Sur quels types d'audits en SI travaillez-vous ?

L'activité du département s'articule autour de deux axes majeurs que sont le support à l'audit d'une part et les activités de conseil d'autre part. Ainsi, nous réalisons des missions d'audit informatique pour le compte de nos clients dans le cadre de notre mandat de commissaire aux comptes ou d'audits de conformité Sarbanes-Oxley.

Nous intervenons également sur des projets importants de changement ou d'assistance à maîtrise d'ouvrage, notamment de transformation de la fonction finance, de la réorganisation de l'informatique, et du déploiement d'ERP.

Quelles sont vos principales compétences et qualités personnelles ?

Je suis spécialisé en sécurité des systèmes d'information, sécurité réseau, contrôle d'accès, authentification et politique de sécurité ISO27001. C'est d'ailleurs là mon domaine d'intervention privilégié chez PwC, pour lequel je suis amené à intervenir régulièrement sur des missions d'audit sécurité ou des tests d'intrusion.

Cependant, au travers de la diversité et la taille des projets auxquels j'ai pu participer, je dispose aussi d'un solide bagage en systèmes d'information en termes de développement, tests, exploitation, gestion de projet et de gouvernance des SI. Cela me permet de couvrir les différents domaines des contrôles généraux informatiques dont le développement, la gestion des changements et les accès aux applications.

Quoi qu'il en soit, j'essaie de développer les quelques qualités essentielles d'un consultant que sont de bonnes capacités d'écoute, de communication, d'analyse et de synthèse. Celles-ci sont indispensables pour travailler efficacement dans des équipes pluridisciplinaires comme celles de PwC et développer de bonnes relations avec ses clients.

Pour quelles entreprises êtes-vous amenées à apporter votre savoir-faire ?

Aujourd'hui, je suis amené à travailler pour tout type d'entreprise, aussi bien en termes de taille que de secteur. J'interviens aussi bien auprès de la direction de grands groupes internationaux dont PwC est commissaire aux comptes que de structures beaucoup plus petites, comme des agences publiques régionales par exemple.

"L'audit du SI fait partie du domaine d'intervention des commissaires aux comptes"

Par ailleurs, j'ai aussi la chance d'exercer mon métier aussi bien dans le secteur public que dans le secteur industriel ou financier.

Cette possibilité m'est offerte aujourd'hui par mon expertise en sécurité des systèmes d'information qui, étant très spécifique, ne permet pas de m'assigner à une industrie spécifique comme c'est le cas pour la majorité de mes collègues

Quelles raisons poussent les entreprises à recourir à vos services ?

Elles sont essentiellement d'ordre réglementaires. En effet, les technologies de l'information ayant pris une place prépondérante dans les systèmes de comptabilité et de reporting financier, le législateur demande à ce que les risques spécifiques liés à ces systèmes soient maîtrisés. Notamment afin de garantir la qualité de l'information financière.

Ainsi, l'audit du système d'information de l'entreprise fait aujourd'hui pleinement partie du périmètre d'intervention du commissaire aux comptes. Par ailleurs, compte tenu de la complexité de leur organisation et de leurs processus métiers, les entreprises renforcent de plus en plus leurs équipes de contrôle interne.

Elles cherchent alors à s'assurer que les budget IT sont utilisés efficacement et que l'organisation de leur DSI permet de supporter efficacement leur activité et de répondre aux besoins des équipes métiers. Nos clients font alors appel à nous pour renforcer leurs équipes de contrôle interne ou les aider à mettre en place leur structure de contrôle interne, se rapprochant alors d'une activité de conseil.

Ces aspects de contrôle interne sont d'autant plus important pour les entreprises qu'elles sont nombreuses à avoir sous-traité des pans entiers de leurs processus ou système d'information à des tiers.

Comment s'est déroulée votre début de carrière ?

Après avoir obtenu mon diplôme d'Ingénieur en Télécommunications à l'Ecole Nationale Supérieure des Télécommunications de Bretagne, j'ai travaillé 5 ans pour divers cabinets de conseil en systèmes d'information dont SoluCom, Accenture et Dictao.

"Avec l'expérience, on est amené à gérer l'audit des contrôles de l'ensemble d'un processus"

Ces expériences m'ont permis de développer une expertise en sécurité des systèmes d'information et de participer à d'importants projets d'intégration au niveau européen. J'ai ainsi notamment participé au déploiement de l'intranet d'un opérateur télécom à Dusseldorf et au déploiement du nouveau système d'information de santé en Angleterre.

C'est en septembre 2006 que j'ai rejoins PwC qui m'offrait la possibilité d'évoluer sur des missions liées à la gestion des systèmes d'information et des risques au sens large.

Comment percevez-vous son évolution ?

Au début, un auditeur junior sera amené à s'intéresser à quelques contrôles spécifiques du système d'information qui lui auront été assignés par son manager.

Il devra s'assurer par exemple que les changements du système d'information sont correctement validés, chaque modification ayant fait, par exemple, l'objet d'une demande de changement. Avec l'expérience, il sera amener à gérer l'audit des contrôles de l'ensemble d'un processus comme la gestion du changement ou d'une application. En fonction du travail à effectuer, il pourra alors s'appuyer sur une petite équipe.

Il pourra ensuite commencer à définir lui même les contrôles à auditer avec son client jusqu'à gérer l'ensemble de l'audit sur des périmètres plus ou moins grands. En fonction de sa spécialisation, il pourra intervenir sur des sujets précis comme la sécurité par exemple. En général, un consultant senior sur une mission d'audit dirige une petite équipe de deux à trois personnes, parfois plus. Il assure alors le lien avec le client en termes d'organisation de l'intervention sur site, d'étapes de validation des contrôles à effectuer ou encore de gestion des problèmes.

L'auditeur senior est aussi responsable de la qualité des travaux de son équipe : validation des points remontés par son équipe, contrôle de la documentation sans compter les points d'audit réguliers avec son client avant d'animer la réunion de clôture avec le manager de la mission.

 

Paul Le Mesle est auditeur senior chez PricewaterhouseCoopers Advisory, au sein du département "Amélioration de la Performance".


JDN SolutionsEnvoyerImprimerHaut de page