles-ci pour en retirer un quelconque bénéfice personnel. Les auditeurs informatiques ne peuvent pas prendre part à une mission d assurance pour une activité dont ils ont eu la responsabilité au cours de l'année précédente. 5 / 8

Les services audités sont tenus de donner accès à toutes les personnes et locaux, et fournir tous les éléments matériels, documents et données informatisées nécessaires à la planification de l audit, à la réalisation des missions et au suivi des recommandations ; toute restriction imposée aux auditeurs les empêchant de réaliser les objectifs ou le planning de la mission tels que validés par le commanditaire fait l objet d une signalisation au directeur de l audit informatique du Groupe. 4. MODALITES D INTERVENTION 4.1 - PROGRAMMATION DES MISSIONS L audit informatique du Groupe agit dans le cadre d un programme d'audit comportant : des missions d'assurance, commanditées par les directeurs d'audit et/ou des risques des métiers, des directions transverses et du corporate. Ces missions s'insèrent dans leurs programmes d'audit respectifs, auxquels l'audit informatique du Groupe contribue, des missions de conseil, réalisées à la demande de dirigeants, des missions de suivi, destinées à s'assurer que les plans d'action définis à la suite d'audits précédemment réalisés sont effectivement mis en œuvre et suppriment les problèmes décelés. Après consultation du directeur de l'audit et des risques du Groupe, le projet de programme annuel d'audit est proposé au délégué général, qui le soumet au comité exécutif du Groupe pour approbation. Le programme d audit informatique peut être révisé en cours d année par le délégué général sur proposition du directeur de la sécurité globale du groupe, notamment pour assurer la prise en charge de demandes d enquêtes ou d investigations. 4.2 - CONDUITE DES MISSIONS L audit informatique du Groupe conduit ses missions dans le respect des normes de la profession, en particulier en matière de : planification des missions : les objectifs et le champ de la mission, les ressources affectées et le calendrier prévisionnel des travaux sont formalisés dans une lettre de mission adressée au commanditaire ainsi qu à l ensemble des parties concernées par l audit, identification, analyse et documentation des informations : les informations pertinentes pour étayer les conclusions d audit sont identifiées et documentées, 6 / 8

supervision de la mission : les missions font l objet d une supervision appropriée afin de garantir que les objectifs sont atteints, la qualité assurée et le développement professionnel des auditeurs effectué. 4.3 - COMMUNICATION DES RESULTATS Les résultats d audit sont communiqués sous forme d un rapport écrit contenant les objectifs et le champ de la mission, ainsi que les conclusions (forces et faiblesses) et les éventuelles recommandations, après avoir été présentés aux services audités. Les rapports d audit sont diffusés aux commanditaires du métier, du domaine ou du corporate, ainsi qu aux personnes ayant à donner suite aux recommandations ou à même d assurer que les résultats recevront l attention nécessaire. Les modalités de communication des résultats sont adaptées aux pratiques des métiers et domaines. Des situations d urgence peuvent conduire à déroger aux modalités établies, comme la découverte d un risque revêtant une importance ou une imminence particulière nécessitant une communication sans délai. Le directeur de l audit informatique du Groupe établit un rapport annuel d activité rendant compte notamment de la couverture de son plan d audit et des résultats obtenus, qu il présente pour validation au directeur de la sécurité globale du groupe puis au délégué général. Ce rapport fait l objet d une communication en comité exécutif du Groupe par le délégué général. 4.4 - SUIVI DES RECOMMANDATIONS L audit informatique du Groupe réalise un suivi systématique des recommandations, dont l objectif est de surveiller les suites données aux résultats d audit. Quand ses recommandations sont prises en compte dans les dispositifs de suivi spécifiques des métiers et domaines, ceux-ci tiennent informé l audit informatique du Groupe de l avancement des plans d actions afférents. Ce suivi fait l objet d une communication au directeur du métier ou domaine concerné par la mise en œuvre des actions de progrès, ainsi qu au délégué général. Le suivi des recommandations est consigné dans un chapitre spécifique du rapport d activité annuel de l audit informatique du Groupe. 7 / 8

4.5 - ASSURANCE QUALITE ET MESURE DE LA PERFORMANCE Le directeur de l audit informatique du Groupe participe au comité de liaison de l audit interne qui réunit les responsables des services d audit interne des métiers et domaines. Ce comité assure notamment une bonne articulation entre les différents audits des métiers et domaines en termes de programmation, de méthodes de travail, de reporting au comité exécutif et au comité d audit du Groupe, et de démarche d assurance qualité. La performance et la valeur ajoutée de l audit informatique du Groupe sont mesurées au moyen d indicateurs habituellement utilisés dans la profession (taux de mise en œuvre des recommandations, coût et qualité de la production d audit, niveau de satisfaction des commanditaires et des services audités notamment). L audit informatique du Groupe est lui-même évalué périodiquement dans le cadre de revues internes et/ou externes. Périodiquement, le directeur de l audit informatique du Groupe s assure que la présente charte est toujours adaptée aux besoins du Groupe, et propose, si nécessaire, sa mise à jour. 8 / 8

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back