L'audit pratique des systèmes d'information : le rôle prépondérant de l'auditeur

L'auditeur a un rôle prépondérant dans la qualité, la pertinence et la performance de la mesure. Quelles doivent être ses compétences ? Quelle approche utiliser pour être pratique et efficient ?

L'audit est basé sur l'humain. Et pour être "pratique", l'humain c'est-à-dire l'auditeur a donc un rôle prépondérant dans la qualité, la pertinence, la performance de la mesure. Quelles doivent être ses compétences ? Quelle attitude adopter (pas d'audit sans l'attitude qui va avec) ? Quelle approche  utiliser pour être pratique et efficient  ?

Les compétences de l'auditeur

Pour s'assurer du professionnalisme des auditeurs, il est nécessaire de croiser plusieurs aspects complémentaires :

- La compétence technique et la maîtrise des systèmes d'information des auditeurs
- La maîtrise des techniques d'audit : utilisation de règles de qualification issues de normes et standards, qualification par un comité reconnu, tutorat et accompagnement progressive de l'auditeur par un auditeur expert...
- Le respect d'un code de déontologie (indépendance, confidentialité, objectivité...) et d'une charte de valeurs (respect, performance, exemplarité, intégrité, honnêteté...)
- Les valeurs humaines : capacité d'analyse et de synthèse, attentif et appliqué, résistant à la pression, non influençable, loyal, honnête, diplomate, sensible et respectueux

Le succès des audits reposent sur des auditeurs :
- issus du domaine à auditer et ayant démontré une capacité d'adaptation rapide,
- qui auditent avec empathie : avec un bonne pratique du sujet audité (ils ont eux-même travaillé sur les sujets pour lesquels ils auditent et ont été à la place des audités),
- convaincus de l'utilité et des vertus de l'audit,
- qui communiquent, communiquent, communiquent pour comprendre, connaître, analyser, conclure.

L'attitude de l'auditeur durant l'audit

Pour fournir la meilleur mesure possible l'auditeur doit en permanence adapter son attitude aux différentes situations vécues lors de l'audit :

* Obtenir les informations jugées importantes, étayer de preuves toutes ses observations‏, analyser et comparer par rapport au référentiel d'audit, agir sur ce que ressent l'audité pour obtenir son adhésion, apporter des exemples de solution à la situation pour faire adhérer l'audité,
* Écouter : le dit (mots, voix)‏, le non-dit (gestes, regards, postures...)‏, les freins (environnement, contexte, préoccupations personnelles, a priori...)‏,
* Respecter les différentes personnalités d'audité (muet, bavard, expert, timide, impulsif...),
* Toujours garder le cap sur l'objectif de l'audit,
* Savoir questionner : "Il n'y a jamais de mauvaises réponses, il n'y a que de mauvaises questions",
* Savoir prendre des notes,
* Ne pas interpréter (que des observation étayée de preuves). L'auditeur n'est pas là pour imaginer ou supposer. Par exemple, "Il me semble que votre système de supervision n'est pas assez performant" est à bannir,
* Ne pas avoir d'apriori (que des observations). L'auditeur n'est pas là pour se raccrocher à ce qu'il connait ou ce qu'il a l'habitude de faire. Par exemple, "Pourquoi n'utilisez-vous pas des dispositifs de contrôle d'accès pour maîtriser vos accès physiques ?" est à bannir.


Les différentes approches d'audit possibles

L'auditeur va jongler avec diverses techniques tout au long de l'audit.

* Diverses techniques d'audit sont possibles suivant la nature de l'audit, l'avancée de l'audit, le profil des audités, le thème audité : technique de l'entonnoir (du général au particulier), technique du cas d'école (de l'exemple particulier au fonctionnement général), technique d'analyse d'un processus particulier, technique d'analyse des thèmes du référentiel....
* Diverses techniques comportementales sont possibles: le BSP -bon sens paysan-, le top down / bottom up, la veille-préparation préalable vs découverte-improvisation; la technique de l'étau, la technique de l'entonnoir vs du tire-bouchon; la technique du « couillon » vs "expert", la technique d'analyse par les risques ...‏

L'auditeur peut balayer tout ou partie de la dimension temporelle (passé, présent et/ ou futur) lors de son audit. Le passé, c'est la vision "rétroviseur". Le présent c'est la vision terrain actuelle. Le futur, c'est la vision "pare-brise".

L'auditeur doit pouvoir s'adapter aux différentes situations :
* lors d'échange "Ping-pong" entre auditeurs-audités : recentrer, recadrer
* lorsque l'auditeur constate que les objectifs de l'audit sont trop ambitieux : les revoir à la baisse
* savoir prendre position, savoir dire NON, décider
* lorsque l'auditeur détecte un fait marquant ou important : interrompre, réagir, écouter
* lorsque le temps manque pour tout faire : re-lister le reste à faire et gérer les priorités