L'audit interne des systèmes d'information est trop rarement mis en œuvre
Par Vincent Manière, Directeur chez Protiviti France

mercredi 26 mars 2008

Les systèmes d'information sont encore trop souvent non intégrés dans le périmètre couvert par la gestion des risques. Pourtant, ils sont devenus une véritable pierre angulaire qui soutient l'ensemble des activités d'une entreprise et la démarche d'audit interne ne peut donc plus les omettre. D'autant que les SI sont sujets à un nombre croissant de risques.

Au-delà des problèmes techniques (accès sécurisé au système, mise à disposition et disponibilité des données, procédures de confidentialité...), l'environnement réglementaire impose aux entreprises de répondre à des exigences de gouvernance des SI (mise en place de méthodes telles que ITIL et Cobit, d'outils de gestion de projet et de budgets) ; plus d'efficacité et de valeur (alignement, agilité, innovation) sont également attendus par les métiers.

La maîtrise des systèmes d'information sort donc du champ d'action des seuls spécialistes de la DSI pour entrer dans celui de l'audit interne. Les entreprises doivent alors répondre à quelques questions clés : le plan d'audit couvre-t-il efficacement les risques informatiques ? L'entreprise dispose-t-elle en interne des ressources et différentes expertises nécessaires qui vont lui permettre d'auditer les SI ?

Pour être efficace, un audit informatique efficace devra être effectué respecter les 3 étapes suivantes :

1. commencer par établir une cartographie des risques pesant sur les systèmes d'information de l'entreprise ;

2. en déduire un plan d'audit des systèmes d'information et le partager avec la DSI ;

3. réaliser ensuite les différents audits prévus au plan.

Six dimensions peuvent être auditées :

- la revue de la fonction informatique pour évaluer un département informatique (central ou d'une filiale) sur ses principales fonctions (planification stratégique et projets, organisation interne, pilotage de la fonction, gestion du patrimoine informatique, sécurité physique et logique, ainsi que la gestion des coûts).

- la gestion de projet afin d'identifier toutes les défaillances susceptibles de faire échouer le projet (dépassement des délais et des budgets, solution livrée en décalage avec les attentes, changements mal ou pas accompagnés).

- les applications et processus fonctionnels automatisés, pour apprécier leur fiabilité, estimer le niveau de contrôle interne et/ou les opportunités d'optimisation des processus et des applications qui les supportent, qu'elles soient développées en interne ou proposées sur le marché.

- les dispositifs de sécurité informatique : sécurité physique, sécurité logique (applications, bases de données, systèmes d'exploitation et réseaux), séparation des tâches...

- le plan de secours mis en œuvre dans l'entreprise. L'audit s'axe autant sur les phases de la mise en place de ce plan, que sur son périmètre et son efficience, l'enjeu étant de garantir la continuité de services par l'entreprise.

- le respect des règles de mise en conformité : on mesure ici les dispositifs de gestion des SI mis en œuvre par rapport à un cadre pré-défini, applicable au secteur d'activité de l'entreprise, à un référentiel interne, externe ou à des obligations réglementaires (archivage fiscal, Sarbanes-Oxley, Bâle II, CNIL...)

Les systèmes d'information restent aujourd'hui trop rarement audités alors que cela constitue un élément majeur des dispositifs de maîtrise globale des risques. Il devient plus qu'essentiel de prendre en compte cette dimension à un moment où la gouvernance des systèmes d'information est devenue une préoccupation centrale des DSI, et où ces derniers sont de plus en plus impliqués et consultés sur les décisions et processus stratégiques de l'entreprise.

__________

Protiviti est un cabinet de conseil en gestion des risques de l'entreprise et de ses systèmes d'information et en audit interne. Il regroupe 290 collaborateurs répartis sur 60 bureaux. Protiviti aide ses clients à identifier, à évaluer et à gérer tous les risques auxquels ils doivent faire face : les risques inhérents à leur secteur d'activité, les risques liés à leur organisation, processus et systèmes, et les risques externes. Protiviti est une filiale du groupe américain Robert Half International Inc.

Pour télécharger l'édition 2007 du baromètre du Risk Management