L'audit pratique des systèmes d'information, ça se déroule comment (processus) ?

Pour être pratique, méthodique et indépendant, l'audit des systèmes d'information mobilise différents types d'acteurs. Quels sont ces acteurs ? Quelles sont les phases de ce processus ?

Les acteurs de l'audit

L'audit met en œuvre différents acteurs aux rôles bien déterminés :

* Le Commanditaire de l'audit : c'est lui qui décide de l'audit, de son objectif, du contexte. C'est généralement la direction de l'entreprise, ou un client, ou un organisme officiel (état, organisme de certification...)

* La Direction de l'audité : c'est généralement le DSI ou la direction de l'organisme. C'est lui qui facilite l'organisation de l'audit et met en relation les auditeurs et les audités.

* Les audités : ce sont les personnes de la DSI (ou autres services internes à l'entreprise) qui vont apporter les éléments de réponse aux auditeurs

* L'équipe d'audit (un ou plusieurs auditeurs) : elle collecte les observations permettant de fournir les conclusions (rapports d'audit).

* Les experts techniques : mobilisés par l'équipe d'audit ponctuellement et sous son contrôle pour analyser un point spécifique

Si l'équipe d'audit est composée de plusieurs auditeurs, chaque auditeur a un rôle déterminé d'un commun accord dans un souci premier d'efficience (maîtrise des différents thèmes de l'audit, proximité géographique, disponibilité, niveau d'expérience requis...).


Les étapes de l'audit
L'étape d'expression de besoin de l'audit

* Le commanditaire détermine le cadre de l'audit (objectif, champ, auditeurs, référentiel, moyens à mettre en œuvre...).

* A ce stade, une étude de faisabilité (s'assurer que l'audit est réalisable) est effectuée en concertation avec la direction de l'audité et l'équipe d'audit.


L'étape de préparation de l'audit et audit hors site

* Revue préliminaire d'ensemble, préparation du plan d'audit global, élaboration des documents d'audit

* Audit hors site des documents (schéma directeurs, budgets, analyse de risques, procédure de production, guide de conception...) et enregistrements (rapport de service, bilan d'activité, rapport d'incidents, tableau de bord...). Dans le respect de la confidentialité et du droit à en connaître.

* Préparation de l'audit sur site : plan d'intervention (quel sujet ? où ? par quel auditeur ?)



L'étape d'audit sur site

* Réunion d'ouverture : repréciser l'objectif de l'audit sur site, rassurer, impliquer et mobiliser les audités.

* Examen : recueil d'observations étayée de preuves au travers d'interviews, analyse d'informations complémentaires (documents, bases de données...), analyse sur site (salle serveurs, équipements informatiques, sécurité physique...), formuler les observations (positives et négatives)‏, identifier les écarts par rapport au référentiel, classement des écarts selon leur fréquence et leur gravité.

* Réunion de clôture : restituer aux audités une synthèse des observations, restituer les conclusions de l'audit et s'assurer de la pertinence et adéquation des actions correctives à mettre en œuvre.


L'étape de restitution

* Le rapport d'audit : sa rédaction est soignée. Le lecteur doit pouvoir s'approprier le rapport. Il permet de prendre les bonnes décisions.

* L'aide à la décision du commanditaire : présentation des conclusions de l'audit de manière à permettre au commanditaire de prendre les décisions par rapport à l'objectif de l'audit.


L'étape de suivi de l'audit

* Les observations d'audit (consignés dans le rapport) font l'objet d'un plan d'actions sous la responsabilité de l'audité (DSI ou direction de l'organisme).

* L'équipe d'audit s'assure de la pertinence et de l'adéquation de ce plan d'action.

* Le suivi du plan d'action est, selon le besoin du commanditaire et/ou de l'audité, confié à l'équipe d'audit ou à un tiers indépendant (expert, consultant,..) ou à un responsable qualité informatique...

Autour du même sujet