Blog ENI : Toute la veille numérique !
Dernière chance (fin le 29/02) : -25€ dès 75€ sur les livres en ligne, vidéos... code FUSEE25. J'en profite !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Systèmes de Management de la Continuité d’Activité
  3. Audit SMCA et revue de direction
Extrait - Systèmes de Management de la Continuité d’Activité Meilleures pratiques et mise en œuvre de la norme ISO 22301
Extraits du livre
Systèmes de Management de la Continuité d’Activité Meilleures pratiques et mise en œuvre de la norme ISO 22301 Revenir à la page d'achat du livre

Audit SMCA et revue de direction

Généralités sur l’audit

Un audit est un processus systématique de collecte et d’évaluation d’éléments probants visant à déterminer si les activités d’une organisation sont conformes à ses politiques et procédures, aux lois et règlements applicables et aux attentes de ses parties prenantes. Les audits peuvent porter sur divers sujets, notamment les états financiers, les opérations, la conformité et la sécurité de l’information.

Les vérifications sont importantes pour un certain nombre de raisons. Ils peuvent aider à s’assurer que les organisations se conforment aux lois et aux règlements, à cerner et à atténuer les risques et à fournir aux intervenants l’assurance que l’organisation est gérée efficacement. Un audit peut être demandé en interne pour viser une certification ou pour des besoins réglementaires ou il peut être commandité en externe par un client ou un partenaire par exemple afin de s’assurer de la résilience des services et produits apportés par l’organisation.

Il existe de nombreux types d’audits, notamment les audits financiers, les audits opérationnels, les audits de conformité et les audits de sécurité de l’information. Chaque...

Audit du SMCA

L’audit d’un système de gestion de la continuité des activités (SMCA) est une étape intégrée dans la norme ISO 22301 et dans bon nombre de méthodologies. Elle est très importante et nécessiterait une méthode spécifique. En effet, la conception et l’audit du SMCA sont complémentaires et ne poursuivent pas les mêmes objectifs bien qu’ils concernent tous les deux le SMCA. Le responsable de l’audit n’est également pas le RPCA, sauf en cas d’auto-audit ou de pré-audit. L’auditeur examine divers aspects afin d’identifier les risques pour le processus de continuité des activités de l’organisation et de proposer des mesures d’atténuation.

Dans le cadre de cet audit, l’auditeur évalue la portée et les objectifs du SMCA. Il analyse les fonctions opérationnelles essentielles de l’organisation et examine comment elles seraient maintenues en cas d’interruption. Par exemple, il peut constater que le SMCA ne prend pas en compte un type spécifique de perturbation, comme une cyberattaque, ou qu’il ne prévoit pas de processus clair pour communiquer avec les parties prenantes pendant une perturbation.

L’auditeur se penche également sur les composantes du plan du SMCA. Il vérifie si le SMCA comprend une évaluation...

Rapport d’audit SMCA

La rédaction d’un rapport d’audit du système de gestion de la continuité des activités (SMCA) clair et efficace est essentielle pour transmettre les résultats de l’audit aux parties prenantes. Voici des conseils pour rédiger un rapport d’audit du SMCA de manière claire et cohérente :

  • Identification et page de garde :

  • Titre : Rapport d’audit du SMCA

  • Sous-titre : indiquez la portée du rapport d’audit, par exemple "Plan de continuité informatique".

  • Auteur : S. Hesschentier

  • Version et date : 1.0 - 23/05/2024

  • Diffusion : indiquez qui doit recevoir le document et le niveau de confidentialité.

  • Introduction :

  • Commencez par une brève introduction expliquant l’objectif de l’audit, le contexte de l’organisation et les critères utilisés.

  • Présentez également l’organisation auditée, son secteur d’activité et les principaux aspects du SMCA évalués.

  • Portée de l’audit :

  • Décrivez en détail la portée de l’audit en identifiant les processus, les fonctions opérationnelles et les unités organisationnelles incluses dans l’évaluation du SMCA.

  • Précisez également les limites de l’audit, en mentionnant les domaines non évalués ou les aspects non couverts....

Techniques d’audit

L’audit du SMCA peut faire appel à différentes techniques qui offrent des perspectives variées de l’étude. La structuration des résultats selon ces vues donne une image plus complète du SMCA. Il est nécessaire de s’assurer de la cohérence des conclusions apportées par les méthodes que vous avez sélectionnées.

1. Revue documentaire

Nous plongeons dans les fondements du système de gestion de la continuité des activités (SMCA) de l’organisation en examinant de manière approfondie les documents essentiels. Nous analysons les politiques, les procédures, les plans de continuité et les rapports d’incident afin d’évaluer leur cohérence, leur exhaustivité et leur conformité aux exigences du SMCA.

L’objectif de cette étude est multiple :

  • Comprendre les politiques de continuité des activités, en évaluant leur alignement sur les objectifs stratégiques de l’organisation et leur clarté quant aux rôles et aux responsabilités.

  • Analyser les procédures de continuité des activités afin d’évaluer leur niveau de détail, leur clarté et leur adéquation aux différents scénarios de perturbation envisagés.

  • Examiner les plans de continuité des activités pour vérifier leur pertinence, leur actualité et leur adéquation aux besoins spécifiques de l’organisation.

  • Évaluer la cohérence d’ensemble, notamment en identifiant les interactions entre les différents plans et entre les plans et les dispositions externes et en relevant les situations de blocage éventuelles.

  • Étudier les rapports d’incident antérieurs afin d’identifier les leçons apprises, les actions correctives entreprises et l’efficacité des mesures de continuité déjà mises en place.

Par exemple, lors de cette revue documentaire, nous pourrions découvrir qu’une politique de continuité des activités ne spécifie pas clairement les rôles et les responsabilités, ce qui pourrait entraîner une confusion en cas de perturbation et une réponse inefficace. Nous pourrions recommander...

Intégration dans le plan d’audit

L’audit du SMCA fait partie d’un ensemble beaucoup plus vaste d’actions qui sont répertoriées et organisées dans le document appelé "plan d’audit".

Il est évident que toutes les formes d’audit dans l’organisme ne sont pas improvisées mais préparées et planifiées avec soin. L’audit du SMCA est un sous-ensemble du plan d’audit et doit s’inscrire dans un champ beaucoup plus vaste.

Dans un premier temps, les méthodes qui sont envisagées dans le cadre de l’audit SMCA doivent être compatibles avec les référentiels généraux appliqués par l’audit. Par exemple, les audits informatiques peuvent être effectués selon des référentiels qui imposent un certain formalisme, des objectifs spécifiques et des méthodes référencées. Les audits réalisés sur le plan de continuité informatique doivent alors être compatibles avec ceux-ci. Il en est de même entre l’évaluation des processus du SMCA et l’évaluation de la performance des processus métier classiques.

La planification des audits SMCA est également à intégrer dans le schéma global du plan d’audit. Les fréquences de réalisation...

Application des techniques d’audit

Nous commençons ici à sortir du sujet de ce livre car l’audit du SMCA est une zone frontière entre la continuité d’activité et l’audit au sens large. Le RPCA peut occuper une fonction d’auditeur dans un deuxième temps et profiter de son expérience pour être efficace. Il n’est cependant pas recommandé qu’il soit auditeur en même temps qu’il gère le SMCA. Nous ne pouvons pas être juge et partie au même instant. Pourtant, nous pensons qu’un RPCA qui connaît les méthodes d’audit et les préoccupations de l’auditeur peut être mieux préparé à l’exercice d’évaluation. La présentation de ses résultats est conforme aux attentes de l’auditeur et c’est un avantage certain pour effectuer cette tâche dans les meilleures conditions. Le RPCA peut ainsi utiliser les techniques expliquées dans ce chapitre pour prendre du recul par rapport à son SMCA et l’observer avec la même position que l’auditeur. Il peut alors anticiper sur l’amélioration de son dispositif.

Nous avons rassemblé ici quelques précautions à prendre pour le RPCA afin que l’audit se passe dans les meilleures conditions ainsi qu’une liste de quelques erreurs à...

Revue de direction

La revue périodique du SMCA permet à la direction de s’assurer que ce système est toujours adapté, adéquat et efficace. C’est un élément essentiel du leadership et de l’engagement de la direction tel que l’impose la norme ISO 22301.

La revue de direction doit prendre en compte le statut des décisions issues des revues de direction précédentes. C’est en quelque sorte sa base de référence pour comprendre comment le SMCA a évolué et quelle était sa situation au cours des dernières revues de direction.

Elle doit également intégrer dans sa réflexion les changements dans les problèmes externes et internes pertinents pour le SMCA.

Les informations sur les performances du SMCA, y compris les non-conformités, les actions correctives, le suivi et la mesure des résultats d’évaluation, ainsi que les résultats des audits sont une base de connaissance que la direction doit exploiter.

Il est important de connaître les retours d’information des parties intéressées.

La direction doit enfin disposer d’une connaissance suffisante de toutes les informations susceptibles d’orienter son opinion sur la performance du SMCA : derniers résultats du BIA et de l’analyse des risques, rapports d’audit et d’auto-évaluation...