L`audit IT - ICT Control
Transcription
L`audit IT - ICT Control
L'audit IT GEORGES ATAYA Le grand méconnu Il me semble parfois que la profession d'audit en informatique, qui a débuté à la fin des années 60, soit une des plus méconnues. Les missions d'audit sont plus organisées et plus prévisible que plusieurs le croient. Une mission d'audit est un projet comme un autre. Elle a un début, une fin, un objectif et un résultat. Le client d'une mission d'audit est normalement une personne ayant autorité sur le domaine concerné. Son objectif étant de recourir à un avis indépendant, informé et basé sur des éléments probants. Le résultat d'une telle mission est généralement un rapport d'audit qui contient des constatations, des recommandations et une conclusion générale. Cette dernière doit directement répondre à l'objectif initial. Les objectifs d'une mission d'audit varient selon les besoins de leur initiateur. Vérifier la sécurité, les applications sensibles, les fournisseurs externes, la gestion de la qualité, du changement, des incidents, des investissements et d'autres processus informatiques, sont des missions habituelles dans une entreprise qui dépend étroitement sur l'outil informatique. Des nouveaux types d'audit viennent s'ajouter, dans les dernières années, tel l'audit SOX (selon Sarbases-Oxley) pour les sociétés en relation avec les états unis, ainsi que les audits ISO17799, Webtrust, Systrust et SAS 70, pour les sociétés souhaitant obtenir des certifications dans ces domaines. J'y reviendrai dans une prochaine édition. On ne peut diriger ce qu'on ne peut mesurer. Or, il est difficile pour un dirigeant d'une entreprise de juger ce domaine qu'il maîtrise rarement. Il souhaite alors être informé sur l'adéquation des différents composants du processus informatique mis en place, des performances de ses directeurs et du judicieux de leurs choix et prises de décisions techniques, financiers et organisationnelles. L'audit devient alors l'opportunité attendue pour informer la direction de la qualité de notre propre activité. Si le processus audité présente un bon niveau de maturité, s'il applique de bonnes méthodes et s'il engrange de bons résultats, le rapport d'audit ne pourra qu'en témoigner. Il est vrai, vous allez me dire, que plusieurs auditeurs ne mentionnent dans leurs rapports que les aspects qui nécessitent des améliorations. Ils parlent rarement de ce qui va bien, par peur, peut-être que ceci soit considéré comme un aveu de manque de zèle dans la conduite de leur mission. Je vous réconforte peut-être, comme j'ai déjà rassuré à mon ami, lorsque je vous signale que les lecteurs des rapports soient habitués à ce travers des auditeurs et qu'ils relativisent les constatations et les manquements rapportés. Le meilleur conseil que je donne c'est de mettre en place un bon système de contrôle de performances. Définissez vos propres indicateurs capables de challenger tout observateur externe. Traduisez vos objectifs en mesures que vous publiez à l'intention de vos collaborateurs et vos dirigeants. Il est peu rentable de dépêcher des auditeurs pour contrôler un domaine qui est bien géré et qui le prouve en permanence, chiffres à l'appui. Georges Ataya ([email protected]) est professeur à la Solvay Business School, vice-président international de l’IT Governance Institute et administrateur délégué de ICT Control SA-NV. Paru dans le magazine IT Professional N°9 du 04/10/2006 (www.itprofessional.be)