L`audit IT - ICT Control

L'audit IT
GEORGES ATAYA
Le grand méconnu
Il me semble parfois que la profession d'audit en
informatique, qui a débuté à la fin des années 60, soit
une des plus méconnues. Les missions d'audit sont
plus organisées et plus prévisible que plusieurs le
croient. Une mission d'audit est un projet comme un
autre. Elle a un début, une fin, un objectif et un
résultat. Le client d'une mission d'audit est
normalement une personne ayant autorité sur le
domaine concerné. Son objectif étant de recourir à un
avis indépendant, informé et basé sur des éléments
probants.
Le résultat d'une telle mission est généralement un
rapport d'audit qui contient des constatations, des
recommandations et une conclusion générale. Cette
dernière doit directement répondre à l'objectif initial.
Les objectifs d'une mission d'audit varient selon les
besoins de leur initiateur. Vérifier la sécurité, les
applications sensibles, les fournisseurs externes, la
gestion de la qualité, du changement, des incidents,
des
investissements
et
d'autres
processus
informatiques, sont des missions habituelles dans une
entreprise qui dépend étroitement sur l'outil
informatique. Des nouveaux types d'audit viennent
s'ajouter, dans les dernières années, tel l'audit SOX
(selon Sarbases-Oxley) pour les sociétés en relation
avec les états unis, ainsi que les audits ISO17799,
Webtrust, Systrust et SAS 70, pour les sociétés
souhaitant obtenir des certifications dans ces
domaines. J'y reviendrai dans une prochaine édition.
On ne peut diriger ce qu'on ne peut mesurer. Or, il est
difficile pour un dirigeant d'une entreprise de juger ce
domaine qu'il maîtrise rarement. Il souhaite alors être
informé sur l'adéquation des différents composants du
processus informatique mis en place, des
performances de ses directeurs et du judicieux de leurs
choix et prises de
décisions
techniques,
financiers
et
organisationnelles.
L'audit devient alors
l'opportunité
attendue
pour
informer
la
direction
de la
qualité de notre propre
activité. Si le processus
audité présente un bon
niveau de maturité, s'il
applique de bonnes
méthodes et s'il engrange
de bons résultats, le
rapport d'audit ne pourra qu'en témoigner.
Il est vrai, vous allez me dire, que plusieurs auditeurs
ne mentionnent dans leurs rapports que les aspects qui
nécessitent des améliorations. Ils parlent rarement de
ce qui va bien, par peur, peut-être que ceci soit
considéré comme un aveu de manque de zèle dans la
conduite de leur mission. Je vous réconforte peut-être,
comme j'ai déjà rassuré à mon ami, lorsque je vous
signale que les lecteurs des rapports soient habitués à
ce travers des auditeurs et qu'ils relativisent les
constatations et les manquements rapportés. Le
meilleur conseil que je donne c'est de mettre en place
un bon système de contrôle de performances.
Définissez vos propres indicateurs capables de
challenger tout observateur externe. Traduisez vos
objectifs en mesures que vous publiez à l'intention de
vos collaborateurs et vos dirigeants. Il est peu rentable
de dépêcher des auditeurs pour contrôler un domaine
qui est bien géré et qui le prouve en permanence,
chiffres à l'appui.
Georges Ataya ([email protected]) est professeur à la Solvay Business School, vice-président international de l’IT Governance Institute et
administrateur délégué de ICT Control SA-NV.
Paru dans le magazine IT Professional N°9 du 04/10/2006 (www.itprofessional.be)