Section 4.2.6 Fonction d'audit interne
Circulaire CSSF 22/806 sur l'externalisation (modifiée par CSSF 25/883) · CSSF 22/806
51. Les activités de la fonction d’audit interne doivent couvrir, selon une approche fondée sur les risques, l’examen des activités externalisées. Le plan et le programme d’audit doivent comprendre, en particulier, la révision des dispositifs d’externalisation de fonctions critiques ou importantes.
52. En ce qui concerne le processus d’externalisation, la fonction d’audit interne doit au moins s’assurer :
23 En cas d’externalisation vers une infrastructure de cloud computing, le paramétrage des mesures de continuité peut être exécuté par les Entités concernées.
a. que le cadre d’externalisation de l’Entité concernée, y compris la politique d’externalisation, est effectivement mis en œuvre et est conforme aux lois et règlements applicables, à la stratégie en matière de risques, ainsi qu’aux décisions de l’organe de direction ;
b. de l’adéquation, la qualité et l’efficacité de l’évaluation du caractère critique ou important des fonctions ;
c. de l’adéquation, la qualité et l’efficacité de l’évaluation des risques liés aux dispositifs d’externalisation et que ces risques restent conformes avec la stratégie de l’Entité concernée en matière de risques ;
d. que le niveau de participation des organes de gouvernance est approprié ; et
e. que le suivi et la gestion des dispositifs d’externalisation sont appropriés.