---

---

L'audit

Les voitures sont entretenues pour rouler sans problèmes et sans voyants clignotants &ndash ; et elles doivent se rendre régulièrement au T&U. Les systèmes de gestion de la continuité des activités doivent également être entretenus, tout comme leurs plans de CB, afin qu'ils fonctionnent. En effet, seuls des tests réguliers permettent de garantir leur efficacité en cas de crise.

Evidemment, on ne parle pas ici de maintenance, mais d'audit (en anglais : auditing), en fonction de l'objet du contrôle. Les audits ne portent toutefois pas uniquement sur les systèmes de gestion de la CB, mais aussi sur de nombreux autres objets de contrôle, tels que les processus, l'état financier, les projets, d'autres systèmes de gestion, les produits, les logiciels, les directives et les exigences. On se demande toujours si ce qui doit être contrôlé correspond aux normes exigées. En d'autres termes, on peut dire qu'un audit est une comparaison entre les objectifs et la réalité.

Les audits se distinguent par leur mode de réalisation. Il y a :

• Les audits First Party: Il s'agit d'un contrôle interne effectué par un collaborateur. Lors des First Party Audits, la gestion de la qualité de l'entreprise est par exemple vérifiée par un auditeur interne.

• Audits de seconde partie: Ces procédures d'enquête sont également appelées audits de fournisseurs. Pour les entreprises ayant des chaînes d'approvisionnement existantes, l'entreprise acheteuse vérifie par exemple la gestion de la continuité des activités de ses fournisseurs (voir aussi : gestion de la continuité de la chaîne d'approvisionnement). Les écarts sont discutés et corrigés, puis à nouveau vérifiés. Les propositions d'amélioration sont également discutées lors de ces audits et, si possible, mises en œuvre. Pour ce faire, soit un collaborateur formé par l'entreprise est envoyé dans l'entreprise à auditer, soit un auditeur externe est mandaté.

• Audits tierce partie: L'objectif de ces audits est d'obtenir une certification. Un organisme de certification externe vérifie par exemple si une entreprise répond à la certification du système de gestion selon la norme ISO 22301:2019. Les audits réguliers de recertification qui suivent en font également partie.

Tous les audits ont donc en commun de vérifier si certaines normes définies sont appliquées dans une entreprise/organisation.

Les audits dans le domaine de la gestion de la continuité des activités sont soumis à une périodicité fixe, ce qui est déjà dû au cycle de vie BCM. Ils sont recommandés avec une répétition annuelle, pour les entreprises certifiées, ils sont obligatoires dans cette séquence.

Si l'auditeur connaît l'entreprise et son organisation et/ou qu'il n'est pas nécessaire de procéder à des visites ou à des inspections, celles-ci peuvent être effectuées à distance. Dans ce cas, l'auditeur se fait envoyer tous les documents nécessaires et réalise les entretiens d'audit à distance. Si l'auditeur ne connaît pas l'entreprise à auditer, il est indispensable de se rendre sur place lors de la réalisation d'une analyse des menaces afin de connaître l'organisation de l'entreprise et toutes ses installations.

Procédure à suivre

Audit GBC par Controllit AG pour vérifier la maturité de la certification &ndash ; un üaperçu de la procédure

Après la commande d'audit et les premiers appels téléphoniques pour coordonner le contenu de l'audit, la première étape consiste à examiner et à évaluer la documentation. Parmi ces documents, on trouve par exemple la politique, le manuel, les plans BIA et BC, etc. Il s'agit également de vérifier l'efficacité de la méthodologie. Parallèlement, la réunion d'ouverture et le plan d'audit sont préparés et envoyés à tous les participants avant la date de la réunion.

Lors de la réunion d'ouverture, tous les participants sont informés du déroulement de l'audit qui débutera ensuite. Selon l'étendue (scope) et la profondeur de l'audit, celui-ci peut durer d'un jour à plusieurs semaines. Pendant l'audit, la documentation / le système de management est mis à l'épreuve et des entretiens sont menés avec le BC-Manager responsable du processus et d'autres parties prenantes.

C'est à ce moment-là que l'on voit si tous les processus sont documentés et mis en œuvre. Si des écarts sont constatés pendant cette période, l'auditeur est soutenu par des propositions d'amélioration orientées vers les solutions, afin de pouvoir éliminer les écarts le plus rapidement possible. Une fois que tous les écarts et leurs propositions de solution ont été discutés et résumés, la closing meeting est préparée.

Cette réunion permet de passer en revue tous les écarts avec toutes les personnes concernées. Le rapport d'audit est ensuite rédigé et envoyé aux participants et à la direction. Le rapport contient notamment des recommandations évaluées en fonction de leur priorité, de leur impact et de leur coût. L'audit est alors terminé.

Et que se passe-t-il ensuite dans l'entreprise ?

Un audit durable et bien ciblé dépend des connaissances et de l'expérience de l'auditeur. En outre, une grande capacité de compréhension, une compréhension des processus et des systèmes de gestion complexes ainsi que des connaissances humaines sont importantes. En effet, l'auditeur ne doit pas se précipiter lorsqu'il constate un dysfonctionnement, ni se laisser mener par le bout du nez lorsqu'un responsable de processus tente de dissimuler une non-conformité, quelle qu'en soit la manière, ou lorsqu'il veut s'écarter du plan d'audit.

Les audits sont des éléments très précieux du cycle de vie de la gestion de la continuité des activités, qui permettent d'optimiser les processus afin d'améliorer la réussite de l'organisation.

Est-ce qu'il existe une norme ?

Oui, la ISO 22301:2019. Cette norme pour les systèmes de management de la continuité d'activité contient également une norme pour la réalisation d'audits (ISO 19011 „Guide pour l'audit des systèmes de management&ldquo ;).Vous cherchez un conseil ou une assistance dans le domaine de l'audit ou du BCM ? Controllit AG vous conseillera volontiers à ce sujet.